Personuppgiftsbehandling på utlännings- och medborgarskapsområdet

Betänkande av 2014 års utlänningsdatautredning

Stockholm 2015

SOU 2015:73

SOU och Ds kan köpas från Fritzes kundtjänst.

Beställningsadress: Fritzes kundtjänst, 106 47 Stockholm

Ordertelefon: 08-598 191 90

E-post: order.fritzes@nj.se

Webbplats: fritzes.se

För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför.

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02)

En kort handledning för dem som ska svara på remiss. Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet.

Omslag: Elanders Sverige AB.

Tryck: Elanders Sverige AB, Stockholm 2015.

ISBN 978-91-38-24336-7

ISSN 0375-250X

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 28 maj 2014 att ge en särskild utredare i uppdrag att utarbeta ett förslag till en lag om behandling av person- uppgifter i verksamhet enligt utlännings- och medborgarskapslagstift- ningen m.m. (dir. 2014:76). Samma dag förordnades f.d. lagmannen Sigurd Heuman som särskild utredare.

Hovrättsassessorn Magdalena Petersson anställdes som sekreterare från och med den 25 augusti 2014 (tjänstledig från januari 2015). Hovrättsassessorn Sara Leyde anställdes som sekreterare från och med den 1 januari 2015.

Utredningen har antagit namnet 2014 års utlänningsdata- utredning (Ju 2014:11).

Som experter i utredningen förordnades från och med den 28 augusti 2014 advokaten Petter Aasheim, kammarrättsrådet Johan Axelsson, hovrättsassessorn Sara Leyde, juristen Emelie Lindvall, rättssakkunniga Louise Molin Alfredsson, verksjuristen Christer Pettersson, rådmannen Anna Tansjö och juristen Elisabeth Wallin. Genom beslut den 20 oktober 2014 entledigades Petter Aasheim från uppdraget från och med samma dag, och i hans ställe förordnades från och med samma dag advokaten Tomas Fridh som expert. Genom beslut den 5 december 2014 entledigades Louise Molin Alfredsson från uppdraget från och med den 1 januari 2015, och i hennes ställe förordnades från och med samma dag kanslirådet Susanna Pohl Söderman som expert.

Härmed överlämnar utredningen sitt betänkande Personuppgifts- behandling på utlännings- och medborgarskapsområdet (SOU 2015:73). Uppdraget är därmed slutfört.

Stockholm i juli 2015

Sigurd Heuman

/Sara Leyde

Innehåll

Förkortningar.....................................................................

17

Sammanfattning ................................................................

19

Summary ..........................................................................

29

1

Författningsförslag.....................................................

41

1.1

Förslag till utlänningsdatalag .................................................

41

1.2Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets

beskattningsverksamhet .........................................................

49

1.3Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens

verksamhet...............................................................................

50

1.4Förslag till lag om ändring av utlänningslagen

(2005:716)................................................................................

51

1.5Förslag till lag om ändring i socialförsäkringsbalken

 

(2010:110)................................................................................

53

1.6

Förslag till lag om ändring i polisdatalagen (2010:361)........

55

1.7

Förslag till utlänningsdataförordning....................................

58

1.8

Förslag till förordning om ändring i

 

 

folkbokföringsförordning (1991:749) ...................................

62

1.9Förslag till förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets

beskattningsverksamhet .........................................................

64

5

Innehåll

SOU 2015:73

1.10 Förslag till förordning om ändring i förordningen

 

(2001:590) om behandling av uppgifter i

 

Kronofogdemyndighetens verksamhet.................................

66

1.11Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom

 

socialförsäkringens administration........................................

68

1.12

Förslag till förordning om ändring i förordningen

 

 

(2009:284) om identitetskort för folkbokförda i Sverige ....

74

2

Utredningens uppdrag och arbete................................

77

2.1

Uppdraget ...............................................................................

77

2.2

Utredningens arbete...............................................................

78

2.3

Betänkandets disposition .......................................................

78

EN NY UTLÄNNINGSDATALAG

 

3

Gällande rätt och internationella överenskommelser ......

83

3.1

Inledning .................................................................................

83

3.2

Regeringsformen ....................................................................

83

3.3

Internationella konventioner m.m. .......................................

84

 

3.3.1

FN:s allmänna förklaring om de mänskliga

 

 

 

rättigheterna m.m....................................................

84

 

3.3.2

Europakonventionen ..............................................

86

 

3.3.3

Europarådets dataskyddskonvention.....................

87

 

3.3.4

OECD:s riktlinjer...................................................

88

3.3.5Europeiska unionens stadga om de

 

 

grundläggande rättigheterna...................................

88

3.4

Dataskyddsdirektivet .............................................................

90

3.5

Personuppgiftslagen ...............................................................

93

 

3.5.1

Några viktiga begrepp.............................................

93

 

3.5.2

Det territoriella tillämpningsområdet....................

96

 

3.5.3

Behandling av uppgifter som omfattas av lagen....

96

 

3.5.4

Undantag från personuppgiftslagen.......................

97

 

3.5.5

Krav på behandlingen av personuppgifter ...........

100

6

SOU 2015:73

 

Innehåll

3.5.6

Tillåten behandling av personuppgifter................

101

3.5.7Förbud mot behandling av känsliga

personuppgifter .....................................................

102

3.5.8Undantag från förbudet mot behandling av

 

känsliga personuppgifter.......................................

103

3.5.9

Särskilt om begreppet ras......................................

104

3.5.10Behandling av personuppgifter om

 

 

lagöverträdelser m.m..............................................

105

 

3.5.11

Behandling av uppgifter om personnummer .......

105

 

3.5.12

Rätt till information ..............................................

105

 

3.5.13

Rättelse...................................................................

106

 

3.5.14

Säkerhet vid behandling ........................................

107

 

3.5.15

Överföring av uppgifter till tredjeland.................

107

 

3.5.16

Anmälan till datainspektionen..............................

108

 

3.5.17

Personuppgiftsombud...........................................

109

 

3.5.18

Datainspektionens befogenheter..........................

109

 

3.5.19

Skadestånd och straff ............................................

110

3.6

Särskilda registerförfattningar..............................................

110

3.7

Utlänningsdataförordningen................................................

111

 

3.7.1

Tillämpningsområde..............................................

111

 

3.7.2

Personuppgiftsansvar ............................................

112

 

3.7.3

Verksamhetsregister..............................................

112

 

3.7.4

Direktåtkomst .......................................................

113

 

3.7.5

Sökbegrepp.............................................................

115

 

3.7.6

Rättsfallsregister ....................................................

115

 

3.7.7

Fingeravtrycksregister...........................................

115

 

3.7.8

Landinformationsregister......................................

116

 

3.7.9

Rättelse och skadestånd ........................................

116

 

3.7.10

Överklagande.........................................................

116

4

Verksamhet enligt utlännings- och

 

 

medborgarskapslagstiftningen...................................

117

4.1

Inledning................................................................................

117

4.2

Generellt om de handläggande myndigheterna...................

117

4.3

Verksamhet enligt utlänningslagen......................................

119

 

4.3.1

Bakgrund................................................................

119

7

Innehåll

SOU 2015:73

4.3.2Internationella åtaganden och

 

överenskommelser ................................................

120

4.3.3

EES och EU...........................................................

122

4.3.4

Utlänningslagen ....................................................

129

4.3.5Villkor för att en utlänning ska få resa in,

vistas och arbeta i Sverige .....................................

130

4.3.6Handläggande myndigheter enligt

 

utlänningslagen......................................................

137

4.4 Verksamhet enligt medborgarskapslagen............................

144

4.4.1

Medborgarskapslagen ...........................................

144

4.4.2Handläggande myndigheter enligt

medborgarskapslagen............................................

146

4.5Verksamhet enligt nuvarande utlänningsdataförordning

m.m........................................................................................

147

4.5.1Verksamhet som gäller utlänningars vistelse i

och avlägsnande från landet..................................

148

4.5.2Verksamhet som gäller utlänningars rätt att

arbeta i Sverige.......................................................

150

4.5.3Mottagande av asylsökande och vissa andra

utlänningar och verksamhet som rör bistånd

 

och stöd till utlänningar som enligt lag eller

 

annan författning handläggs av

 

Migrationsverket ...................................................

150

4.5.4Verksamhet som avser förvärv, förlust eller

bibehållande av svenskt medborgarskap..............

153

4.5.5Verksamhet som gäller ersättning för och

 

bosättning av utlänningar som enligt lag eller

 

 

annan författning handläggs av

 

 

Migrationsverket ...................................................

154

4.6 Övrig verksamhet .................................................................

158

4.6.1

Migrationsverket ...................................................

158

4.6.2

Arbetsförmedlingen och Försäkringskassan.......

159

4.6.3

Kommuner.............................................................

162

4.6.4

Landsting ...............................................................

163

4.6.5

Centrala studiestödsnämnden..............................

164

4.6.6

Övrigt ....................................................................

164

8

SOU 2015:73 Innehåll

5

Behandling av personuppgifter inom

 

 

verksamhetsområdet ................................................

167

5.1

Inledning................................................................................

167

5.2

Migrationsverket...................................................................

167

 

5.2.1

Centrala utlänningsdatabasen ...............................

167

 

5.2.2

Stamm.....................................................................

168

 

5.2.3

Wilma och W2 .......................................................

169

 

5.2.4

Vision .....................................................................

169

 

5.2.5

SKAPA...................................................................

169

 

5.2.6

KUB .......................................................................

170

 

5.2.7

LMA-kortsystemet................................................

170

 

5.2.8

Elektronisk dokumenthantering ..........................

170

 

5.2.9

Elis och Eskil..........................................................

170

 

5.2.10

Lifos........................................................................

171

 

5.2.11

VIS..........................................................................

172

 

5.2.12

Register över fingeravtryck och fotografier.........

172

 

5.2.13

Avställdadatabasen och e-arkivet..........................

173

5.3

Domstolarna..........................................................................

173

5.4

Polismyndigheten och Säkerhetspolisen .............................

174

 

5.4.1

Polisens ärendehanteringssystem .........................

175

 

5.4.2

Personefterlysnings- och U-boksregistret...........

175

 

5.4.3

Schengens informationssystem och SIRENE .....

175

 

5.4.4

Fingeravtrycks- och signalementsregister ...........

177

5.5

Utlandsmyndigheterna.........................................................

178

6

Allmänna utgångspunkter vid utformandet av en

 

 

utlänningsdatalag....................................................

179

6.1

Inledning................................................................................

179

6.2 Krav på lagreglering enligt regeringsformen .......................

180

 

6.2.1

Regeringsformen ...................................................

180

 

6.2.2

Enskildas personliga förhållanden ........................

180

 

6.2.3

Samtycke ................................................................

181

 

6.2.4

Övervakning och kartläggning .............................

181

 

6.2.5

Betydande integritetsintrång ................................

182

 

6.2.6

Vilken reglering omfattas?....................................

184

9

Innehåll

SOU 2015:73

 

6.2.7

Behov av en lagreglering .......................................

185

6.3

Lagens syfte ..........................................................................

185

6.4

Lagens utformning ...............................................................

186

 

6.4.1

Ramlag ...................................................................

186

 

6.4.2

Behandling av personuppgifter i register.............

187

 

6.4.3

Tidigare lagstiftningsarbeten................................

189

 

6.4.4

Gemensamt tillgängliga uppgifter........................

193

 

6.4.5

Utredningens överväganden.................................

195

6.5

EU-rättsliga utgångspunkter ...............................................

200

6.6

Schengens informationssystem ...........................................

203

6.7

En ny domstolsdatalag .........................................................

204

6.8

EU:s uppgiftsskyddsförordning..........................................

204

6.9

Informationshanteringsutredningen ...................................

205

7En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och

 

medborgarskapslagstiftningen ...................................

207

7.1

Lagens namn .........................................................................

207

7.2

Lagens syfte ..........................................................................

208

7.3

Lagens tillämpningsområde .................................................

210

 

7.3.1

Inledning................................................................

210

 

7.3.2

Ska myndigheterna anges i lagen? ........................

211

 

7.3.3

Vilka myndigheters behandling av

 

 

 

personuppgifter ska regleras av lagen?.................

211

7.3.4Vilken personuppgiftsbehandling ska lagen

 

 

tillämpas på? ..........................................................

218

 

7.3.5

Vilken personuppgiftsbehandling faller

 

 

 

utanför lagens tillämpningsområde?....................

232

7.4

Undantag från lagens tillämpningsområde .........................

233

7.5

Den registrerades inställning ...............................................

237

7.6

Förhållandet till personuppgiftslagen .................................

238

10

SOU 2015:73

 

Innehåll

7.7 Tillämpliga bestämmelser i personuppgiftslagen ................

240

7.7.1

Definitioner ...........................................................

241

7.7.2

Förhållande till offentlighetsprincipen ................

241

7.7.3Grundläggande krav på behandlingen av

 

personuppgifter .....................................................

243

7.7.4

Behandling av personnummer ..............................

245

7.7.5

Information till den registrerade ..........................

246

7.7.6

Rättelse...................................................................

247

7.7.7

Säkerhet vid behandlingen ....................................

248

7.7.8

Överföring av personuppgifter till tredjeland .....

249

7.7.9Anmälningsskyldighet och

 

 

personuppgiftsombud ...........................................

253

 

7.7.10

Upplysningar till allmänheten ..............................

254

 

7.7.11

Tillsynsmyndighetens befogenheter ....................

255

 

7.7.12

Skadestånd och straff ............................................

256

 

7.7.13

Överklagande .........................................................

257

7.8

Personuppgiftsansvar............................................................

257

 

7.8.1

Allmänt om personuppgiftsansvar .......................

257

 

7.8.2

Utredningens överväganden .................................

258

7.9

Ändamål

.................................................................................

260

 

7.9.1 .............................................

Allmänt om ändamål

260

 

7.9.2 ...........................

Primära och sekundära ändamål

261

 

7.9.3 .................................

Utredningens överväganden

262

7.10

Migrationsverkets register över fingeravtryck och

 

 

fotografier..............................................................................

277

 

7.10.1 .............

Allmänt om fingeravtrycksregistret m.m

277

 

7.10.2 ..................

Särskilt om jämförelser av fotografier

282

 

7.10.3 .................................

Utredningens överväganden

284

7.11

Personuppgifter .....................................som får behandlas

288

7.11.1Allmänt om tillåten behandling av

 

personuppgifter .....................................................

288

7.11.2

Utredningens överväganden .................................

289

7.11.3 Särskilt om känsliga personuppgifter ...................

291

7.11.4

Utredningens överväganden .................................

292

7.12 Tillgången till personuppgifter.............................................

296

7.12.1

Allmänt om behörighetsbegränsningar................

296

11

Innehåll

SOU 2015:73

 

7.12.2

Utredningens överväganden.................................

297

7.13

Sökbegränsningar .................................................................

298

 

7.13.1

Allmänt om sökbegränsningar .............................

298

 

7.13.2

Utredningens överväganden.................................

299

7.14

Annat elektroniskt utlämnande än genom

 

 

direktåtkomst........................................................................

301

7.14.1Allmänt om annat elektroniskt utlämnande än

 

 

genom direktåtkomst............................................

301

 

7.14.2

Utredningens överväganden.................................

302

7.15

Direktåtkomst ......................................................................

304

 

7.15.1

Allmänt om direktåtkomst...................................

304

 

7.15.2

Utredningens överväganden.................................

308

7.16

Bevarande och gallring m.m.................................................

320

 

7.16.1 Allmänt om bevarande och gallring .....................

320

 

7.16.2

Utredningens överväganden.................................

323

7.17

Ytterligare föreskrifter .........................................................

329

7.18

Ikraftträdande och övergångsbestämmelser .......................

330

NÅGRA SÄRSKILDA FRÅGESTÄLLNINGAR

 

8

Registrering av kvalitetsomdömen..............................

335

8.1

Inledning ...............................................................................

335

8.2Allmänt om Migrationsverkets förordnande av offentliga biträden, tolkar, översättare och

språkanalytiker......................................................................

336

8.2.1

Den rättsliga regleringen m.m..............................

336

8.2.2Migrationsverkets uppfattning om behovet att

 

kunna registrera kvalitetsomdömen.....................

345

8.3 Utredningens överväganden ................................................

349

8.3.1

Inledning................................................................

349

8.3.2

Problemens omfattning och allvar .......................

351

8.3.3

Alternativa sätt till personregistreringar..............

352

8.3.4

Förväntad nytta av avvikelseregistreringar..........

355

8.3.5

Integritetsaspekter m.m........................................

356

12

SOU 2015:73 Innehåll

 

8.3.6

Sammanfattande slutsatser....................................

357

 

8.3.7

Behov av författningsreglering m.m.....................

358

9

Ett effektivare informationsutbyte vid handläggning

 

 

av uppehållstillstånd för arbete och arbetstillstånd .....

361

9.1

Inledning................................................................................

361

9.2Allmänt om Migrationsverkets handläggning av

uppehållstillstånd för arbete och arbetstillstånd .................

363

9.2.1

Den rättsliga regleringen för handläggningen .....

363

9.2.2Migrationsverkets uppfattning om behovet av

 

direktåtkomst till vissa personuppgifter ..............

366

9.2.3

Särskilt om tillämpliga sekretessbestämmelser....

376

9.2.4Personuppgiftsbehandlingen hos berörda

 

myndigheter...........................................................

378

9.2.5

Sekretessbrytande bestämmelser ..........................

378

9.3 Utredningens överväganden.................................................

379

9.3.1Migrationsverkets uppgiftsbehov vid handläggning av ärenden som rör uppehållstillstånd för arbete och

arbetstillstånd.........................................................

380

9.3.2Förutsättningar för att ge Migrationsverket

direktåtkomst till efterfrågade uppgifter finns.... 382

9.3.3Utformningen av bestämmelser om

 

 

direktåtkomst m.m................................................

388

 

9.3.4

Sekretessbrytande bestämmelser ..........................

390

 

9.3.5

Slutsats ...................................................................

391

10

Migrationsverkets rätt att ta del av uppgifter från

 

 

Polismyndighetens fingeravtrycksregister ...................

393

10.1

Inledning................................................................................

393

10.2

Allmänt om Migrationsverkets kontroller av

 

 

fingeravtryck .........................................................................

394

 

10.2.1

Den rättsliga regleringen.......................................

394

10.2.2Polismyndighetens och Migrationsverkets uppfattning om behovet av en kompletterande

reglering .................................................................

398

13

Innehåll

SOU 2015:73

10.3 Utredningens överväganden ................................................

400

10.3.1 Inledning................................................................

401

10.3.2Migrationsverkets behov av att kontrollera fingeravtryck med hjälp av Polismyndighetens

fingeravtrycksregister m.m...................................

401

10.3.3Alternativ till kontroller mot

 

 

Polismyndighetens fingeravtrycksregister

.......... 402

 

10.3.4

Integritetsaspekter m.m........................................

403

 

10.3.5

Sammanfattande slutsats.......................................

405

 

10.3.6 Behov av författningsreglering m.m. ...................

405

11

Skadeståndsskyldighet efter kontroller av

 

 

Schengenviseringar..................................................

409

11.1

Inledning ...............................................................................

409

11.2

Allmänt om kontroller av Schengenviseringar m.m. .............

410

11.2.1Fingeravtryckskontroller enligt kodexen om

 

 

Schengengränserna och utlänningslagen

............. 410

 

11.2.2

Skadeståndsskyldighet vid olaglig

 

 

 

personuppgiftsbehandling ....................................

412

11.3

Utredningens överväganden ................................................

413

 

11.3.1

Inledning................................................................

414

 

11.3.2 Behovet av särskilda bestämmelser om

 

 

 

skadestånd m.m.....................................................

414

12

Konsekvenser ..........................................................

419

12.1

Allmänt om konsekvensanalyser .........................................

419

12.2

Utredningens överväganden ................................................

420

 

12.2.1 Förslaget till utlänningsdatalag m.m....................

420

 

12.2.2

De särskilda frågorna ............................................

422

13

Författningskommentar ............................................

425

13.1

Förslaget till utlänningsdatalag............................................

425

13.2Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets

beskattningsverksamhet.......................................................

453

14

SOU 2015:73 Innehåll

13.3

Förslaget till lag om ändring i lagen (2001:184) om

 

 

behandling av uppgifter i Kronofogdemyndighetens

 

 

verksamhet.............................................................................

454

13.4

Förslaget till lag om ändring av utlänningslagen

 

 

(2005:716)..............................................................................

455

13.5

Förslaget till lag om ändring i socialförsäkringsbalken

 

 

(2010:110)..............................................................................

456

13.6

Förslaget till lag om ändring i polisdatalagen (2010:361)...

458

Särskilt yttrande ..............................................................

461

Bilaga

 

1

Kommittédirektiv 2014:76 ...................................................

463

15

Förkortningar

AFIS

automatiserat fingeravtrycksidentifieringssystem

CUD

centrala utlänningsdatabasen

Dnr

diarienummer

Ds

Departementsserien

EU

Europeiska unionen

EES

Europeiska ekonomiska samarbetsområdet

HBTQ

homosexuella, bisexuella, transpersoner och queer

JO

Riksdagens ombudsmän

OSL

offentlighets- och sekretesslagen (2009:400)

PDF

polisdataförordningen (2010:1155)

PDL

polisdatalagen (2010:361)

prop.

regeringens proposition

PUF

personuppgiftsförordningen (1998:1191)

PUL

personuppgiftslagen (1998:204)

RF

regeringsformen

SOU

Statens offentliga utredningar

TF

tryckfrihetsförordningen

UtlF

utlänningsförordning (2006:97)

UtlL

utlänningslagen (2005:716)

17

Sammanfattning

Inledning

I detta betänkande redovisar utredningen sitt uppdrag att utarbeta förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (dir. 2014:76). Härvid redovisas även dels en kartläggning av behandlingen av personuppgifter inom denna verksamhet, dels en analys av om den behandling som förekommer är nödvändig och om ytterligare be- hov av personuppgiftsbehandling finns för att skapa förutsättningar för en effektiv verksamhet.

Utredningen redovisar också i betänkandet några ytterligare fråge- ställningar som utredningen har fått i uppdrag att analysera särskilt.

En ny lag om behandlingen

av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Lagens syfte, utformning, m.m.

Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska regleras i en lag, som utformats med beaktande av bland annat skyd- det för den personliga integriteten i 2 kap. 6 § andra stycket regerings- formen (RF), personuppgiftslagen (1998:204, PUL) och Europa- parlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (data- skyddsdirektivet). Däremot har det inte varit möjligt att anpassa förslagen till det pågående reformarbetet av EU:s regler om skydd

19

Sammanfattning

SOU 2015:73

för personuppgifter, eftersom detta arbete ännu inte (juni 2015) är klart.

Lagen, som föreslås heta utlänningsdatalag, samt en föreslagen anslutande förordning ska ersätta den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Lagens övergripande syften föreslås vara att ge berörda myndig- heter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstift- ningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen har utformats som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten finns i lagen. Kompletterande bestämmelser finns i författningar på lägre nivå.

Lagförslaget, som gjorts teknikoberoende, syftar till att göra det möjligt för berörda myndigheter att använda moderna och ända- målsenliga it-system för att verksamheten ska kunna bedrivas så effektivt som möjligt.

Lagens tillämpningsområde

Utlänningsdatalagen föreslås vara tillämplig vid behandlingen av per- sonuppgifter i verksamhet enligt utlännings- och medborgarlag- stiftningen som utförs av Migrationsverket, Polismyndigheten, Säker- hetspolisen och utlandsmyndigheterna.

Vari denna verksamhet består preciseras närmare och uttöm- mande i lagen. Vad gäller Migrationsverkets och utlandsmyndig- heternas verksamhet föreslås att lagen ska tillämpas vid behandling av personuppgifter som rör:

1.utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.statusförklaring,

3.mottagande av asylsökande och andra utlänningar,

4.bistånd och stöd till utlänningar,

20

SOU 2015:73

Sammanfattning

5.svenskt medborgarskap,

6.statlig ersättning för kostnader för utlänningar eller

7.bosättning av utlänningar.

Vad gäller Polismyndighetens och Säkerhetspolisens verksamhet före- slås lagen tillämpas vid behandling av personuppgifter som rör ut- länningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

Viss personuppgiftsbehandling hos de aktuella myndigheterna föreslås dock falla utanför lagens tillämpningsområde trots att lagen i och för sig hade kunnat vara tillämplig. Det gäller bland annat personuppgiftsbehandling enligt lagen (2000:344) om Schengens in- formationssystem samt enligt de EU-förordningar som brukar be- nämnas VIS-förordningen, Viseringskodexen och Eurodacförord- ningen. Den nya lagen ska inte heller tillämpas då personuppgifter behandlas med stöd av polisdatalagen (2010:361).

I likhet med personuppgiftslagen föreslås lagen gälla då person- uppgiftsbehandlingen är helt eller delvis automatiserad samt då per- sonuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier. Det föreslagna tillämpnings- området har alltså i viss mån utvidgats jämfört med vad som gäller enligt nuvarande utlänningsdataförordning, som i första hand gäller personuppgiftsbehandling i olika verksamhetsregister.

Förhållandet till personuppgiftslagen

Bestämmelserna i den nya lagen föreslås som huvudregel ha före- träde framför personuppgiftslagens bestämmelser. Vissa bestämmel- ser i personuppgiftslagen ska dock vara tillämpliga i verksamheten enligt utlännings- och medborgarskapslagstiftningen. I den nya lagen pekas dessa bestämmelser särskilt ut. Det gäller bland annat person- uppgiftslagens bestämmelser om förhållandet till offentlighetsprin- cipen (8 §), grundläggande krav på behandlingen av personuppgifter (9 §), behandling av uppgifter om personnummer (22 §), överföring av personuppgifter till tredjeland (33–35 §§) och skadestånd (48 §).

21

Sammanfattning

SOU 2015:73

Personuppgiftsansvar

Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behand- lingen. Ett undantag från denna huvudregel föreslås i det att Migra- tionsverket ska vara personuppgiftsansvarig för utlandsmyndig- heternas automatiserade personuppgiftsbehandling.

Migrationsverket, Polismyndigheten och Säkerhetspolisen föreslås vidare vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.

Ändamål m.m.

Personuppgifter föreslås endast få behandlas med stöd av utlännings- datalagen om det är nödvändigt för vissa särskilt angivna ändamål.

Ändamålen, både primära och sekundära, framgår av lagen.

De primära ändamålen för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehand- ling föreslås vara följande:

1.handläggning av ärenden eller en myndighets biträde i sådana ären- den i verksamhet inom lagens tillämpningsområde (se ovan),

2.kontroll av utlänning i samband med inresa och utresa samt kon- troll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bosätt- ning av asylsökande och andra utlänningar,

4.tillsyn, kontroll, uppföljning, planering av verksamheten, fram- ställning av statistik samt testverksamhet eller

5.fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

Migrationsverket föreslås därutöver få behandla personuppgifter om det är nödvändigt för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information rörande förhållan- den i andra länder.

Vidare föreslås att personuppgifter som behandlas enligt ovan nämnda primära ändamål även ska få behandlas enligt nedan följande

22

SOU 2015:73

Sammanfattning

sekundära ändamål om det är nödvändigt för att tillhandahålla in- formation:

1.till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller

2.till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internatio- nell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

Personuppgifter ska i ett enskilt fall även få behandlas för att till- handahålla information för något annat ändamål än som nu angetts under förutsättning att ändamålet inte är oförenligt med det ända- mål som uppgifterna samlades in för (finalitetsprincipen).

För Migrationsverkets register över fingeravtryck och fotografier föreslås en särreglering med mer begränsade ändamålsbestämmelser.

Känsliga personuppgifter

Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygel- se, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter måste i stor utsträckning behandlas på utlännings- och medborgarskapsområdet. Utredningen föreslår att känsliga personuppgifter ska få behandlas för i princip alla de ända- mål för vilka behandling är tillåtna. En förutsättning är dock, om inte den registrerade har lämnat sitt uttryckliga samtycke till behand- lingen eller på ett tydligt sätt offentliggjort uppgifterna, att upp- gifterna är absolut nödvändiga för syftet med behandlingen. Med att uppgifterna ska vara absolut nödvändiga markeras att behand- lingen av dem bör ske med försiktighet och aldrig slentrianmässigt.

Tillgången till personuppgifter

Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i enskildas personliga integritet. Som ett led i att stärka

23

Sammanfattning

SOU 2015:73

integritetsskyddet föreslås en bestämmelse i lagen om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Migrationsverket, Polis- myndigheten, Säkerhetspolisen föreslås vidare få möjlighet att med- dela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Enligt ut- redningens förslag bör Migrationsverket även få meddela föreskrifter av aktuellt slag när det gäller uppgifter som behandlas automatiserat hos utlandsmyndigheterna.

Sökbegränsningar

Som ytterligare en åtgärd för att stärka integritetsskyddet föreslås begränsningar avseende vilka sökbegrepp som får användas vid sök- ningar av uppgifter för vissa ändamål i vissa fall.

Känsliga personuppgifter föreslås endast få användas som sök- begrepp för behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverk- samhet samt för återsökning i vissa fall. Migrationsverket behöver kunna använda känsliga personuppgifter som sökbegrepp för exem- pelvis framställning av viss statistik och för att förbereda verksam- heten med anledning av förväntade flyktingströmmar.

Personuppgifter om lagöverträdelser föreslås med vissa undantag inte få användas som sökbegrepp.

Elektroniskt utlämnande av personuppgifter

Även om ett elektroniskt utlämnande av personuppgifter medför vissa integritetsrisker anser utredningen, med undantag för utläm- nande genom direktåtkomst, att det inte finns något behov av att införa en särskild reglering om när elektroniskt utlämnande får före- komma. Några sådana bestämmelser föreslås därför inte.

Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, För- säkringskassan, Pensionsmyndigheten och Skatteverket föreslås för vissa särskilda ändamål få medges direktåtkomst till vissa person- uppgifter som behandlas automatiserat hos Migrationsverket. Direkt- åtkomsten föreslås regleras uttömmande.

24

SOU 2015:73

Sammanfattning

Reglerna om direktåtkomst har utformats med tanke på de sär- skilda risker som direktåtkomsten innebär för enskildas integritet. Det innebär bland annat att mottagarmyndigheterna ska ha ett verk- ligt behov av uppgifterna och att uppgifterna som får göras till- gängliga är så preciserat angivna som möjligt i författning. Vidare ska Migrationsverket innan direktåtkomst medges förvissa sig om att mottagarmyndigheten uppfyller kraven på behörighet och säker- het. Ytterligare krav som föreslås är att tillgången till uppgifterna hos mottagarmyndigheterna begränsas till vad den enskilde tjänste- mannen behöver för att kunna fullgöra sina uppgifter.

Utredningen föreslår några sekretessbrytande bestämmelser med anledning av direktåtkomsten.

Överföring av personuppgifter till tredjeland

Enligt utredningen finns det i vissa fall behov av att föra över per- sonuppgifter till tredjeland oavsett om samtycke från den enskilde till detta föreligger. En bestämmelse om ytterligare undantag från förbudet mot överföring av personuppgifter till tredjeland i 33 § PUL föreslås därför för dessa fall.

Undantaget föreslås innebära att överföring av personuppgifter till tredjeland får ske om det är absolut nödvändigt för 1) handlägg- ning av ärenden eller biträde i sådana ärenden, 2) kontroll av utlän- ning i samband med inresa och utresa samt kontroll under vistelsen i Sverige samt för 3) sådan behandling som sker för ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig in- formation.

Bevarande och gallring samt avskiljande

Automatiserat behandlade personuppgifter i allmänna handlingar i verksamheten bör enligt utredningen, i likhet med hur det är i dag, som huvudregel bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Vad som talar för bevarande är enligt ut- redningen allmänhetens intresse av insyn i verksamheten. Inte minst finns ett intresse från forskare och journalister. Det är inte heller självklart enligt utredningen att integritetsintresset bäst tillgodoses

25

Sammanfattning

SOU 2015:73

genom att personuppgifter förstörs. I verksamheten är det också ofta nödvändigt att ta fram uppgifter från tidigare ärenden.

Utredningen anser dock att det i vissa fall bör göras undantag från denna huvudregel. Undantag från arkivlagens bestämmelser föreslås således gälla 1) för Migrationsverkets fingeravtrycks- och fotografiregister där uppgifter förslås gallras enligt nuvarande ord- ning, 2) för känsliga personuppgifter som har behandlats för ända- målen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som föreslås gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen och 3) för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag som föreslås gallras efter kort tid.

För att stärka de enskildas personliga integritet föreslår utred- ningen att tillgången till uppgifter som inte längre behövs för de i lagen angivna ändamålen ska begränsas genom en bestämmelse om avskiljande av sådana uppgifter. Genom bestämmelsen föreslås att personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter föreslås vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Ytterligare föreskrifter

Den nya lagen föreslås vara en ramlag som endast innehåller de grundläggande bestämmelserna om skydd för enskildas personliga integritet. I lagförslaget ges möjlighet till föreskrifter på lägre nivå. Sådana föreskrifter kan meddelas när det gäller Migrationsverkets fingeravtrycks- och fotografiregister, tillgången till personuppgifter, direktåtkomst, överföring av personuppgifter till tredjeland, avskil- jande, gallring och säkerhetsåtgärder.

Ikraftträdande och övergångsbestämmelser

Utlänningsdatalagen och den nya utlänningsdataförordningen före- slås träda i kraft den 1 januari 2016.

26

SOU 2015:73

Sammanfattning

Några särskilda frågor

Registrering av kvalitetsomdömen

Utredningens förslag innebär att Migrationsverket kan registrera identitetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, över- sättare och språkanalytiker. Med avvikelser avses i huvudsak upp- gifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag. Registreringen av aktuella uppgifter syftar till att stärka rättssäkerheten för enskilda i asylprocessen. Av integri- tetsskäl föreslås dock att uppgifter om avvikelser ska gallras efter kort tid.

Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd

Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Krono- fogdemyndighetens utsöknings- och indrivningsdatabas samt För- säkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Migrationsverket har redan i dag tillgång till de flesta uppgifterna. Det nya är alltså att verket nu föreslås få direktåtkomst till uppgifterna. Utredningen har särskilt analyserat Migrationsverkets behov av direktåtkomst till uppgifterna samt behovet av regler som ger enskilda ett bra skydd för den personliga integriteten vid direktåtkomsten. Sistnämnda regler föreskriver ett ansvar för såväl de utlämnande myndigheterna som mottagarmyndigheten.

Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister

Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlän- ningslagen (2005:716, UtlL). Enligt den sistnämnda paragrafen får

27

Sammanfattning

SOU 2015:73

Migrationsverket i vissa fall ta fingeravtryck på en utlänning. Det gäller bland annat om utlänningen inte kan styrka sin identitet. Bak- grunden till utredningens förslag är att kontroller mot Polismyn- dighetens fingeravtrycksregister förbättrar möjligheterna att fastställa en korrekt identitet på utlänningen. Sammantaget menar utredningen att detta intresse väger tyngre än de eventuella integritetsrisker som kan förknippas med en sådan möjlighet.

Skadeståndsskyldighet efter kontroller av Schengenviseringar

Bestämmelserna i 9 kap. 8 c § UtlL innebär att en utlänning är skyl- dig att låta en polisman, en särskild förordnat passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrations- verket ta hans eller hennes fingeravtryck för kontroll av identiteten och av Schengenviseringens äkthet genom sökning i informations- systemet för visering (VIS). Motsvarande skyldighet gäller även för en utlänning som vid en in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras mot VIS i identifieringssyfte. När en kontroll har genomförts ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits i samband med kontrollen.

Utredningen föreslår en klargörande regel om att det är den myn- dighet som har utfört kontrollen som är ansvarig för att uppgifterna förstörs och att skadestånd kan utgå om förstöringsskyldigheten försummas.

28

Summary

Introduction

In this report, the Inquiry gives an account of its remit to draw up a proposal for an act on the processing of personal data in activities under the aliens and citizenship legislation (Terms of Reference 2014:76). In connection with this, we also present a survey of the processing of personal data in these activities and an analysis of whether the processing that is done is necessary and whether addi- tional personal data processing is needed to promote effectiveness and efficiency.

The Inquiry also reports on several other issues that it has been specifically instructed to analyse.

A new act on the processing of personal data in activities under the aliens and citizenship legislation

The purpose and design of the act

Under the Inquiry’s proposals, the processing of personal data in activities under the aliens and citizenship legislation will be regula- ted by an act designed to take account of the protection of personal privacy provided by Chapter 2, Article 6, second paragraph of the Instrument of Government, the Personal Data Act (1998:204) and Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (the ‘Data Protection Directive’). However, it has not been possible to adapt the proposals to the ongoing reform of the EU regulations on protection of personal data, as the work on this reform has not yet been concluded (June 2015).

29

Summary

SOU 2015:73

The act – which it is proposed will be called the ‘Aliens Data Act’

– and a proposed associated ordinance will replace the current Ordinance on the Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).

The proposed overall purpose of the act is to enable relevant authorities to process personal data effectively in their activities under the aliens and citizenship legislation and to protect people from violations of their personal privacy in connection with such processing. The act has been drawn up as a framework law. The basic provisions for the purpose of protecting the data subject against infringements of personal privacy are given in the act. Supplemen- tary provisions are given in subordinate statutes.

The proposed act, which has been made technology-neutral, aims to make it possible for the authorities concerned to use modern and appropriate IT systems to enable the activities to be conducted as effectively as possible.

Scope of the act

Under the proposal, the Aliens Data Act will be applicable to the processing of personal data in activities under the aliens and citizenship legislation conducted by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad.

The act specifies more exactly and exhaustively what these activi- ties consist of. With regard to the activities of the Swedish Migration Agency and Swedish missions abroad, the proposed application of the act will concern personal data processing relating to:

1.the entry of aliens into Sweden or some other state that belongs to the European Union or the European Economic Area, residence or work in Sweden, and exit from Sweden;

2.status declarations;

3.the reception of asylum seekers and other aliens;

4.financial assistance and allowances paid to aliens;

5.Swedish citizenship;

30

SOU 2015:73

Summary

6.compensation from central government for costs relating to aliens; and

7.the settlement of aliens.

With regard to the activities of the Swedish Police Authority and the Swedish Security Service, the proposed application of the act will concern personal data processing relating to aliens’ entry into, exit from, residence in or removal from Sweden.

However, under the proposal, certain personal data processing by the authorities concerned will fall outside the scope of the act even though, in and of itself, the act could have applied. This concerns, for example, the processing of personal data under the Schengen Information System Act (2000:344) and the EU regula- tions generally referred to as the VIS Regulation, the Visa Code and the Eurodac Regulation. Moreover, the act will not be applicable when personal data is processed pursuant to the Police Data Act (2010:361).

Like the Personal Data Act, it is proposed that the act apply when the processing of personal data is wholly or partly automated, and when the personal data is included in, or is intended to form part of, a structured compilation of searchable personal data or a compilation according to particular criteria. The proposed scope has therefore been widened somewhat compared with what applies under the current Aliens Data Ordinance, which primarily concerns the processing of personal data in various records of activities.

Relationship to the Personal Data Act

Under the proposal, the provisions in the new act will generally take precedence over the provisions of the Personal Data Act. However, certain provisions in the Personal Data Act will be applicable to activities under the aliens and citizenship legislation. These provisions are specifically indicated in the new act. They include the provisions of the Personal Data Act on the relationship to the principle of public access to official documents (Section 8), fundamental requirements concerning the processing of personal data (Section 9), the pro- cessing of data concerning personal identity numbers (Section 22),

31

Summary

SOU 2015:73

the transfer of personal data to third countries (Sections 33–35) and damages (Section 48).

Control of personal data

It is proposed that the authority undertaking processing or respon- sible for doing so should be the controller of personal data in the process. As an exception to this general rule, it is proposed that the Swedish Migration Agency should be the controller of personal data for automated processing of personal data by Swedish missions abroad.

In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service should be obliged to appoint one or more personal data representatives for the processing of personal data that they undertake or are respon- sible for undertaking.

Purposes etc.

Under the proposal, the processing of personal data pursuant to the Aliens Data Act will only be permitted if necessary for certain specifically stated purposes.

The purposes, which may be primary or secondary, will be clari- fied by the act.

The proposed primary purposes of personal data processing by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad are as follows:

1.processing of matters or assistance by an authority in such matters in activities within the scope of the act (see above);

2.controls of aliens in connection with entry and exit and controls during residence in Sweden;

3.performance of working duties relating to the reception and settlement of asylum seekers and other aliens;

4.supervision, control, monitoring, planning of activities, pro- duction of statistics and pilot activities; or

32

SOU 2015:73

Summary

5.fulfilment of a legal obligation to register or otherwise document personal data.

Furthermore, it is proposed that the Swedish Migration Agency be permitted to process personal data if this is necessary to retrieve decisions, judicial investigations and other legal information or infor- mation relating to conditions in other countries.

In addition, it is proposed that personal data processed in accor- dance with the above-listed primary purposes should also be per- mitted to be processed in accordance with the secondary purposes listed below if this is necessary to make information available:

1.to another public authority or individual, if the data is disclosed pursuant to an act or ordinance; or

2.to a foreign authority, an EU body or an international organi- sation, if the disclosure of data follows from Sweden’s member- ship of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag.

In an individual case, personal data processing will also be permitted to make information available for a purpose other than those now mentioned, provided that the purpose is not incompatible with the purpose for which the data was obtained (the ‘principle of finality’).

Separate regulations with more limited provisions on purposes are proposed for the records of fingerprints and photographs kept by the Swedish Migration Agency.

Sensitive personal data

The term ‘sensitive personal data’ refers to data that reveals a person’s race or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership and data relating to health and sex life. Such data has to be processed extensively in the aliens and citizenship area. The Inquiry proposes that sensitive personal data should be permitted to be processed, in principle, for all the pur- poses for which processing is permitted. However, one condition, if the data subject has not given explicit consent to processing or

33

Summary

SOU 2015:73

made the data public in some obvious way, is that the data is absolute- ly essential for the purpose of the processing. The condition that the data must be absolutely essential underlines that it should be processed with caution, never as a matter of routine.

Access to personal data

Generally speaking, large collections of information stored in a manner that makes them easily searchable by electronic means entail an increased risk of violations of individuals’ privacy. As a step in strengthening the protection of privacy, a provision is proposed in the act to the effect that access to personal data will be limited to what each official needs in order to carry out their duties. In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service be able to issue more detailed regulations on access to personal data for persons working in that authority. Under the Inquiry’s proposals, the Swedish Migration Agency should also be able to issue relevant regulations regarding data processed by automated means at Swedish missions abroad.

Restrictions on searches

As an additional measure to strengthen the protection of privacy, restrictions are proposed on the search terms that may be used when searching personal data for certain purposes in certain cases.

It is proposed that the use of sensitive personal data as search terms will be restricted to processing for the purpose of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, and for data retrieval in certain cases. The Swedish Migration Agency needs to be able to use sensitive personal data as search terms for the production of certain statistics, for example, and in preparing activities in response to expected refugee flows.

With certain exceptions, it is proposed that personal data on violations of the law should not be permitted to be used as search terms.

34

SOU 2015:73

Summary

Electronic disclosure of personal data

Even if electronic disclosure of personal data involves certain risks to privacy, the Inquiry considers that, with the exception of dis- closure via direct access, there is no need to introduce special regulations on when electronic disclosure may occur. Consequently, no such provisions are proposed.

It is proposed that for certain special purposes, the Swedish Police Authority, the Swedish Security Service, Swedish missions abroad, the Swedish Social Insurance Agency, the Swedish Pensions Agency and the Swedish Tax Agency be allowed direct access to certain personal data processed by automated means by the Swedish Migration Agency. Exhaustive regulation of direct access is proposed.

The regulations on direct access have been designed bearing in mind the special risks that direct access entails for individuals’ privacy. Among other things, the receiving authorities must have a real need for the data and the data that may be made available is specified by statute as precisely as possible. In addition, before direct access is permitted, the Swedish Migration Agency must make sure that the receiving authority meets the authorisation and security require- ments. Further requirements proposed are that access to the data at the receiving authorities be restricted to what the individual official needs to be able to fulfil his or her duties.

The Inquiry proposes some provisions overriding secrecy in consequence of direct access.

Transfer of personal data to third countries

The Inquiry has found that in certain cases personal data needs to be transferred to third countries irrespective of whether the indi- vidual has consented to this. A provision on further exceptions to the prohibition against transferring personal data to third countries enacted in Section 33 of the Personal Data Act is therefore pro- posed for these cases.

The proposed exception will mean that personal data may be transferred to a third country if this is absolutely essential for (1) the processing of a matter or assistance in such a matter; (2) controls of an alien in connection with entry or exit or controls during the alien’s stay in Sweden; or (3) processing undertaken for the

35

Summary

SOU 2015:73

purpose of retrieving decisions, judicial investigations and other legal information.

Retention, deletion and detachment

In the Inquiry’s opinion, personal data processed by automated means in public documents in the activities concerned should in general be retained or deleted as directed by the provisions of the Archives Act (1990:782), as is currently the case. As the Inquiry sees it, the argument in favour of retention is the public interest in the trans- parency of the activities. This interest is particularly manifested by researchers and journalists. Furthermore, the Inquiry considers it far from obvious that the interests of privacy are best served by destroying personal data. Moreover, in these activities it is often necessary to retrieve data from previous matters.

However, the Inquiry considers that exceptions should be made to this general rule in certain cases. Accordingly, exceptions to the provisions of the Archives Act are proposed for (1) the Swedish Migration Agency’s fingerprint and photograph records, where it is proposed that data be deleted in accordance with the current arrange- ments; (2) sensitive personal data processed for the purposes of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, where it is proposed that this data be deleted immediately the processing is no longer necessary for any of the purposes stated; and (3) personal data processed by auto- mated means by the Swedish Migration Agency because a public counsel, an interpreter, a translator or a language analyst may be unsuitable for future commissions, where it is proposed that this data be deleted after a short time.

To strengthen individual privacy, the Inquiry proposes that access to data that is no longer needed for the purposes stated in the act be limited by means of a provision on the detachment of such data. The proposed provision will direct that personal data in auto- mated data compilations that are used in the authorities’ day-to- day activities shall be detached when it is no longer needed for these activities. It is proposed that access to detached data be limited to persons who are in absolute need of the data in order to carry out their duties.

36

SOU 2015:73

Summary

Additional regulations

Under the proposal, the new act will be a framework law containing only the basic provisions on protection of individuals’ personal privacy. The proposed act allows the possibility of regulations at a lower level. Such regulations may be issued with regard to the Swedish Migration Agency’s fingerprint and photograph records, access to personal data, direct access, transfer of personal data to third countries, detachment of data, deletion and security measures.

Entry into force and transitional provisions

The proposed date for entry into force of the new Aliens Data Act and Aliens Data Ordinance is 1 January 2016.

Specific issues

Registration of quality assessments

The Inquiry’s proposal means that the Swedish Migration Agency will be able to register data on the identity, special expertise and defects relating to public counsels other than members of the Swedish Bar Association and legal associates, interpreters, translators and language analysts. The term ‘defects’ refers chiefly to data on negli- gence, inadequacy and incompetence, but also data showing that a contractor has committed an offence or been declared bankrupt. Such defects can mean that a contractor is unsuitable for commis- sions. The registration of these types of data is intended to enhance the legal security of individuals in the asylum process. However, for reasons of integrity, it is proposed that data on defects be de- leted after a short time.

More efficient information exchange in the processing of residence permits for purposes of employment and work permits

The Inquiry proposes that the Swedish Migration Agency should be allowed direct access to certain personal data in the Swedish Tax Agency’s taxation database, the Swedish Enforcement Authority’s

37

Summary

SOU 2015:73

enforcement and collection database and the Swedish Social In- surance Agency’s and Swedish Pensions Agency’s social insurance database. The Swedish Migration Agency already has access to most of this data. What is new is the proposal that the Agency should now be given direct access to the data. The Inquiry has made a special analysis of the Swedish Migration Agency’s need for direct access to the data and the need for rules that give the individual good privacy protection in the event of direct access. These rules entail a responsibility for both the disclosing authority and the receiving authority.

The right of the Swedish Migration Agency to access data in the Swedish Police Authority’s fingerprint records

The Inquiry proposes that the Swedish Migration Agency should have the right to access data from the Swedish Police Authority’s fingerprint records (the A file in the automated fingerprint identi- fication system, AFIS) when checking fingerprints taken pursuant to Chapter 9, Section 8 of the Aliens Act (2005:716). This section of the Act allows the Swedish Migration Agency to take an alien’s fingerprints in certain cases. This is allowed, for example, if the alien is unable to provide proof of identity. The thinking behind the Inquiry’s proposal is that checking against the Swedish Police Authority’s fingerprint records improves the prospects of establishing the correct identity of the alien. On balance, the Inquiry considers that this interest outweighs the possible integrity risks that may be associated with this possibility.

Liability for damages after controls of Schengen visas

Under the provisions of Chapter 9, Section 8c of the Aliens Act, an alien is obliged to allow a policeman, a specially appointed passport official or an official at the Swedish Customs, the Swedish Coast Guard or the Swedish Migration Agency to take his or her finger- prints in order to check the alien’s identity and the genuineness of the Schengen visa by searching in the Visa Information System (VIS). A corresponding obligation also applies to an alien who is unable to prove his or her identity during entry or exit controls and who may

38

SOU 2015:73

Summary

be checked against the VIS for identification purposes. After a control has been carried out, the fingerprints taken for control purposes must be destroyed immediately. This also applies to biometric data taken in connection with the control.

The Inquiry proposes a regulation clarifying that it is the authority that has carried out the control that is responsible for the data being destroyed and that damages may be payable if the obligation to destroy the data is neglected.

39

1 Författningsförslag

1.1Förslag till utlänningsdatalag

Härigenom förskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Migrationsverket, Polismyndig- heten, Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan be- handling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Migrations- verkets och utlandsmyndigheternas verksamhet som rör:

1.utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.statusförklaring,

3.mottagande av asylsökande och andra utlänningar,

4.bistånd och stöd till utlänningar,

5.svenskt medborgarskap,

6.statlig ersättning för kostnader för utlänningar eller

7.bosättning av utlänningar.

41

Författningsförslag

SOU 2015:73

3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlän- ningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personupp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då personuppgifter behandlas med stöd av

1.lagen (2000:344) om Schengens informationssystem,

2.Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),

3.Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om vise- ringar (viseringskodex),

4.polisdatalagen (2010:361) eller

5.Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av finger- avtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myn- digheter begär jämförelser med Eurodacuppgifter för brottsbekäm- pande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (om- arbetning).

Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förordningen.

42

SOU 2015:73

Författningsförslag

Den registrerades inställning

6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.

Förhållandet till personuppgiftslagen

7 § Om inte annat anges i 8 §, gäller denna lag i stället för person- uppgiftslagen (1998:204) eller föreskrifter som har meddelats i an- slutning till den lagen.

8 § Följande bestämmelser i personuppgiftslagen (1998:204) tilläm- pas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § om grundläggande krav på behandling av personuppgifter,

4.22 § om behandling av personnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse m.m.,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid be- handling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.38–41 §§ om personuppgiftsombud m.m.,

10.42 § om upplysningar till allmänheten om vissa behandlingar,

11.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndig- hetens befogenheter,

12.48 § om skadestånd och

13.51 §, 52 § första stycket och 53 § om överklagande.

Om personuppgifter ska gallras enligt denna lag eller enligt före- skrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

43

Författningsförslag

SOU 2015:73

Personuppgiftsansvar

9 § Med undantag för vad som föreskrivs i andra stycket är den myn- dighet som anges i 2 och 3 §§ personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför eller som det åligger den myndigheten att utföra.

Migrationsverket är även personuppgiftsansvarigt för utlands- myndigheternas automatiserade behandling av personuppgifter.

10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgifts- behandling som myndigheten utför eller som det åligger myndigheten att utföra. Den personuppgiftsansvarige ska anmäla till tillsynsmyn- digheten enligt personuppgiftslagen (1998:204) när ett personupp- giftsombud utses eller entledigas.

Ändamål

11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna får behandla personuppgifter om det är nöd- vändigt för

1.handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,

2.kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bo- sättning av asylsökande och andra utlänningar,

4.tillsyn, kontroll, uppföljning, planering av verksamheten, fram- ställning av statistik samt testverksamhet eller

5.fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av

1.avgöranden, rättsutredningar och annan rättslig information

eller

2.information rörande förhållanden i andra länder.

44

SOU 2015:73

Författningsförslag

13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas om det är nödvändigt för att tillhandahålla information

1.till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller

2.till en utländsk myndighet, ett EU-organ eller en mellanfolk- lig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Migrationsverkets fingeravtrycks- och fotografiregister

14 § Migrationsverket får föra automatiserade register över finger- avtryck och fotografier som tas med stöd av 9 kap. 8 § utlännings- lagen (2005:716). Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap. 1–2 a §§ utlännings- lagen åberopas, i ärenden om avvisning och utvisning samt i test- verksamhet.

Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet fotografi.

Uppgift om fingeravtryck får även behandlas när det är nödvän- digt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11–17 §§ polisdatalagen (2010:361).

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.

45

Författningsförslag

SOU 2015:73

Behandling av känsliga personuppgifter

15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryck- liga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Därutöver får känsliga personuppgifter behandlas en- dast

1.för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller

2.i löpande text för det ändamål som anges i 12 § 2, om upp- gifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

Sökning

17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 11 § 1−3 och 5 samt 13 §.

Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § per- sonuppgiftslagen får inte användas som sökbegrepp. Beslut om för- var enligt utlänningslagen (1989:529) får dock användas som sök- begrepp.

46

SOU 2015:73

Författningsförslag

Direktåtkomst

18 § Direktåtkomst till personuppgifter som behandlas automatise- rat hos Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.

Direktåtkomst till personuppgifter som Migrationsverket behand- lar får medges

1.Polismyndigheten för ändamål som anges i 11 § 1–3 och 14 §,

2.Säkerhetspolisen för ändamål som anges i 11 § 1–3 samt

3.utlandsmyndigheterna, Försäkringskassan, Pensionsmyndig- heten och Skatteverket för ändamål som anges i 11 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säker- het.

Överföring av personuppgifter till tredjeland

19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över person- uppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredje- land.

Avskiljande

20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § ska avskiljas från automatiserad behand- ling i myndighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.

Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter

47

Författningsförslag

SOU 2015:73

om avskiljande av personuppgifter som behandlas av utlandsmyn- digheterna under Migrationsverkets personuppgiftsansvar.

Gallring

21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela närmare föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga bi- träden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag.

Säkerhetsåtgärder

22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgifts- ansvar.

Denna lag träder i kraft den 1 januari 2016.

48

SOU 2015:73

Författningsförslag

1.2Förslag till

lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

Härigenom föreskrivs att det i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet ska införas en ny paragraf, 2 kap. 8 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 kap.

8 b §

Migrationsverket får medges direktåtkomst till uppgifter som avses i 3 § 1–5 och 11 om upp- gifterna behövs vid

1.handläggning av ansökning- ar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),

2.handläggning av ansökning- ar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3.kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket ut- länningslagen.

Regeringen eller den myndig- het som regeringen bestämmer kan med stöd av 8 kap. 7 § rege- ringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

49

Författningsförslag

SOU 2015:73

1.3Förslag till

lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att det i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska införas en ny paragraf, 2 kap. 27 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 kap.

27 a §

Migrationsverket får medges direktåtkomst till uppgifter som avses i 5 § första stycket 3 om uppgifterna behövs vid

1. handläggning av ansökning- ar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716), 2. handläggning av ansök- ningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlän-

ningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket ut- länningslagen.

Regeringen eller den myndig- het som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela närmare före- skrifter om omfattningen av direkt- åtkomsten samt om behörighet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

50

SOU 2015:73

Författningsförslag

1.4Förslag till

lag om ändring av utlänningslagen (2005:716)

Härigenom föreskrivs i fråga om utlänningslagen (2005:716) dels att 9 kap. 8 c § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 17 kap. 4 §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9 kap.

8 c §

Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polisman, en särskilt förordnad passkontrollant eller en tjänste- man vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av vise- ringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om infor- mationssystemet för viseringar (VIS) och utbytet mellan medlems- staterna av uppgifter om viseringar för kortare vistelse (VIS-för- ordningen), i den ursprungliga lydelsen.

Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.

När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.

Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör finger- avtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.

51

Författningsförslag

SOU 2015:73

17 kap.

4 §

Polismyndigheten, Säkerhets- polisen och utlandsmyndigheterna har rätt att ta del av sådana upp- gifter som myndigheterna får med- ges direktåtkomst till enligt utlän- ningsdatalagen (0000:00).

Denna lag träder i kraft den 1 januari 2016.

52

SOU 2015:73

Författningsförslag

1.5Förslag till

lag om ändring i socialförsäkringsbalken (2010:110)

Härigenom föreskrivs i fråga om socialförsäkringsbalken (2010:110)

dels att 114 kap. 1 och 17 §§ ska ha följande lydelse,

dels att en ny paragraf, 114 kap. 23 a §, ska införas av följande

lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

114 kap.

1 §

I detta kapitel finns allmänna bestämmelser i 25 §§. Vidare finns bestämmelser om

personuppgiftslagen och personuppgiftsansvar i 6 §,

ändamål för behandling av personuppgifter i 7–10 §§,

behandling av känsliga personuppgifter m.m. i 11–13 §§,

behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

tilldelning av behörighet i 17 §,

– direktåtkomst i 18–23 §§,

– direktåtkomst i 18–23 a §§,

utlämnande på medium för automatisk behandling i 24–26 a §§,

sökbegrepp i 27 och 28 §§,

överföring av personuppgifter till tredjeland i 29 §,

information i 30 §,

gallring i 31 §,

avgifter i 32 §,

rättelse och skadestånd i 33 §,

kontrollverksamhet i 34 §,

tystnadsplikt i 35 §, och

överklagande i 36 §

 

17 §

 

Behörighet för åtkomst

till

Behörighet för åtkomst

till

socialförsäkringsdatabasen

ska

socialförsäkringsdatabasen

ska

inom socialförsäkringens admi-

inom socialförsäkringens admi-

nistration tilldelas genom en sär-

nistration tilldelas genom en sär-

53

Författningsförslag SOU 2015:73

skild handling i enlighet med

skild handling i enlighet med

föreskrifter som

meddelas

av

föreskrifter som

meddelas

av

regeringen eller den myndighet

regeringen eller den myndighet

som regeringen bestämmer.

 

som regeringen bestämmer.

 

Behörighet för

åtkomst

till

Behörighet för

åtkomst

till

socialförsäkringsdatabasen

ska

socialförsäkringsdatabasen och till

begränsas till vad som behövs

personuppgifter hos Migrations-

för att den enskilde ska kunna

verket ska begränsas till vad som

fullgöra sina arbetsuppgifter.

 

behövs för att den enskilde ska

 

 

 

kunna fullgöra sina arbetsupp-

 

 

 

gifter.

 

 

23 a §

Migrationsverket får medges direktåtkomst till uppgifter i social- försäkringsdatabasen om uppgif- terna behövs vid

1. handläggning av ansökning- ar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716), 2. handläggning av ansökning- ar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen

eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket ut- länningslagen.

Regeringen eller den myn- dighet som regeringen bestämmer kan med stöd av 8 kap. 7 § rege- ringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

54

SOU 2015:73

Författningsförslag

1.6Förslag till

lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att 2 kap. 8 § och 18 § polisdatalagen (2010:361) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap.

8 §

Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3.sådan verksamhet hos Polismyndigheten som avser handräck- ningsuppdrag,

4.annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5.verksamhet hos Kriminal- vården för att förebygga brott och upprätthålla säkerheten, eller

6.en myndighets verksamhet a) om det enligt lag eller för-

ordning åligger Polismyndigheten att bistå myndigheten med viss uppgift, eller

b) om informationen tillhanda- hålls inom ramen för myndighets- överskridande samverkan mot brott.

5.verksamhet hos Kriminal- vården för att förebygga brott och upprätthålla säkerheten,

6.verksamhet hos Migrations- verket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § ut- länningslagen (2005:716) mot fingeravtrycksregister som Polis- myndigheten för enligt 4 kap. 11– 17 §§ eller

7.en myndighets verksamhet a) om det enligt lag eller för-

ordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller

55

Säkerhetspolisen, Ekobrotts- myndigheten, Tullverket, Kust- bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess- lagen (2009:400), rätt att ta del av personuppgifter som behand- las i fingeravtrycks- och signale- mentsregister enligt 4 kap. 11– 17 §§, om den mottagande myn- digheten behöver uppgifterna i sin brottsbekämpande verksam- het. Motsvarande gäller för Migrationsverket avseende person- uppgifter som behandlas i finger- avtrycksregister enligt första stycket,

Författningsförslag

SOU 2015:73

b) om informationen till- handahålls inom ramen för myn- dighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna upp- gifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som be- handlas enligt 7 § och som avser efterlysta personer och avlägsnan- den ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsätt- ning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

18 §

Säkerhetspolisen, Ekobrotts- myndigheten, Tullverket, Kust- bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess- lagen (2009:400), rätt att ta del av personuppgifter som behand- las i fingeravtrycks- och signale- mentsregister enligt 4 kap. 11– 17 §§, om den mottagande myn- digheten behöver uppgifterna i sin brottsbekämpande verksam- het.

56

SOU 2015:73

Författningsförslag

om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.

Denna lag träder i kraft den 1 januari 2016.

57

Författningsförslag

SOU 2015:73

1.7Förslag till utlänningsdataförordning

Härigenom föreskrivs följande.

Allmän bestämmelse

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen (0000:00). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

Migrationsverkets fingeravtrycks- och fotografiregister

2 § Registren får endast innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordnings- nummer, födelsetid, kön, medborgarskap eller annan identifierings- uppgift.

3 § En uppgift i registren ska gallras när den registrerade blir svensk medborgare. I andra fall ska gallring ske senast tio år efter det att uppgiften registrerades.

Tillgången till personuppgifter

4 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive myndigheter. Migrations- verket får även meddela sådana föreskrifter såvitt avser den automa- tiserade behandlingen av personuppgifter hos utlandsmyndigheterna. För tilldelning av behörighet för åtkomst till personuppgifter ska särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

5 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna ansvarar för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbun- den uppföljning av behörigheter för åtkomst till personuppgifter.

58

SOU 2015:73

Författningsförslag

Migrationsverket ansvarar också för att det finns sådana rutiner hos utlandsmyndigheterna såvitt avser den automatiserade behandlingen av personuppgifter.

Direktåtkomst

6 § Migrationsverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 18 § utlänningsdatalagen (0000:00).

Direktåtkomst till uppgifterna får inte medges innan Migrations- verket har försäkrat sig om att den mottagande myndigheten upp- fyller kraven på behörighet och säkerhet.

7 § Polismyndighetens och Säkerhetspolisens direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) får inte avse andra uppgifter än sådana som är absolut nödvändiga för att myndigheterna ska kunna utföra de arbetsuppgifter som ankommer på dem.

8 § Försäkringskassans och Pensionsmyndigheten direktåtkomst enligt 18 § utlänningsdatalagen (0000:000) ska begränsas till upp- gifter som behövs inom Försäkringskassans och Pensionsmyndig- hetens verksamhet som underlag för att bedöma eller fastställa för- mån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd.

Direktåtkomsten får endast avse uppgift om

1.namn, personnummer och i förekommande fall samordnings- nummer,

2.bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,

3.dag för beslut om uppehållstillstånd, arbetstillstånd eller ut- färdande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehålls- kort har utfärdats,

4.inresedatum,

5.datum för ansökan om uppehållstillstånd, arbetstillstånd eller uppehållskort,

6.särskilt bevis enligt 5 kap. 4 § tredje stycket utlänningsförord- ningen (2006:97),

59

Författningsförslag

SOU 2015:73

7.att uppehållstillstånd har beviljats den enskilde som flykting enligt 4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § utlänningslagen (2005:716) eller motsvarande äldre bestämmelser,

8.att statusförklaring har beviljats enligt 4 kap. 3 c § utlännings- lagen eller motsvarande äldre bestämmelser,

9.att uppehållstillstånd har beviljats den enskilde för studier eller som familjemedlem till en sådan person och

10.beslut om återkallelse av uppehållstillstånd eller arbetstillstånd, uppgift om från och med vilket datum uppehållstillstånd eller arbets- tillstånd har återkallats och uppgift om vilket datum beslut om återkallelse av uppehållstillstånd eller arbetstillstånd har vunnit laga kraft.

9 § Skatteverkets direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige.

Direktåtkomsten får endast avse uppgift om

1.namn och personnummer,

2.längd,

3.fotografi,

4.underskrift,

5.typ av resehandling, resehandlingens nummer och giltighets- tid samt

6.bevis om uppehållstillstånd.

Överföring av personuppgifter till tredjeland

10 § Personuppgifter som behandlas för ändamål som anges i 12 § 1 utlänningsdatalagen (0000:00) får föras över till tredjeland endast om uppgifterna inte direkt pekar ut den registrerade.

Avskiljande

11 § Migrationsverket får meddela föreskrifter om avskiljande av per- sonuppgifter som behandlas av utlandsmyndigheterna under Migra- tionsverkets personuppgiftsansvar.

60

SOU 2015:73

Författningsförslag

Gallring

12 § Känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställ- ning av statistik eller testverksamhet ska genast gallras när behand- lingen inte längre är nödvändig för något av de angivna ändamålen.

13 § Personuppgifter som Migrationsverket behandlar automatiserat därför att offentliga biträden, tolkar, översättare eller språkanalyti- ker kan vara olämpliga för framtida uppdrag ska gallras senast två år efter det att uppgifterna registrerades.

Säkerhetsåtgärder

14 § Migrationsverket får meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndig- heterna under Migrationsverkets personuppgiftsansvar.

Denna förordning träder i kraft den 1 januari 2016, då förord- ningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska upphöra att gälla.

61

Författningsförslag

SOU 2015:73

1.8Förslag till

förordning om ändring i folkbokföringsförordning (1991:749)

Härigenom föreskrivs att 5 a § folkbokföringsförordningen (1991:749) ska ha följande lydelse.

Nuvarande lydelse

 

 

Föreslagen lydelse

 

 

 

5 a §

 

Samordningsnummer får till-

Samordningsnummer får till-

delas en person om det inte råder

delas en person om det inte råder

osäkerhet om hans eller hennes

osäkerhet om hans eller hennes

identitet.

 

 

identitet.

 

Även om det råder osäkerhet

Även om det råder osäkerhet

om en persons identitet, får sam-

om en persons identitet, får sam-

ordningsnummer tilldelas för

 

ordningsnummer tilldelas för

1. registrering i register som

1. registrering i register som

förs enligt lagen (1998:620) om

förs enligt lagen (1998:620) om

belastningsregister,

lagen

belastningsregister,

lagen

(1998:621) om misstankeregist-

(1998:621) om misstankeregist-

er, lagen (2010:362) om polisens

er, lagen (2010:362) om polisens

allmänna spaningsregister

och

allmänna spaningsregister

och

polisdatalagen (2010:361),

 

polisdatalagen (2010:361),

 

2. annan behandling av upp-

2. annan behandling av upp-

gifter enligt polisdatalagen, eller

gifter enligt polisdatalagen, eller

i övrigt inom rättsväsendets in-

i övrigt inom rättsväsendets in-

formationssystem,

 

 

formationssystem,

 

3. registrering i

Migrations-

3. Migrationsverkets behandling

verkets verksamhetsregister enligt

av uppgifter med stöd av utlän-

förordningen (2001:720) om be-

ningsdatalagen (0000:00) när det

handling av personuppgifter i verk-

gäller personer som omfattas av

samhet enligt utlännings- och med-

lagen (1994:137) om mottagan-

borgarskapslagstiftningen när

det

de av asylsökande m.fl., eller

gäller personer som omfattas av lagen (1994:137) om mottagan- de av asylsökande m.fl., eller

62

SOU 2015:73 Författningsförslag

4. registrering i beskattnings-

4. registrering i beskattnings-

databasen.

databasen.

Denna förordning träder i kraft den 1 januari 2016.

63

Författningsförslag

SOU 2015:73

1.9Förslag till

förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

Härigenom föreskrivs i fråga om förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

dels att det ska införas två nya paragrafer, 7 e § och 17 a §, av följande lydelse,

dels att rubriken närmast före 17 a § ska lyda ”Direktåtkomst för myndigheter”.

Nuvarande lydelse

Föreslagen lydelse

 

 

7 e §

 

 

 

Migrationsverket har rätt att

 

ta del av personuppgifter som avses

 

i 2 kap. 3 §

1–5

och 11 lagen

 

(2001:181) om behandling av upp-

 

gifter i Skatteverkets beskattnings-

 

verksamhet, om uppgifterna behövs

 

vid

 

 

 

1. handläggning av ansökning-

 

ar om uppehållstillstånd för att

 

bedriva näringsverksamhet enligt

 

5 kap. utlänningslagen (2005:716),

 

2. handläggning av ansökning-

 

ar om arbetstillstånd enligt 6 kap.

 

2 § första stycket utlänningslagen

 

eller

 

 

 

3. kontroll

av

arbetstillstånd

 

enligt 6 kap. 2 § första stycket ut-

 

länningslagen.

 

 

17 a §

Migrationsverket får vid direkt- åtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen (2001:181) om behandling av

64

SOU 2015:73

Författningsförslag

uppgifter i Skatteverkets beskatt- ningsverksamhet endast medges rätt att ta del av

1.uppgift om förvärvsinkomst, fastställd och preliminär,

2.uppgift om underlag som lämnats av arbetsgivare avseende person som erhållit förvärvs- inkomst,

4.uppgift om skatter och av- gifter som överlämnats till Krono- fogdemyndigheten för indrivnings- åtgärder,

5.beslutade arbetsgivaravgifter,

6.skatteform och

7.återkallelse av godkännande för F-skatt.

Skatteverket får meddela när- mare föreskrifter om vad som krävs

ifråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.

Direktåtkomst till uppgifterna får inte medges innan Skatteverket har försäkrat sig om att Migra- tionsverket uppfyller kraven på behörighet och säkerhet.

Denna förordning träder i kraft den 1 januari 2016.

65

Författningsförslag

SOU 2015:73

1.10Förslag till

förordning om ändring i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att det i förordningen (2001:590) om be- handling av uppgifter i Kronofogdemyndighetens verksamhet ska införas två nya paragrafer, 8 a § och 10 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

 

8 a §

 

 

 

 

Migrationsverket har rätt

att

 

ta del av personuppgifter som avses

 

i 2 kap. 5 § första stycket 3 lagen

 

(2001:184)

om

behandling

av

 

uppgifter i

Kronofogdemyndig-

 

hetens verksamhet, om uppgifter-

 

na behövs vid

 

 

 

1. handläggning av ansökning-

 

ar om uppehållstillstånd för att

 

bedriva näringsverksamhet enligt

 

5 kap. utlänningslagen (2005:716),

 

2. handläggning av ansökning-

 

ar om arbetstillstånd enligt 6 kap.

 

2 § första stycket utlänningslagen

 

eller

 

 

 

 

3. kontroll av

arbetstillstånd

 

enligt 6 kap. 2 § första stycket ut-

 

länningslagen.

 

 

10 a §

Migrationsverket får vid direkt- åtkomst enligt 2 kap. 27 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet endast medges rätt att ta del av

66

SOU 2015:73

Författningsförslag

1.uppgift om fysiska personers skulder i allmänna och enskilda mål och

2.uppgift om att konkursför- farande inletts.

Kronofogdemyndigheten får meddela närmare föreskrifter om vad som krävs i fråga om behö- righet och säkerhet för att myn- digheten ska kunna medge direkt- åtkomst till uppgifter för Migra- tionsverket.

Direktåtkomst till uppgifterna får inte medges innan Krono- fogdemyndigheten har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säker- het.

Denna förordning träder i kraft den 1 januari 2016.

67

Utöver de fall som anges i
114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de be- gränsningar som anges i samma stycke samt i 11 och 12 §§ sam- ma kapitel, i socialförsäkrings- databasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt upp- gifter om
1. kön,
2. civilstånd,
3. medborgarskap,
4. födelseort,
5. studiemedel och andra eko- nomiska förhållanden,
6. värnpliktstjänstgöring, utbildning, yrke och arbetsupp- gifter,

Författningsförslag

SOU 2015:73

1.11Förslag till

förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Härigenom föreskrivs i fråga om förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administra- tion

dels att 2 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 3 d § och 5 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Utöver de fall som anges i

114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de be- gränsningar som anges i samma stycke samt i 11 och 12 §§ sam- ma kapitel, i socialförsäkrings- databasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt upp- gifter om

1. kön,

2. civilstånd,

3. medborgarskap,

4. födelseort,

5. studiemedel och andra eko- nomiska förhållanden,

6. värnpliktstjänstgöring, utbildning, yrke och arbetsupp- gifter,

68

SOU 2015:73

Författningsförslag

7.arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8.preliminärskatt, inkomstbe- skattning och fastighetstaxering,

9.hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10.uppgifter i och formerna för ansökningar eller anmälning- ar,

11.förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårds- stöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårds- åtgärder som begäran avser,

13.åtgärdskoder enligt förord- ningen (2008:193) om statligt tandvårdsstöd,

15.patientavgifter och tand- vårdsersättningar,

16.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

17.nedsatt arbetsförmåga,

18.förmåns- eller ersättnings- relaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19.förmåns- eller ersättnings- relaterad information i rehabili- teringsutredningar eller andra utredningar i rehabiliteringsären- den samt rehabiliteringsplaner,

20.arten av, kostnaderna och tidpunkterna för föreslagna, pla- nerade och vidtagna rehabilite-

7.arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8.preliminärskatt, inkomstbe- skattning och fastighetstaxering,

9.hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10.uppgifter i och formerna för ansökningar eller anmälning- ar,

11.förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårds- stöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårds- åtgärder som begäran avser,

13.åtgärdskoder enligt förord- ningen (2008:193) om statligt tandvårdsstöd,

15.patientavgifter och tand- vårdsersättningar,

16.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

17.nedsatt arbetsförmåga,

18.förmåns- eller ersättnings- relaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19.förmåns- eller ersättnings- relaterad information i rehabili- teringsutredningar eller andra utredningar i rehabiliteringsären- den samt rehabiliteringsplaner,

20.arten av, kostnaderna och tidpunkterna för föreslagna, pla- nerade och vidtagna rehabilite-

69

Författningsförslag SOU 2015:73

ringsåtgärder,

 

 

 

 

ringsåtgärder,

 

 

 

 

21. leverantörer av produkter

21. leverantörer av produkter

och tjänster inom rehabiliterings-

och tjänster inom rehabiliterings-

området,

 

 

 

 

 

området,

 

 

 

 

 

22. vårdgivare,

 

 

 

22. vårdgivare,

 

 

 

23. remisser,

 

 

 

23. remisser,

 

 

 

24. läkaren som utfärdat intyg

24. läkaren som utfärdat intyg

eller utlåtanden som ligger till

eller utlåtanden som ligger till

grund för beslutet om ersättning,

grund för beslutet om ersättning,

25. diagnoser,

 

 

 

25. diagnoser,

 

 

 

26. förekomsten av sådan sär-

26. förekomsten av sådan sär-

skild grund för beaktande av

skild grund för beaktande av

högre bostadskostnad som avses

högre bostadskostnad som avses

i 97 kap. 18 § andra stycket och

i 97 kap. 18 § andra stycket och

27 § andra stycket socialförsäk-

27 § andra stycket socialförsäk-

ringsbalken,

 

 

 

 

ringsbalken,

 

 

 

 

27. bevakningsanledningar,

27. bevakningsanledningar,

28. frågor om återbetalnings-

28. frågor om återbetalnings-

skyldighet har uppkommit,

 

skyldighet har uppkommit,

 

29. anledningen

till

att

ett

29. anledningen

till

att

ett

ärende har avslutats,

 

 

ärende har avslutats,

 

 

30. avgöranden

av

domstol,

30. avgöranden

av

domstol,

Försäkringskassan eller Pensions-

Försäkringskassan eller Pensions-

myndigheten som är av betydel-

myndigheten som är av betydel-

se för enskilda ärenden i fråga

se för enskilda ärenden i fråga

om uppgifter om utgången, de

om uppgifter om utgången, de

bestämmelser som har tillämpats

bestämmelser som har tillämpats

och om avgörandet har överkla-

och om avgörandet har överkla-

gats,

 

 

 

 

 

gats,

 

 

 

 

 

31. beslut i ärenden,

 

 

31. beslut i ärenden,

 

 

32. att

den

registrerade

får

32. att

den

registrerade

får

aktivitetsstöd

eller

utvecklings-

aktivitetsstöd

eller

utvecklings-

ersättning

enligt

förordningen

ersättning

enligt

förordningen

(1996:1100) om aktivitetsstöd,

(1996:1100) om aktivitetsstöd,

33. att den registrerade har rätt

33. att den registrerade har rätt

till ersättning

enligt

16–22 §§

till ersättning

enligt

16–22 §§

förordningen om aktivitetsstöd,

förordningen om aktivitetsstöd,

34. registrerade som får eller

34. registrerade som får eller

har fått vård eller försörjning helt

har fått vård eller försörjning helt

70

SOU 2015:73

Författningsförslag

eller delvis på det allmännas be- kostnad,

35.den registrerade från ut- söknings- och indrivningsdata- basen,

36.att den registrerade är häk- tad, intagen i kriminalvårds- anstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

37.att den registrerade vistas eller bor i en särskild boende- form enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,

38.att godmanskap eller för- valtarskap är anordnat enligt för- äldrabalken,

39.vilken personkrets enligt 52 kap. 10–13 §§ socialförsäk- ringsbalken som den registrerade hör till,

40.att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

41.den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,

42.den registrerade i verk- samhetsregister som förs av Migrationsverket enligt förord- ningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgar- skapslagstiftningen, och

43.att den registrerade eller dennes make eller sambo får

eller delvis på det allmännas be- kostnad,

35.den registrerade från ut- söknings- och indrivningsdata- basen,

36.att den registrerade är häk- tad, intagen i kriminalvårds- anstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

37.att den registrerade vistas eller bor i en särskild boende- form enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,

38.att godmanskap eller för- valtarskap är anordnat enligt för- äldrabalken,

39.vilken personkrets enligt 52 kap. 10–13 §§ socialförsäk- ringsbalken som den registrerade hör till,

40.att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

41.den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,

42.den registrerade i ärenden hos Migrationsverket som behand- las med stöd av utlänningsdata- lagen (0000:00) och

43.att den registrerade eller dennes make eller sambo får

71

Författningsförslag SOU 2015:73

vårdnadsbidrag enligt lagen

vårdnadsbidrag enligt lagen

(2008:307) om kommunalt vård-

(2008:307) om kommunalt vård-

nadsbidrag.

nadsbidrag.

 

 

 

 

 

3 d §

 

 

 

 

 

 

 

Migrationsverket får vid direkt-

 

åtkomst

till

socialförsäkrings-

 

databasen

enligt 114 kap. 23 a §

 

socialförsäkringsbalken (2010:110)

 

endast medges rätt att ta del av

 

1. uppgift

om

inlämnad

an-

 

sökan

om

föräldraledighet

till

 

Försäkringskassan

och

utbetald

 

föräldrapenning från Försäkrings-

 

kassan,

 

 

 

 

 

 

 

2. uppgift

om

omfattning

av

 

sjukfrånvaro och av Försäkrings-

 

kassan utbetald sjukpenning och

 

3. uppgift

om

beviljade assi-

 

stanstimmar.

 

 

 

 

 

Försäkringskassan får meddela

 

närmare föreskrifter om vad som

 

krävs i fråga om behörighet och

 

säkerhet för att myndigheten ska

 

kunna

medge direktåtkomst

till

 

uppgifter för Migrationsverket.

 

 

Direktåtkomst till uppgifterna

 

får inte medges innan Försäkrings-

 

kassan har försäkrat sig om att

 

Migrationsverket uppfyller kraven

 

på behörighet och säkerhet.

 

 

5 b §

 

 

 

 

 

 

 

Migrationsverket har

rätt

att

 

ta del av personuppgifter till så-

 

dana uppgifter i socialförsäkrings-

 

databasen som avses i 2 § 16, om

 

uppgifterna behövs vid

 

 

72

SOU 2015:73

Författningsförslag

1.handläggning av ansökning- ar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),

2.handläggning av ansökning- ar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3.kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen.

Denna förordning träder i kraft den 1 januari 2016.

73

Om sökanden har uppehålls- tillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin iden- titet om de uppgifter som läm- nas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppe- hållstillståndet när det gäller så- dana uppgifter som avses i 9 § utlänningsdataförordningen (0000:00).
Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.

Författningsförslag

SOU 2015:73

1.12Förslag till

förordning om ändring i förordningen (2009:284) om identitetskort för folkbokförda i Sverige

Härigenom föreskrivs att 3 a § och 16 a § i förordningen (2009:284) om identitetskort för folkbokförda i Sverige ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 a §

Om sökanden har uppehålls- tillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin iden- titet om de uppgifter som läm- nas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppe- hållstillståndet när det gäller så- dana uppgifter som avses i 6 b § andra stycket förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskaps- lagstiftningen.

Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.

16 a §

Migrationsverket ska på be-

Migrationsverket ska på be-

gäran av Skatteverket lämna de

gäran av Skatteverket lämna de

uppgifter som anges i 6 b § för-

uppgifter som anges i 9 § utlän-

ordningen (2001:720) om behand-

ningsdataförordningen (0000:00)

ling av personuppgifter i verksam-

och som behövs för handlägg-

het enligt utlännings- och med-

ning av ansökan om identitets-

borgarskapslagstiftningen och som

kort.

74

SOU 2015:73

Författningsförslag

behövs för handläggning av an- sökan om identitetskort.

Tillgången till uppgifter som avses i första stycket ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbets- uppgifter.

Denna förordning träder i kraft den 1 januari 2016.

75

2Utredningens uppdrag och arbete

2.1Uppdraget

Utredningens huvudsakliga uppdrag har varit att utarbeta ett för- slag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att anpassa för- fattningsregleringen på området till nationella bestämmelser och internationella åtaganden. I uppdraget har också ingått att analysera förutsättningarna för att ge Migrationsverket en möjlighet att regi- strera vissa uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker, att analysera behovet av och förutsättningarna för ett effektivare informationsutbyte mellan Migrationsverket och vissa andra myndigheter, att analysera skadeståndsskyldighet efter kontroll vid Schengenviseringar samt att vid behov utforma nödvän- diga författningsregleringar, se närmare utredningens direktiv bilaga 1.

Härutöver har utredningen fått i uppdrag av Justitiedepartemen- tet att inom ramen för utredningen behandla frågan om Migrations- verkets rätt att i vissa fall jämföra fotografier (se Migrationsverkets framställan till Justitiedepartementet inkommen den 9 juni 2014, dnr 1.1.2-2014-23927) och Migrationsverkets rätt att ta del av finger- avtryck från polisens fingeravtrycksregister (se dåvarande Rikspolis- styrelsen framställan till Justitiedepartementet daterad den 3 oktober 2014, dnr A377.954/2014).

77

Utredningens uppdrag och arbete

SOU 2015:73

2.2Utredningens arbete

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden. Utredningen har sammanträtt med de förordnade experterna vid sammanlagt sex tillfällen, varav ett i form av ett två- dagars internatsammanträde. Arbetet har även i övrigt bedrivits i nära samråd med experterna.

Den särskilda utredaren och utredningens sekreterare har besökt Migrationsverkets huvudkontor i Norrköping. Syftet med besöket var framför allt att få information om den behandling av person- uppgifter som för närvarande pågår eller planeras i verksamhet en- ligt utlännings- och medborgarskapslagstiftningen. Härutöver har utredningens sekreterare besökt Polismyndigheten (gränspolisenhe- ten) i Malmö.

Vid utförandet av uppdraget har utredningen löpande haft sam- råd med Migrationsverket, Polismyndigheten och Datainspektionen. Utredningen har även haft samråd med Säkerhetspolisen, Försäk- ringskassan, Pensionsmyndigheten, Skatteverket, Kronofogde- myndigheten och Informationshanteringsutredningen (Ju 2011:11) i vissa frågeställningar.

2.3Betänkandets disposition

Betänkandet består i huvudsak av två delar, en del som behandlar frågan om en ny utlänningsdatalag (kapitel 37) och en del som tar upp särskilda frågeställningar (kap. 811).

I kapitel 3 redogör utredningen för gällande rätt och internatio- nella överenskommelser. I kapitel 4 och 5 redovisas verksamhet enligt utlännings- och medborgarskapslagstiftningen och behandling av personuppgifter inom verksamhetsområdet. I kapitel 6 presenterar utredningen allmänna utgångspunkter vid utformandet av en utlän- ningsdatalag och i kapitel 7 redovisar utredningen sina närmare över- väganden om hur en ny lag om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen bör utformas.

I kapitel 8 behandlas frågan om registrering av kvalitetsomdöme av vissa aktörer som har uppdrag i asylprocessen. I kapitel 9 analy- serar och lämnar utredningen förslag till ett effektivare informations-

78

SOU 2015:73

Utredningens uppdrag och arbete

utbyte vid handläggning av uppehållstillstånd för arbete och arbets- tillstånd. I kapitel 10 föreslår utredningen regler som gör det möjligt för Migrationsverket att ta del av uppgifter från Polismyndighetens fingeravtrycksregister. I kapitel 11 behandlar och föreslår utredningen regler om skadestånd efter kontroller av Schengenviseringar.

De avslutande kapitlen, kapitel 12 och 13, innehåller en kon- sekvensutredning och en författningskommentar.

79

EN NY UTLÄNNINGSDATALAG

3Gällande rätt och internationella överenskommelser

3.1Inledning

För att myndigheter ska kunna fullgöra sina uppgifter på ett effektivt sätt är det viktigt att de kan utnyttja modern informationsteknik som gör det möjligt att samla in och i övrigt behandla stora infor- mationsmängder. Samtidigt medför möjligheten att samla en stor mängd information om enskilda att uppgifter kan sökas och sam- manställas på ett enklare sätt. Därmed kan också risken för intrång i enskildas personliga integritet öka.

Vikten av ett effektivt myndighetsarbete måste således vägas mot en ökad risk för integritetsintrång. Både i internationella samman- hang och i nationell lagstiftning har det antagits regler för behand- ling av personuppgifter, som syftar till att balansera intressena och skydda den personliga integriteten vid sådan behandling.

Följande avsnitt innehåller en beskrivning av gällande rätt och internationella åtaganden på dataskyddsområdet samt en redogörelse för nuvarande reglering av personuppgiftsbehandlingen i verksam- het enligt utlännings- och medborgarskapslagstiftningen.

3.2Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten.

Enligt målsättningsstadgandet i 1 kap. 2 § första stycket RF ska den offentliga makten utövas med respekt bland annat för den en- skilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. Be- stämmelsen anger några av de viktigaste målen för samhällets verk-

83

Gällande rätt och internationella överenskommelser

SOU 2015:73

samhet, men har inte någon bindande verkan för det allmänna. Den kan därför inte ligga till grund för några individuella rättigheter (se prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173).

I 2 kap. 4 och 5 §§ RF finns bestämmelser om förbud mot all- varliga fysiska integritetsintrång (bland annat dödsstraff och kropps- straff) och enligt 2 kap. 6 § RF är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestäm- melsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden.

Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demo- kratiskt samhälle. Begränsningen får inte gå utöver vad som är nöd- vändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsikts- bildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskåd- ning. För andra än svenska medborgare här i riket får särskilda begränsningar göras genom lag (se 2 kap. 25 § första stycket 3 RF).

Grundlagsändringen innebär att regler om behandling av informa- tion om enskildas personliga förhållanden som sker från det allmän- nas sida utan den enskildes samtycke och som innebär ett betydande intrång i den personliga integriteten i vissa fall måste anges i lag.

Bestämmelsen och motiven till denna behandlas vidare i avsnitt 6.2.

3.3Internationella konventioner m.m.

3.3.1FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och med- borgerliga rättigheter men även sociala, ekonomiska och kulturella rättigheter. Den allmänna förklaringen är inte bindande för med- lemsstaterna, men ses numera som ett uttryck för sedvanerättsliga regler.

84

SOU 2015:73

Gällande rätt och internationella överenskommelser

Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för an- grepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.

Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättig- heter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om med- borgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen.

I artikel 17 i konventionen upprepas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kontroller införts, bland annat rapporteringsskyldighet för medlemsstaterna. Kommittén för mänsk- liga rättigheter (Human Rights Committee) har inrättats för att över- vaka att medlemsstaterna efterlever sina skyldigheter enligt konven- tionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personupp- gifter (Guidelines concerning computerized personal data files).

Riktlinjerna anger tio grundläggande principer som medlemsstater- na ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta är för att försäkra att alla personupp- gifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ända- målet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.

85

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.3.2Europakonventionen

De rättigheter som anges i FN:s allmänna förklaring om de mänsk- liga rättigheterna har utvecklats vidare i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Konven- tionen inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.

Av 2 kap. 19 § RF framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den all- männa säkerheten, landets ekonomiska välstånd, till förbyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsom- rådet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättig- heten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättig- heter i europeisk praxis, 4 uppl., 2012, s. 347 f.). Bestämmelsen medför en skyldighet för medlemsstaterna att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyl- dighet för myndigheter att agera i enskilda fall.

En inskränkning i en konventionsskyddad rättighet ska ha stöd i inhemsk lag. Med det följer också krav på att lagen ska vara så pre- ciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Intrånget ska vidare vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.

86

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.3.3Europarådets dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i Europeiska union- en (EU) har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden. Rekommendationerna är inte bindande.

Dataskyddskonventionen innehåller principer för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning.

Konventionen har enligt artikel 1 till syfte att säkerställa respek- ten för grundläggande fri- och rättigheter, särskilt rätten till person- lig integritet i samband med automatisk databehandling av person- uppgifter. Konventionens tillämpningsområde är enligt artikel 2 automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En konventions- stat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet.

Den centrala delen av konventionen är kapitel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter som undergår auto- matisk databehandling ska hämtas in och behandlas på ett korrekt och lagligt sätt för särskilt angivna ändamål. Uppgifterna ska vara relevanta för dessa ändamål och får inte senare användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna får inte bevaras längre tid än vad som är nödvändigt med avseende på ändamålet. Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd. Konventionen innehåller också bestäm- melser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel vid brott mot en konventionsskyddad rättighet. Konventionens bestämmelser kan ses som en precisering av skyddet för enskilda vid användning av auto- matisk databehandling enligt artikel 8 i Europakonventionen.

Det grundläggande skyddet vid automatiserad behandling av per- sonuppgifter inom EU regleras i dag främst genom dataskydds- direktivet (se avsnitt 3.4). Direktivet gäller dock inte vid behandling

87

Gällande rätt och internationella överenskommelser

SOU 2015:73

av personuppgifter på områden som faller utanför EU:s kompetens- område, till exempel allmän säkerhet, försvar och statens säkerhet. På sådana områden är dataskyddskonventionen således fortfarande relevant.

3.3.4OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integri- tetsskyddet och flödet av personuppgifter över gränserna (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data).

Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs en rekommendation till medlemsländernas regeringar att beakta rikt- linjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna.

Riktlinjerna, som är att uppfatta som minimiregler, motsvarar i princip de bestämmelser som finns i dataskyddskonventionen. De är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras automatiskt och uppgifter som förs manuellt. Riktlinjerna innehåller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande prin- cip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

3.3.5Europeiska unionens stadga om de grundläggande rättigheterna

Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlems- stater Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Lissabonfördraget, som trädde i kraft 2009, innebär att EU-stadgan numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler. Genom stadgan

88

SOU 2015:73

Gällande rätt och internationella överenskommelser

kodifierades de grundläggande fri- och rättigheterna som EU redan hade erkänt.

I stadgan anges de grundläggande rättigheterna under sex huvud- rubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och den ger ett skydd för män- niskans rätt till frihet och säkerhet och rätten till en rättvis rätte- gång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, till exempel personuppgiftsskydd.

När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (arti- kel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för person- uppgifter som rör honom eller henne (artikel 8).

I artikel 8 anges vidare att personuppgifter ska behandlas lag- enligt för bestämda ändamål och på grundval av den berörda per- sonens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. I artikeln stadgas också att en oberoende myndighet ska kontrollera att reglerna efterlevs.

Stadgan är enligt artikel 51 tillämplig i verksamhet som utförs av unionens institutioner, organ och byråer samt av medlemsstaterna när dessa tillämpar unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftnings- kompetens.

Av artikel 52 följer att varje begränsning av stadgans fri- och rättigheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och be- gränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. I de fall stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd.

89

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.4Dataskyddsdirektivet

Inom EU regleras behandling av personuppgifter i Europaparlamen- tets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Syftet med direktivet är enligt artikel 1.1 att skydda fysiska per- soners grundläggande fri- och rättigheter (särskilt rätten till privat- liv) i samband med behandling av personuppgifter. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma, men de in- hemska reglerna får inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automatisk behandling av personuppgifter om de ingår eller är avsedda att ingå i ett register. Med register avses i sammanhanget varje strukturerad samling av personuppgifter som är tillgänglig en- ligt särskilda kriterier, oavsett om samlingen är centraliserad, decentra- liserad eller spridd på grundval av funktionella eller geografiska förhållanden. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verk- samhet på straffrättens område eller register för privat bruk. Även behandling av personuppgifter för uteslutande journalistiska, konst- närliga och litterära ändamål undantas.

Personuppgifter får samlas in endast för särskilda, uttryckligt an- givna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller veten- skapliga ändamål ska inte anses oförenlig med dessa ändamål, förut- satt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Personuppgifter får behandlas när den enskilde lämnat sitt sam- tycke. Därutöver får personuppgifter behandlas endast 1) när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, 2) när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, 3) när det är nödvändigt för att skydda den enskildes grundläggande intressen, 4) när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller 5) om det i övrigt

90

SOU 2015:73

Gällande rätt och internationella överenskommelser

skett en intresseavvägning som resulterat i att behandling av person- uppgifter ska få ske.

Medlemsstaterna ska förbjuda behandling av känsliga person- uppgifter, dvs. uppgifter som avslöjar ras, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration.

Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från för- budet än dem som anges i direktivet, dock endast under förutsätt- ning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.

När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon in- formation i de fall den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den registrerade har också rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blocke- rade. Direktivet innehåller vidare regler om säkerhet vid behand- lingen.

All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten.

Den registrerade ska ha rätt att få sina rättigheter enligt den natio- nella lagen prövad av tillsynsmyndigheten och av domstol. Tillsyns- myndigheten ska vara ett oberoende organ. Den ska ha befogenhet att undersöka och ingripa effektivt mot otillåten behandling av per- sonuppgifter.

Överföring av personuppgifter till ett tredjeland, dvs. ett land utanför EU, får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.

91

Gällande rätt och internationella överenskommelser

SOU 2015:73

Reformarbete

Europeiska kommissionen presenterade i november 2010 meddelan- det Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (KOM/2010/0609) som innehöll en strategi för att stärka EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I början av år 2012 lade kom- missionen fram ett förslag till reform av EU:s regler om skydd för personuppgifter. Syftet var att modernisera reglerna i dataskydds- direktivet och få till stånd en mer enhetlig tillämpning inom EU. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en uppgiftsskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även nationell lagstiftning. För Sveriges del berörs bland annat personuppgifts- lagen (1998:204).

I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Ett förslag till betänkande lades fram i december 2012 och i oktober 2013 röstade LIBE-utskottet fram ett förslag.

Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för för- slaget till uppgiftsskyddsförordning. I resolutionen beträffande upp- giftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg.

Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande (juni 2015). Hittills har emellertid tre delöverens- kommelser uppnåtts och det synes föreligga en relativt stor enighet inom rådet om bland annat att det finns behov av att skapa ytter- ligare flexibilitet för den offentliga sektorn.

Den fortsatta processen med uppgiftsskyddsförordningen är beroende av att förhandlingarna inom rådet kan slutföras. Ambition- en synes vara att RIF-rådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Europeiska rådet

92

SOU 2015:73

Gällande rätt och internationella överenskommelser

(stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under år 2015.

Ett införande av förordningen har bedömts viktigt för att för- verkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för år 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om in- förande av förordningen inom en inte alltför avlägsen tid. Enligt kom- missionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.

3.5Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom person- uppgiftslagen (1998:204, PUL) och personuppgiftsförordningen (1998:1191, PUF). Personuppgiftslagen följer i princip dataskydds- direktivets text och disposition och innehåller bland annat bestäm- melser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, skadestånd och straff. Syftet med lagen är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som av- viker från personuppgiftslagen, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i särskilda register- författningar som reglerar behandling av personuppgifter hos vissa myndigheter eller inom viss verksamhet på det offentliga området.

3.5.1Några viktiga begrepp

I 3 § PUL finns definitioner av vissa grundläggande begrepp. Be- handling (av personuppgifter) avser varje åtgärd eller serie av åtgär- der som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i bestäm- melsen insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter,

93

Gällande rätt och internationella överenskommelser

SOU 2015:73

sammanställning eller samkörning, blockering, utplåning eller för- störing.

Så snart personuppgifter på något sätt hanteras är det enligt för- arbetena fråga om en behandling som faller inom personuppgifts- lagens tillämpningsområde, oavsett om behandlingen är automatisk eller avser ett manuellt personregister (se SOU 1997:39 s. 332). Av- sikten är att alla former av hantering ska omfattas.

Mottagare definieras som den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Som exem- pel på personuppgifter kan nämnas personnummer, registrerings- nummer för fordon och kundnummer. Definitionen av personupp- gifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena till personuppgiftslagen anförs att en uppgift om en persons arvs- anlag (DNA) kan vara en uppgift som avser flera personer, eftersom denna uppgift i kombination med andra uppgifter kan ge upplys- ning om den personens föräldrar och avkomma (se SOU 1997:39 s. 338). Enligt förarbetena omfattas även krypterade personuppgifter av lagen om uppgifterna kan göras läsbara och därmed identifiera individer. Även sådana uppgifter som i sig är anonyma, men som möjliggör identifikation genom s.k. bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den personuppgiftsansvarige själv förfogar över samtliga upp- gifter som gör identifieringen möjlig.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av person- uppgifter i lagens mening finns det en eller flera personuppgifts- ansvariga för den behandlingen. Den personuppgiftsansvarige har ansvar för att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Om behandling sker i strid med lagen kan den personuppgiftsansvarige bli skadeståndsskyldig. Som huvudregel kan

94

SOU 2015:73

Gällande rätt och internationella överenskommelser

därför bara fysiska och juridiska personer, utländska filialer och myndigheter betraktas som personuppgiftsansvariga.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträden. Den personuppgiftsan- svarige har skadeståndsansvar gentemot de registrerade för person- uppgiftsbiträdets behandling av personuppgifter. Personuppgifts- biträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.

Ett personuppgiftsombud är en fysisk person som, efter förord- nande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Den registrerade är den som en personuppgift avser. Av defini- tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.

Med samtycke avses enligt definitionen varje slag av frivillig, sär- skild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I personuppgiftslagen finns inte några sär- skilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade (se SOU 1997:39 s. 342) Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som kan avge en frivillig viljeyttring, som innebär att han eller hon god- tar behandlingen, kan lämna ett rättsligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respek- terar individen i den meningen att den som förstår vad det handlar om får bestämma själv. Frågan om när någon har sådan mognad att han eller hon förstår vad samtycket innebär får avgöras med beak- tande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.

Tillsynsmyndigheten är den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyn- dighet.

95

Gällande rätt och internationella överenskommelser

SOU 2015:73

Tredjeland är en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES).

3.5.2Det territoriella tillämpningsområdet

Det följer av 4 § PUL att bestämmelserna gäller för sådana person- uppgiftsansvariga som är etablerade i Sverige. Lagen ska som huvud- regel också tillämpas när den personuppgiftsansvarige är etablerad i en stat som inte ingår i EU eller är ansluten till EES, men som för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.

3.5.3Behandling av uppgifter som omfattas av lagen

I 5 § PUL slås det fast att lagen gäller för all behandling av person- uppgifter som är helt eller delvis automatiserad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binärform), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som automatiserad behandling (se SOU 1997:39 s. 344). Så snart en personuppgift har kommit in i en dator eller motsvarande maskin är det att betrakta som sådan auto- matiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bild- uppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller avses att ingå i ett register.

Även delvis automatiserad behandling av personuppgifter om- fattas av lagen. Exempel på sådan användning är att personuppgifter samlas in manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat.

Av andra stycket 5 § PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automati- serad. Den behandling som avses är manuellt behandlade person- uppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett re- gister, dvs. en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

96

SOU 2015:73

Gällande rätt och internationella överenskommelser

Ett register är enligt förarbetena en samling av personuppgifter som innehåller uppgifter om fler än en person (se SOU 1997:39 s. 339). För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. De kan till exempel inte röra sig om en hög med lösa papper på ett skrivbord, även om pappren för tillfället är sorte- rade i bokstavsordning efter efternamn. Uppgiftssamlingen måste också vara strukturerad. Det innebär att uppgifterna ska vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkterna 15 och 27 i ingressen till dataskyddsdirektivet framgår att kriterier- na ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter, men som inte är sökbart med hjälp av någon personuppgift (till exempel namn eller personnummer) om- fattas således inte.

3.5.4Undantag från personuppgiftslagen

Undantag för behandling av personuppgifter i ostrukturerat material

Enligt 5 a § PUL behöver vissa i bestämmelsen angivna regler i lagen inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har struk- turerats för att påtagligt underlätta sökning efter eller sammanställ- ning av personuppgifter, s.k. ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behandling emellertid inte får utföras om den innebär en kränkning av den registrerades per- sonliga integritet.

Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sam- manställning av just personuppgifter. I det undantagna området ingår till exempel löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem (se SOU 2004:6 s. 12

97

Gällande rätt och internationella överenskommelser

SOU 2015:73

och prop. 2005/06:173 s. 21). Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.

Undantag för privat behandling av personuppgifter

Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verk- samhet av rent privat natur.

Förhållandet till tryck- och yttrandefriheten

Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträck- ning det skulle strida mot bestämmelserna om tryck- och yttrande- frihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrund- lagen (YGL).

Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av per- sonuppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel i en tryckt skrift eller ett radio- program.

Bestämmelsen innebär vidare undantag för den grundlagsskyd- dade rätten att sprida yttranden, meddelarfriheten och anskaffar- friheten.

Enligt bestämmelsens andra stycke ska vissa bestämmelser i per- sonuppgiftslagen inte tillämpas på sådan behandling av personupp- gifter som sker uteslutande för journalistiska ändamål eller konst- närligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behand- ling.

Förhållandet till offentlighetsprincipen

Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelser- na om offentlighetsprincipen i 2 kap. TF att lämna ut personupp- gifter.

98

SOU 2015:73

Gällande rätt och internationella överenskommelser

Offentlighetsprincipen innebär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar i den utsträckning handlingarna inte innehåller uppgifter som är sekretess- belagda. Av betydelse för principen är också myndigheternas skyldig- het enligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym.

Offentlighetsprincipen innebär således en skyldighet för myndig- heter att bevara ett stort antal uppgifter under en icke förutbestämd tid samt att som huvudregel lämna ut sådana uppgifter utan att veta för vilket ändamål de ska behandlas. Det är tydligt att förhållandet mellan dataskyddsdirektivet och offentlighetsprincipen inte är helt klart och frågan behandlades bland annat under lagstiftningsarbetet inför införandet av personuppgiftslagen (se prop. 1997/98:44 s. 43 f.). Bland annat invände Lagrådet mot tolkningen att direktivet gick att förena med offentlighetsprincipen.

Förhållandet till arkivlagstiftningen

Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Utgångspunkten i arkivlagstiftningen är att myndigheter ska bevara uppgifter och inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Även i detta sammanhang har fråga uppkommit om hur de olika regelverken förhåller sig till varandra. Hur arkivlagstiftningens krav på bevarande ska tillämpas i förhållande till personuppgiftslagens krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras diskuteras bland annat i förarbetena till personuppgifts- lagen (se prop. 1997/98:44 s. 47 f.).

Regeringens möjlighet att meddela föreskrifter om undantag

Av 8 a § PUL följer att regeringen får meddela föreskrifter om undantag från flera bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.

99

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.5.5Krav på behandlingen av personuppgifter

9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att person- uppgifter behandlas bara om det är lagligt och att de alltid behand- las på ett korrekt sätt och i enlighet med god sed (punkten a och b). Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). Bestämmelsen innebär att ända- målen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen, men det finns inte något krav på att ändamålsangivelsen ska ned- tecknas.

Efter insamlingen får uppgifterna inte behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in (punkten d). Denna s.k. finalitetsprincipen är av central betydelse vid behandling av personuppgifter. Den innebär att det, när behand- ling för nya ändamål ska ske, måste göras en prövning av om dessa ändamål är oförenliga med de ursprungligen angivna ändamålen. Den som utlämnar personuppgifterna måste beakta vad mottagaren ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen.

Personuppgifterna ska vidare vara adekvata och relevanta i för- hållande till ändamålen med behandlingen (punkten e). Den person- uppgiftsansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (punk- terna f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofull- ständiga med hänsyn till ändamålen med behandlingen (punkten h). Slutligen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (punkten i). Bestämmelsen innebär att uppgifterna därefter måste avidentifieras eller förstöras. Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras.

För personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler. Behandling av sådana uppgifter ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter

100

SOU 2015:73

Gällande rätt och internationella överenskommelser

kan användas för till exempel vetenskaplig forskning oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Vidare får sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som behandlas för histo- riska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Det är som anges ovan den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen.

3.5.6Tillåten behandling av personuppgifter

I 9 § PUL anges de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av person- uppgifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL föreligga. Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Vid be- handling av känsliga personuppgifter, uppgifter om lagöverträdelser m.m. samt personnummer eller samordningsnummer krävs det dess- utom att behandlingen är tillåten enligt de bestämmelser som gäller för behandling av sådana uppgifter (13–22 §§ PUL).

Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som avses med samtycke fram- går av definitionen i 3 § PUL. Om den registrerade återkallar sitt samtycke får ytterligare personuppgifter om den registrerade inte behandlas därefter (12 § första stycket PUL).

Personuppgifter får under vissa förutsättningar behandlas även om den enskilde inte lämnat sitt samtycke. I sådana fall krävs det att behandlingen är nödvändig för ett i lagen angivet syfte. Vad som avses med att behandlingen är nödvändig är inte helt klart. Som an- förs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mer och tar betydligt längre tid än att behandla personupp- gifterna automatiserat (se SOU 1997:39 s. 359). I senare förarbeten

101

Gällande rätt och internationella överenskommelser

SOU 2015:73

har det konstaterats att nödvändighetskravet inte rimligen kan inne- bära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbets- uppgift däremot utföras nästan lika enkelt och billigt utan att person- uppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter be- handlas på automatiserad väg.

Om nödvändighetskravet är uppfyllt får personuppgifter behand- las utan den enskildes samtycke i följande fall.

a)Ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl- dighet,

c)vitala intressen för den registrerade ska kunna skyddas,

d)en arbetsuppgift av allmänt intresse ska kunna utföras,

e)om det är nödvändigt för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna ut- föra en arbetsuppgift i samband med myndighetsutövning och

f)ett ändamål som rör ett berättigat intresse hos den personupp- giftsansvarige eller hos en sådan tredje man till vilken person- uppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränk- ning av den personliga integriteten.

3.5.7Förbud mot behandling av känsliga personuppgifter

Enligt 13 § PUL är det förbjudet att behandla uppgifter som av- slöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filo- sofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga personuppgifter.

102

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.5.8Undantag från förbudet mot behandling av känsliga personuppgifter

Det följer av 14 § PUL att det trots förbudet i 13 § är tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§. Så kan till exempel ske om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort upp- gifterna, se 15 § PUL.

Om den enskilde inte lämnat sitt samtycke får känsliga person- uppgifter behandlas om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, se 16 § PUL. Personuppgifter får dock i sådana fall lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utläm- nandet. Förbudet mot behandling av känsliga personuppgifter gäller vidare inte om den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller rättsliga anspråk ska kunna fastställas, göras gällande eller för- svaras, se 16 § PUL.

Enligt 17 § PUL får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regel- bunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Det följer av 18 § PUL att känsliga personuppgifter får behand- las för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Slutligen gäller att känsliga personuppgifter under vissa förhållan- den får behandlas för forsknings- och statistikändamål, se 19 § PUL.

103

Gällande rätt och internationella överenskommelser

SOU 2015:73

Regeringen eller den myndighet som regeringen bestämmer, i det här fallet Datainspektionen, får meddela föreskrifter om ytterligare undantag från förbudet i 13 § PUL, om det behövs med hänsyn till ett viktigt allmänt intresse, se 20 § PUL.

3.5.9Särskilt om begreppet ras

Användningen av begreppet ras har diskuterats i olika sammahang under senare år. Riksdagen har uttalat att det inte finns någon veten- skaplig grund för att dela in människor i skilda raser och från bio- logisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor (se bet. 1997/98:KU 29 s. 7). Användningen av ordet ras i författningstexter riskerar enligt riksdagen att under- blåsa fördomar. Riksdagen har dock konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det i princip uteslutande används i författningar som grun- das på internationella överenskommelser eller författningar som genomför EU-direktiv. I propositionen En reformerad grundlag före- slog regeringen att begreppet ras skulle utmönstras ur regerings- formen (se prop. 2009/10:80 s. 152). Riksdagen antog förslaget och i regeringsformen används i dag i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (se 2 kap. 12 och 24 §§ RF). I förarbetena till kustbevakningsdatalagen konstateras att unionsrätten inte kräver att ett direktiv införlivas ordagrant i natio- nell rätt utan snarare att ändamålet med regleringen uppfylls. Det torde därmed i och för sig inte finnas något omedelbart hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med ett annat begrepp som har samma ändamål (se prop. 2011/12:45 s. 94). Det anses, enligt propositionen, emellertid inte lämpligt att endast i ett specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personupp- gifter. Det anförs att det dock är regeringens avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning.

Mot denna bakgrund använder utredningen begreppet ras i detta betänkande.

104

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.5.10Behandling av personuppgifter om lagöverträdelser m.m.

I 21 § PUL regleras behandling av personuppgifter som rör lagöver- trädelser m.m. Enligt bestämmelsen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling. Sådana upp- gifter får dock behandlas för forskningsändamål av andra än myndig- heter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får enligt i 21 § tredje och fjärde stycket PUL meddela föreskrifter om undantag från förbudet och de får även besluta om undantag i enskilda fall.

3.5.11Behandling av uppgifter om personnummer

Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får där- emot fritt besluta hur de materiella reglerna ska utformas.

Behandling av personnummer och samordningsnummer utan den enskildes samtycke regleras i 22 § PUL. Enligt bestämmelsen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ända- målet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

3.5.12Rätt till information

Personuppgiftslagen medför vissa skyldigheter för den personupp- giftsansvarige. Den personuppgiftsansvarige ska, om personuppgiften samlas in från personen själv, självmant lämna den registrerade in- formation om behandlingen av uppgifterna, se 23 § PUL. Om upp- gifterna har samlats in från någon annan källa ska sådan information lämnas till den registrerade när uppgifterna registreras, se 24 § PUL. Är uppgifterna avsedda att lämnas ut till tredje man behöver infor- mationen dock inte ges förrän uppgifterna lämnas ut första gången.

105

Gällande rätt och internationella överenskommelser

SOU 2015:73

Informationskravet gäller inte om det finns bestämmelser om regi- strerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade ska dock information lämnas senast i samband med att åtgärden vidtas.

Den information som lämnas till den registrerade ska innehålla all information som kan behövas för att den registrerade ska kunna ta tillvara sina rättigheter under behandlingen, till exempel uppgift om den personuppgiftsansvariges identitet och ändamålet med be- handlingen, se 25 § PUL. Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per år gratis lämna besked om huruvida personuppgifter som rör den sökande behand- las eller inte, se 26 § PUL. Behandlas sådana uppgifter ska informa- tion lämnas om vilka uppgifter som behandlas, varifrån de har häm- tats, ändamålen med behandlingen och till vem de lämnas ut. Sådan information behöver dock inte lämnas avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör en minnesanteckning eller liknande i vissa fall. Åsyftade situationer är om inte uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller om uppgifterna har behandlats under längre tid än ett år.

Av 27 § PUL följer att bestämmelserna om informationsplikt inte gäller om uppgifterna om sekretess eller tystnadsplikt är före- skriven för uppgifterna.

3.5.13Rättelse

Den personuppgiftsansvarige är på begäran av den registrerade skyl- dig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som meddelats med stöd av lagen, se 28 § PUL. Med blockering avses enligt definitionen i 3 § PUL en åtgärd som vidtas för att personuppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och för att

106

SOU 2015:73

Gällande rätt och internationella överenskommelser

personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF.

Om felaktiga uppgifter har lämnats ut till tredje man är den personuppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

3.5.14Säkerhet vid behandling

För att säkerställa en hög säkerhetsnivå vid behandling av person- uppgifter finns särskilda bestämmelser om detta i 3032 §§ PUL. Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får be- handla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Behandlingen ska framgå av ett skriftligt avtal. Den personuppgiftsansvarige är vidare skyldig att vidta lämp- liga tekniska och organisatoriska åtgärder för att skydda de person- uppgifter som behandlas. Åtgärderna ska garantera en säkerhetsnivå som är lämplig med hänsyn till de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den person- uppgiftsansvarige ska vidta. Ett sådant beslut får förenas med vite.

3.5.15Överföring av uppgifter till tredjeland

Det är enligt 33 § PUL förbjudet att föra över personuppgifter till tredjeland, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyddet av personuppgifterna.

Vid bedömningen om ett land har adekvat skyddsnivå ska hänsyn tas till samtliga omständigheter som har samband med överföringen. Av särskild betydelse är uppgifternas art, ändamålet med behand- lingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga

107

Gällande rätt och internationella överenskommelser

SOU 2015:73

bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.

I 34 och 35 §§ PUL finns undantag från förbudet mot överföring till tredjeland, bland annat vid den enskildes samtycke. Överföring till tredjeland får också ske om överföringen bedöms nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas eller ett avtal mellan den person- uppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras. Undantag gäller vidare om överföring krävs för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Det är också tillåtet att föra över personuppgifter för an- vändning enbart i en stat som har anslutit sig till dataskyddskonven- tionen.

Regeringen får meddela föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen och, i de fall regeringen förordnat om det, Datainspektionen, får vidare med- dela föreskrifter om undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller Datainspektionen får också under vissa förutsättningar i enskilda fall besluta om undantag från förbudet.

3.5.16Anmälan till datainspektionen

Den personuppgiftsansvarige ska göra en skriftlig anmälan till Data- inspektionen innan en behandling av personuppgifter som är helt eller delvis automatiserad påbörjas, se 36 § PUL. Om den person- uppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till inspektionen behöver sådan anmälan emellertid inte göras, se 37 §. Personuppgiftsombudet ska dock föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.

Vidare får regeringen eller, om regeringen bestämmer det, Data- inspektionen, meddela föreskrifter om undantag från anmälnings- skyldigheten för sådana typer av behandlingar som sannolikt inte

108

SOU 2015:73

Gällande rätt och internationella överenskommelser

kommer att leda till otillbörligt intrång i den personliga integriteten. Regeringen får också meddela föreskrifter om att sådana behand- lingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhands- kontroll till Datainspektionen. I sådana fall måste anmälan göras även om det finns ett personuppgiftsombud.

Den personuppgiftsansvarige är skyldig att till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om behandling av personuppgifter som inte har anmälts till Datainspek- tionen, se 42 § PUL. Skyldighet föreligger dock inte om uppgifter- na är belagda med sekretess eller tystnadsplikt.

3.5.17Personuppgiftsombud

Som framgår ovan har en personuppgiftsansvarig möjlighet att utse ett personuppgiftsombud och anmäla det till Datainspektionen.

Personuppgiftsombudets uppgift är att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att påpeka even- tuella brister för honom eller henne, se 38 §.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse efter på- pekande, ska personuppgiftsombudet anmäla förhållandet till Data- inspektionen. Personuppgiftsombudet ska vidare samråda med Data- inspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas. I personuppgifts- ombudets uppgifter ingår också att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personupp- gifter är felaktiga eller ofullständiga.

3.5.18Datainspektionens befogenheter

Tillsynsmyndigheten har för det första rätt att utöva tillsyn. Myn- digheten har således rätt att på begäran få tillgång till de person- uppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och till- träde till sådana lokaler som har anknytning till behandlingen av

109

Gällande rätt och internationella överenskommelser

SOU 2015:73

personuppgifter, se 43 § PUL. Om dessa åtgärder inte är tillräckliga får Datainspektionen vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, se 44 § PUL.

I de fall Datainspektionen konstaterar att personuppgifter behand- las eller kan komma att behandlas på ett olagligt sätt ska myndig- heten i första hand genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Sker inte rättelse eller är saken bråd- skande får Datainspektionen under vissa omständigheter vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem, se 46 § PUL. Inspektionen får också ansöka hos förvaltningsrätten om att personuppgifter som behandlats på ett olagligt sätt ska ut- plånas, se 47 §.

3.5.19Skadestånd och straff

Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga inte- griteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock jämkas, om det är skäligt och om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

I 49 § PUL finns bestämmelser om straff vid överträdelse av vissa bestämmelser i lagen. Straffskalan är böter eller fängelse i högst sex månader eller, vid grovt brott, högst två år. I ringa fall ska dock inte dömas till ansvar.

3.6Särskilda registerförfattningar

Personuppgiftslagen är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde, se 2 § PUL. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetas en stor mängd specialförfattningar med bestämmelser som rör behandling av personuppgifter, s.k. sär- skilda registerförfattningar. Exempel på sådana är förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, patientdatalagen

110

SOU 2015:73

Gällande rätt och internationella överenskommelser

(2008:355), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145). Syftet med de särskilda registerförfattningarna är att anpassa lagstiftningen efter de särskilda behov som finns inom olika verksamhetsområden i den offentliga sektorn. Ibland kan det finnas behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger. Det kan till exempel röra sig om en typ av behandling som inte är tillåten enligt personuppgiftslagen eller att det finns ett behov av att precisera den reglering som finns i person- uppgiftslagen. I sådana fall kan en registerförfattning ge ett anpassat integritetsskydd vid en myndighets hantering av personuppgifter. Det bör i sammanhanget noteras att det länge har varit ett uttalat mål från riksdagen att myndighetsregister med ett stort antal registre- rade och med ett känsligt innehåll ska regleras särskilt i lag (se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41).

Här ska dock nämnas att det i olika sammanhang har framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och fragmenterat rättsområde. Det är mot den bakgrunden som man ska se Informationshanteringsutredningens betänkande Myndig- hetsdatalag, SOU 2015:39.

3.7Utlänningsdataförordningen

3.7.1Tillämpningsområde

Personuppgiftsbehandling i verksamhet enligt utlännings- och med- borgarskapsområdet regleras i förordningen (2001:720) om behand- ling av personuppgifter i verksamhet enligt utlännings- och med- borgarskapslagstiftningen (utlänningsdataförordningen).

Enligt 1 § utlänningsdataförordningen gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och ut- landsmyndigheternas verksamhet enligt utlännings- och medborgar- skapslagstiftningen. Med sådan verksamhet avses i förordningen följande.

1.Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2.verksamhet som gäller utlänningars rätt att arbeta i landet,

111

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.mottagande av asylsökande och vissa andra utlänningar,

4.verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,

5.verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och

6.verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrations- verket.

En registrerad har inte rätt att motsätta sig behandling av person- uppgifter som sker i enlighet med förordningen.

I bestämmelsen finns också en erinran om att det i Europaparla- mentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) finns bestämmelser om behandling av person- uppgifter i VIS för viseringsmyndigheter, myndigheter som ansvarar för kontroll av personers gränspassage, myndigheter som ansvarar för kontroll av utlänningars rätt att uppehålla sig i medlemsstaten samt för den centrala utlänningsmyndigheten, dvs. Migrationsverket (se vidare om VIS-förordningen i avsnitten 4.3.3 och 7.4.1).

3.7.2Personuppgiftsansvar

Migrationsverket, Polismyndigheten och Säkerhetspolisen är person- uppgiftsansvariga för den personuppgiftsbehandling som respektive myndighet utför, se 2 § utlänningsdataförordningen. Migrations- verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför.

3.7.3Verksamhetsregister

Enligt 3 § utlänningsdataförordningen får automatiserade register föras i ärenden som handläggs av respektive myndighet (s.k. verk- samhetsregister). I ett verksamhetsregister får personuppgifter be- handlas för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning eller fullgörande av

112

SOU 2015:73

Gällande rätt och internationella överenskommelser

underrättelseskyldighet som följer av lag eller annan författning. Personuppgifter får också behandlas för tillsyn, kontroll, uppfölj- ning och planering av verksamheten samt framställning av statistik.

Personuppgifter får endast behandlas om det är nödvändigt för det ändamål för vilket behandlingen utförs, se 4 § utlänningsdata- förordningen.

De uppgifter som får behandlas i ett verksamhetsregister delas in i sex kategorier. Till identitetsuppgifter hör bland annat namn, person- eller samordningsnummer, födelsetid, kön, vårdnadshavare och civilstånd. Med uppgifter som behövs för handläggningen av ären- den avses till exempel uppgifter som rör utlänningens resa och an- komst till Sverige och uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet och hälsotillstånd om uppgifterna är oundgäng- ligen nödvändiga för de ändamål som anges i 3 § utlänningsdata- förordningen. Till kategorin uppgifter som behövs för mottagandet av asylsökande m.fl. hör uppgifter om inskrivning vid boendeenhet och om utbildning, yrke och anställning. Under uppgifter som behövs för förvar och andra tvångsåtgärder enligt utlänningslagen (2005:716) anges uppgifter om inskrivning vid förvarsenhet och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för förvarstagandet. Även uppgifter som behövs för verkställighet enligt 12 kap. utlänningslagen får behandlas. Dit hör uppgifter om utresan och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nöd- vändiga för verkställigheten. Slutligen får också uppgifter om beslut registreras, exempelvis beslut i frågor om uppehålls- och arbetstill- stånd, återreseförbud eller visering.

Känsliga personuppgifter får enligt 5 § utlänningsdataförordningen behandlas endast om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden i enlighet med vad som före- skrivs i lag eller annan författning och fullgörande av underrättelse- skyldighet som följer av lag eller annan författning.

3.7.4Direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst (när det gäller begreppet, se SOU 2012:90 s. 198, SOU 2015:39 s. 136 f. och s. 389 f. och nedan nämnda förarbeten). Med direktåtkomst avses

113

Gällande rätt och internationella överenskommelser

SOU 2015:73

vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bland annat prop. 2009/10:85 s.168). I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se bland annat prop. 2004/05:164 s. 83 och prop. 2022/12:45 s. 133).

Enligt 6 § utlänningsdataförordningen får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåt- komst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsupp- gifter i verksamhet enligt utlännings- och medborgarskapslagstift- ningen.

Även Försäkringskassan och Pensionsmyndigheten får ha direkt- åtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § utlänningsdataförordningen. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om mot- svarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksam- het som avser registrering av enskilda. I bestämmelsen anges också vilka kategorier av uppgifter Försäkringskassan och Pensionsmyn- digheten får ges tillgång till.

Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, 6 b § utlänningsdataförord- ningen. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige. Direktåtkomsten får endast avse uppgift om namn och personnum- mer, längd, fotografi, underskrift, typ av resehandling, resehand- lingens nummer och giltighetstid samt bevis om uppehållstillstånd.

114

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.7.5Sökbegrepp

Vid sökning i myndigheternas datasamlingar får känsliga person- uppgifter inte användas som sökbegrepp.

3.7.6Rättsfallsregister

Migrationsverket får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information, s.k. rättsfallsregister, se 8 § utlänningsdataförordningen. Ett rättsfallsregister får inte innehålla personuppgifter som direkt pekar ut den registrerade.

De personuppgifter som finns i ett rättsfallsregister får föras över till en stat som inte ingår i EU och heller inte är ansluten till EES.

3.7.7Fingeravtrycksregister

I 9 § utlänningsdataförordningen anges att Migrationsverket får föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Enligt bestämmelsen får Migrationsverket eller polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kom- mer till Sverige, utlänningen ansöker om uppehållstillstånd som flyk- ting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.

Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats samt i ärenden om av- visning och utvisning. Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.

En uppgift i registret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.

115

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.7.8Landinformationsregister

Migrationsverket får föra ett s.k. landinformationsregister för åter- sökning av information som lämnats rörande förhållanden i andra länder, se 12 § utlänningsdataförordningen och Lifos informations- system i avsnitt 5.2.10. Känsliga personuppgifter får endast behandlas i löpande text och under förutsättning att uppgifterna är oundgäng- ligen nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personupp- gifter som direkt pekar ut den registrerade får inte användas som sökbegrepp. Viss information i Lifos är allmänt tillgänglig, medan annan information omfattas av sekretess.

3.7.9Rättelse och skadestånd

Bestämmelserna i 28 och 48 §§ PUL om rättelse och om skadestånd tillämpas vid behandling av personuppgifter enligt utlänningsdata- förordningen. Bestämmelserna gäller också vid behandling av person- uppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.

3.7.10Överklagande

Migrationsverkets, Rikspolisstyrelsens eller en polismyndighets be- slut om att inte meddela rättelse eller om att inte lämna information som ska lämnas efter ansökan får överklagas hos allmän förvalt- ningsdomstol.

116

4Verksamhet enligt utlännings- och medborgarskaps- lagstiftningen

4.1Inledning

I utredningens uppdrag ingår att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgar- skapslagstiftningen. Som anges i kommittédirektiven bedrivs verk- samhet enligt utlännings- och medborgarskapslagstiftningen främst av Migrationsverket, men även av domstolarna, polisen och utlands- myndigheterna. Någon närmare beskrivning av vilken verksamhet som avses ges inte i kommittédirektivet. Det kan dock antas att hand- läggning av utlänningsärenden enligt utlänningslagen (2005:716, UtlL) och handläggning av ärenden enligt lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen) hör till sådan verksamhet. Vägledning kan också hämtas från förordningen (2001:720) om be- handling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen) när det gäller en definition av verksamhet enligt utlännings- och medborgar- skapslagstiftningen. Därutöver finns viss verksamhet som har nära koppling till sådan verksamhet som anges ovan.

4.2Generellt om de handläggande myndigheterna

Enligt 1 § förordningen (2007:996) med instruktion för Migrations- verket är Migrationsverket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asyl- sökande, återvändande, medborgarskap och återvandring. Migra- tionsverket ska fullgöra de uppgifter som myndigheten har enligt

117

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

utlännings- och medborgarskapslagstiftningen, lagstiftningen om mottagande av asylsökande m.fl. samt andra författningar.

Migrationsverket är också kontaktmyndighet eller ansvarig myn- dighet inom EU-samarbetet, se 3 § förordningen med instruktion för Migrationsverket. Migrationsverket är till exempel kontaktmyn- dighet i frågor som rör databasen för identifiering av fingeravtryck, Eurodac, ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden samt kontaktmyndighet i frågor som rör massflyktssituationer enligt 21 kap. UtlL. Vidare är Migra- tionsverket registeransvarig och har centralt ansvar för Sveriges be- handling av personuppgifter i VIS (se avsnitt 4.3.3). I ansvaret ingår att föra register över all behandling av personuppgifter i VIS och över de personer som är behöriga att föra in eller använda uppgifter i VIS samt vara den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.

Migrationsdomstolarna blir aktuella när någon överklagar Migra- tionsverkets eller någon annan myndighets beslut som kan överklagas dit. Allmän domstol kan besluta om utvisning på grund av brott.

Polismyndigheten genomför personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Polis- myndigheten får i vissa fall besluta om avvisning och verkställer egna beslut om avvisning. Myndigheten verkställer även allmän dom- stols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning. Polismyndigheten verkställer vidare utlämningar och överlämnanden med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375)om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden. Myndigheten kan föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säker- het eller allmän säkerhet. Migrationsverkets beslut i ett sådant säker- hetsärende får överklagas av Säkerhetspolisen. Säkerhetspolisen får vidare enligt 2 § lagen (1991:572) om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket och är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande.

118

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller ut- visning i säkerhetsärenden enligt lagen om särskild utlänningskontroll.

När det gäller utlandmyndigheterna följer det av 3 kap. 9 § för- ordningen (2014:115) med instruktion för utrikesrepresentationen att beskickningar och konsulat ska handlägga migrationsärenden enligt EU:s förordningar och utlänningslagstiftningen samt biträda Migrationsverket, Polismyndigheten och Säkerhetspolisen i ärenden enligt utlänningslagstiftningen. Utlandsmyndigheternas främsta upp- gift är att utfärda Schengenviseringar. Biträdet till andra myndig- heter enligt ovan nämnda förordning kan till exempel innebära att hjälpa Migrationsverket att kontrollera att de uppgifter en asylsökan- de har lämnat i sin ansökan är korrekta eller om en handling som en utlänning åberopar är äkta. Utlandsmyndigheterna tar också emot ansökningar om uppehållstillstånd och medborgarskap och genom- för utredningar i de fall sökanden inte är folkbokförd i Sverige. Även i andra medborgarskapsärenden ska utlandsmyndigheterna medverka i enskilda ärenden på begäran av Migrationsverket.

En närmare beskrivning av myndigheternas verksamhet följer nedan i anslutning till respektive lagstiftning.

4.3Verksamhet enligt utlänningslagen

4.3.1Bakgrund

Utlänningars vistelse i Sverige har varit reglerat sedan början av 1900-talet. År 1914 infördes en lag som gjorde det möjligt att avvisa eller utvisa en utlänning som inte ansågs önskvärd. Under och efter första världskriget utfärdades med stöd av lagen en rad författningar som reglerade utlänningars rätt att resa in i och vistas i Sverige. Genom 1917 års passkungörelse infördes till exempel passtvång och krav på visering, dvs. tillstånd till inresa och vistelse under viss tid. Genom 1926 års övervakningskungörelse infördes också krav på att en utlänning som kom hit för att arbeta var tvungen att ha ett arbets- tillstånd vid inresan.

Sverige fick sin första utlänningslag år 1928. Lagen innehöll be- stämmelser om pass, visering, uppehålls- och arbetstillstånd samt anmälningsskyldighet och bestämmelser om avvisning, utvisning och förpassning. Bestämmelserna på utlänningsområdet har varit under

119

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

ständig förändring och efter 1928 har ytterligare fem nya utlännings- lagar antagits (1937, 1945, 1954, 1980 och 1989) fram till den nu gällande utlänningslagen (2005:716).

Med 2005 års utlänningslag infördes en ny instans- och process- ordning i utlännings- och medborgarskapsärenden. Den s.k. Utlän- ningsnämnden upphörde och överprövningen av Migrationsverkets beslut överfördes till migrationsdomstolarna (dåvarande länsrätterna i Stockholm, Göteborg och Malmö) och en migrationsöverdomstol (Kammarrätten i Stockholm).

Utlänningslagstiftningen har på många sätt påverkats av den inter- nationella utvecklingen på området samt genom EES- och EU-sam- arbetet. Nedan följer därför en kortfattad beskrivning av några av de internationella åtaganden och överenskommelser som har in- flytande över den nationella lagstiftningen samt framväxten av EES- samarbetet och unionsrätten.

4.3.2Internationella åtaganden och överenskommelser

UNHCR

Efter första världskriget växte behovet av internationellt samarbete för att lösa frågor som rörde flyktingar. Efter ett beslut i FN:s general- församling inrättades den 1 januari 1951 FN:s flyktingkommissariat, United Nations High Commissioner for Refugees (UNHCR).

UNHCR:s huvuduppgifter är verksamhet till skydd för flyk- tingar och biståndsverksamhet. FN:s generalförsamling väljer en flyktingkommissarie, vars uppgift är att bereda skydd åt flyktingar och att försöka hitta varaktiga lösningar i uppkomna flyktingsitua- tioner. När ett frivilligt återvändande inte är möjligt försöker UNHCR lösa det genom att flyktingen ges möjlighet att stanna permanent i det land han eller hon har flytt till eller genom att andra stater tar emot honom eller henne. I Sverige sker sådan vidarebosätt- ning inom ramen för den s.k. flyktingkvoten. UNHCR ger också bland annat ut en handbok om förfarande och kriterier vid fast- ställande av flyktingars rättsliga ställning, som är en vägledande tolk- ning av flyktingkonventionen (se nedan) och ett verktyg för alla de länder som ska tillämpa flyktingkonventionen.

120

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Flyktingkonventionen

År 1949 tillsattes inom FN en expertkommitté med uppgift att lämna ett förslag på en flyktingkonvention. Med utgångspunkt i expert- gruppens förslag utarbetades vid en diplomatisk konferens i Genève år 1951 en konvention angående flyktingars rättsliga ställning, den s.k. flyktingkonventionen eller Genèvekonventionen.

Genom ett tilläggsprotokoll från 1967 fastställdes att konvention- en gäller alla flyktingar oavsett från vilket land de kommer och när i tiden flyktingskapet har uppstått. Konventionen definierar vem som är en flykting och i behov av internationellt skydd samt flyktingars rättigheter och konventionsländernas skyldigheter. I artikel 33 finns till exempel ett förbud mot avvisning eller utvisning till gränsen mot ett område där flyktingen riskerar politisk förföljelse (principen om non-refoulement).

Schengensamarbetet

År 1985 ingick Frankrike, Tyskland och Beneluxstaterna det s.k. Schengenavtalet. Avtalets syfte var att främja den fria rörligheten för personer genom att succesivt avveckla personkontrollerna vid de gemensamma gränserna och att stärka åtgärderna mot internationell kriminalitet och olaglig invandring genom att utveckla det polisiära och rättsliga samarbetet mellan staterna.

Schengensamarbetet innebär att personkontrollerna vid de inre gränserna har upphört. Detta kompenseras bland annat med att medlemsländerna noggrant kontrollerar sina yttre gränser. Med inre gräns avses medlemsländernas gemensamma landgränser, flygplatser och hamnar med förbindelser till och från medlemsländerna. Med yttre gräns menas medlemsländernas övriga landgränser, flygplatser och hamnar.

År 1990 undertecknade avtalsländerna en tillämpningskonvention, den s.k. Schengenkonventionen. Konventionen innehåller bestäm- melser om praktiska åtgärder för att genomföra avvecklingen av personkontrollerna vid de inre gränserna och andra samarbetsåtgär- der. Konventionen trädde i kraft 1995. Sverige anslöt sig 1996 och deltar sedan 2001 fullt ut i samarbetet. För närvarande deltar 22 av EU:s 28 länder i Schengensamarbetet, vissa dock endast i begränsad

121

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

omfattning. Även Norge, Island, Schweiz och Liechtenstein har an- slutit sig till samarbetet.

Dublinkonventionen

Dublinkonventionen var ursprungligen ett folkrättsligt avtal mellan tolv av den Europeiska gemenskapens medlemsstater.

Konventionen tillkom år 1990 och innehåller regler för vilken stat som ska behandla en asylansökan som inlämnats i en medlemsstat. Syftet är att garantera att den asylsökande får sin ansökan prövad i ett land, men också att undvika att ansökan görs och prövas i flera länder samtidigt.

Dublinkonventionen trädde i kraft 1997 och Sverige tillträdde kon- ventionen samma år. Konventionen ersatte då reglerna i Schengen- konventionen om hanteringen av asylansökningar.

Dublinkonventionen har ersatts av Dublinförordningarna, se nedan.

4.3.3EES och EU

Maastrichtfördraget

Principen om personers fria rörlighet har funnits länge inom EU- samarbetet. Den innebar ursprungligen en fri arbetsmarknad och en fri etableringsrätt för medborgare i EG:s medlemsländer. Genom EU-fördraget, det s.k. Maastrichtfördraget, som trädde i kraft 1993, fördjupades dock samarbetet och bestämmelser om mellanstatligt samarbete om avvecklande av gränskontroller mellan medlemsstater, asylpolitiken, kontrollen vid passage av medlemsstaternas yttergränser och invandringspolitiken gentemot tredjelandsmedborgare infördes.

EES-avtalet

EES-avtalet är ett frihandelsavtal mellan de europeiska länder som i dag utgör EU samt Island, Liechtenstein och Norge.

Sverige anslöt sig till avtalet den 1 januari 1994 och antog där- igenom bland annat regler om den inre marknaden med fri rörlighet för varor, tjänster, personer och kapital. Genom att ansluta sig till

122

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

avtalet antog Sverige de bestämmelser i Romfördraget som överförts till EES-avtalet och gällande förordningar och direktiv på rättsområ- det. Ändringarna avsåg främst rätt till bosättning, anställning, etable- ring som företagare och studier. De nya bestämmelserna infördes i svensk rätt genom vissa nya lagar och ändringar i utlänningslagen och dess förordning.

Sveriges medlemskap i EU

Sveriges medlemskap i EU den 1 januari 1995 innebar inte några större sakliga förändringar på området för den fria rörligheten. De förordningar som inkorporerats i svensk rätt genom lagstiftning upp- hävdes och blev i stället direkt tillämpliga. EU-anslutningen innebar också att Sverige förbands av EES-avtalet i egenskap av EU-medlem. Det innebär att Sverige ska tillämpa EES-avtalets regler om fri rör- lighet för personer gentemot de EFTA-stater som är medlemmar i EES.

Amsterdamfördraget

Amsterdamfördraget innebar en avgörande förändring avseende per- soners fria rörlighet inom EU. Fördraget trädde i kraft den 1 maj 1999. Genom fördraget fördes ett antal samarbetsområden över från det mellanstatliga samarbetet i rättsliga och inrikes frågor till gemen- skapssamarbetet, bland annat samarbete inom områdena yttre gräns- kontroller, fri rörlighet för personer, asyl- och invandringspolitik. Amsterdamfördraget innebar också att Schengensamarbetet och Dublinkonventionen införlivades EU:s regelverk.

Utveckling inom området för fri rörlighet

År 2004 ersattes nio olika direktiv som reglerade rätten för EU-med- borgare att vistas och arbeta inom unionen med det s.k. rörlighets- direktivet (Europaparlamentets och Rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlem- mars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och

123

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG).

Direktivet var avsett att förenkla det tidigare regelverket och kodifiera EU-domstolens praxis på området. Det innehåller samtliga bestämmelser kring unionsmedborgares rättigheter till inresa och vistelse i alla Europeiska unionens medlemsstater. Huvudregeln är att unionsmedborgare ska kunna röra sig fritt mellan medlemssta- terna på samma sätt som vid flyttning inom det egna landet. Med direktivet förenklades kraven för att unionsmedborgare och deras familjer ska kunna få uppehållstillstånd.

Utöver unionens medlemsstater har även Island, Liechtenstein och Norge implementerat rörlighetsdirektivet genom EES-samarbetet. Även Schweiz har implementerat motsvarande, dock något begrän- sade, bestämmelser genom bilaterala avtal med EU.

Direktivet har genomförts gentemot EES-medborgare genom sär- skilda bestämmelser i 3 a kap. UtlL. Genom bestämmelserna avskaf- fades regler om uppehålls- och arbetstillstånd för EES-medborgare och deras anhöriga och en rätt för dessa personer att vistas i Sverige i mer än tre månader utan uppehållstillstånd.

Dublinförordningarna

Dublinkonventionen har ersatts av Rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har gett in i någon med- lemsstat, den s.k. Dublin II-förordningen.

Förordningen omarbetades och trädde i kraft i ny form den 1 januari 2014 genom Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat, Dublin III- förordningen. I förordningen fastställs kriterier för när en stat är ansvarig för asylprövningen. Kriterierna ska tillämpas i den ordning som de anges i förordningen och är kopplade till bland annat om den asylsökande har beviljats visum eller uppehållstillstånd av ett

124

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

annat land som omfattas av Dublinförordningen, om personen rest in utan tillstånd eller om han eller hon redan har ansökt om asyl i ett annat land.

För att förbättra kontrollen av om en asylprocess redan har på- börjats eller avslutats i en annan medlemsstat infördes Eurodac (ett europeiskt automatiserat system för jämförelser av asylsökandes fingeravtryck) år 2003. Systemet regleras i dag i Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och meka- nismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämfö- relser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Utbyggnad av Schengensamarbetet

Som ovan nämns innebar Amsterdamfördraget att Schengenregel- verket införlivades med EU-rätten.

Inom Schengensamarbetet fanns tidigare en gemensam handbok för personers passage av de yttre gränserna. Eftersom det rådde tvek- samhet kring handbokens rättsliga status fick kommissionen i upp- drag att lämna ett förslag till omarbetning av handboken. Omarbet- ningen resulterade i ett förslag till en gränskodex som omfattade bestämmelser om all gränspassage för personer över yttre och inre gränser. Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) trädde i kraft den 13 oktober 2006.

Bestämmelserna i kodex om Schengengränserna och dess bilagor består till stora delar av omarbetade bestämmelser från den gemen- samma handboken och från delar av Schengenkonventionen. Genom kodexen om Schengengränserna infördes ett gemensamt regelverk för passage av EU:s yttre gränser. I kodexen slås också fast att det

125

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

inte ska förekomma någon gränskontroll av personer vid de inre gränserna mellan EU:s medlemsstater.

På viseringsområdet inrättandes år 2004 ett gemensamt europeiskt system för utbyte av viseringsinformation genom rådets beslut 2004/512/EG av den 8 juni 2004 om inrättande av Informations- systemet för viseringar (VIS). Enligt beslutet ska systemet användas för utbyte av uppgifter om viseringar mellan medlemsstaterna och göra det möjligt för behöriga nationella myndigheter att föra in och uppdatera viseringsuppgifter och ha tillgång till dessa uppgifter på elektronisk väg. Informationssystemet ska bestå av ett centralt in- formationssystem (Centrala informationssystemet för viseringar, CS VIS) och ett system i varje medlemsstat (Nationella gränssnittet, NI VIS).

VIS regleras i dag genom Europaparlamentets och rådets förord- ning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) som trädde i kraft i september 2008. De övergripande målen med förordningen var att förbättra genomförandet av den gemensamma viseringspoli- tiken och förenkla samarbetet mellan de nationella viseringsmyndig- heterna. Systemet ska bland annat underlätta handläggningen av viseringsansökningar, förebygga kringgåendet av reglerna för vilken medlemsstat som har ansvaret för att pröva en ansökan, underlätta kampen mot bedrägerier och kontrollen vid de yttre gränserna och inom medlemsstaternas territorium.

VIS-förordningen innehåller allmänna bestämmelser om syfte, tillämpningsområde och mål, definitioner, vilka uppgiftskategorier som ska registreras i VIS, åtkomst till uppgifterna för att föra in, ändra, radera eller inhämta uppgifter i systemet, andra viseringsmyn- digheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna. Den fastställer också vilka rättigheter den registre- rade har, regler för dataskydd och tillsyn, villkoren för viserings- myndigheterna att använda uppgifterna i VIS och förfaranden för utbytet av uppgifter mellan medlemsstaterna för att underlätta pröv- ningen av viseringsansökningar och beslut som fattas i anslutning till dessa. Förordningen innehåller vidare en s.k. broklausul, som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terrorist- brott och andra grova brott.

126

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

I juli 2009 antogs Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemenskapskodex om viseringar (viseringskodex). Genom viseringskodexen samlades de bestämmel- ser som avser utfärdande av viseringar i en och samma förordning.

Enligt artikel 1 i kodexen är syftet med förordningen att inrätta förfaranden och villkor för utfärdande av viseringar för transitering genom medlemsstaternas territorium eller för planerade vistelser på medlemsstaternas territorium som inte varar längre än tre månader under en sexmånadersperiod. Bestämmelserna ska tillämpas på alla tredjelandsmedborgare som är skyldiga att inneha visering när de passerar medlemsstaternas yttre gränser. Förordningen innehåller bland annat bestämmelser om vilka myndigheter som är behöriga att pröva och besluta om viseringar och om vilken medlemsstat som är behörig att pröva och besluta om en ansökan. Det finns även bestäm- melser om upptagande av biometriska kännetecken, exempelvis fingeravtryck och fotografi, i samband med en viseringsansökan.

Asylpolitiken utvecklas

I samband med Amsterdamfördraget enades EU-staterna om att unionens asylsystem skulle grundas på en tillämpning av FN:s flyk- tingkonvention och dess protokoll. Arbetet med att få till stånd ett gemensamt europeiskt asylsystem har intensifierats de senaste tio åren.

I direktivet 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna per- soner och om åtgärder för att främja en balans mellan medlemsstater- nas insatser för att ta emot dessa personer och bära följderna av detta (massflyktsdirektivet) regleras under vilka förutsättningar som Europeiska unionens råd kan besluta att en massflyktssituation före- ligger. I sådana fall kan medlemsländerna bevilja tillfälligt skydd åt personer som är i behov av skydd. Bestämmelser om tillfälligt skydd finns i 21 kap. UtlL.

År 2003 antog rådet direktivet 2003/86/EG av den 22 september 2003 om rätt till familjeåterförening (familjeåterföreningsdirektivet). Direktivet innehåller minimiregler för rätten till familjeåterförening. Bestämmelserna gäller tredjelandsmedborgare som har haft uppehålls- tillstånd i minst ett år i ett medlemsland och som har välgrundade

127

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

utsikter att få ett permanent uppehållstillstånd. En sådan person ska ha rätt att återförenas med sin make, maka eller minderåriga barn. Direktivet stadgar en skyldighet för medlemsstaterna att bevilja uppehållstillstånd till sådana familjemedlemmar.

Europaparlamentets och rådets direktiv 2013/33/EU av den 26 juni 2013 om normer för mottagande av personer som ansöker om inter- nationellt skydd (mottagandedirektivet) är omförhandlat efter det ursprungliga direktivet från 2003. Det innehåller miniminormer för hur asylsökande ska tas emot och även vissa rättigheter som exem- pelvis rätten till information, barns rätt till skolgång och asylsökan- des rätt till nödvändig hälso- och sjukvård.

Som ett led i strävandet efter en gemensam asylpolitik med flyktingkonventionen som grund antog Europeiska rådet direktiv 2004/83/EG den 29 april 2004 om miniminormer för när tredje- landsmedborgare eller statslösa personer ska betraktas som flyktingar eller som personer som av andra skäl behöver internationellt skydd samt om dessa personers rättsliga ställning och om innehållet i det beviljade skyddet (skyddsgrundsdirektivet). Direktivet har ersatts av Europaparlamentets och rådets direktiv 2011/95/EU av den 13 december 2011 om normer för när tredjelandsmedborgare eller statslösa personer ska berättigas till internationellt skydd (det om- arbetade skyddsgrundsdirektivet). Direktivet innehåller regler för en enhetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande, och för inne- hållet i det beviljade skyddet. I direktivet fastslås på vilka grunder en person som söker asyl ska anses berättigad till internationellt skydd. Definitionen av begreppet flykting motsvarar den som finns i flyktingkonventionen, med undantag för att definitionen i direk- tivet enbart omfattar tredjelandsmedborgare och statslösa. Utöver flyktingkonventionens definition av vem som är en flykting omfattas också alternativt skyddsbehövande. Direktivet inför också en en- hetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande; flyktingsstatus- förklaring respektive alternativ skyddsstatusförklaring, och för inne- hållet i det beviljade skyddet. Det omfattar bland annat bestämmelser om skydd mot avvisning, sammanhållning av familjer, uppehålls- tillstånd som ska beviljas snarast möjligt efter beslutet om status, resedokument, tillträde till arbetsmarkanden och till utbildning.

128

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Bestämmelserna införlivades i svensk rätt genom ändringar i utlän- ningslagen år 2010.

År 2005 antogs Rådets direktiv 2005/85/EG av den 1 december 2005 om miniminormer för medlemsstaternas förfaranden för bevil- jande eller återkallande av flyktingstatus (asylprocedurdirektivet). Direktivet har upphävts och ersatts med Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (det omarbetade asylprocedurdirektivet). Syftet med direktivet är att fastställa gemensamma förfaranden för beviljande och återkallande av flyktingsstatus. Direktivet innehåller regler för hur en asylansökan ska prövas. Det finns bland annat bestämmelser om att det ska finnas en myndighet som ansvarar för en korrekt prövning av ansökningar enligt direktivet samt att myndigheten ska förses med de resurser som krävs för en korrekt prövning, exempelvis personal med ändamåls- enligt utbildning. Direktivet innehåller vidare vissa rättigheter för den sökande, till exempel rätten att stanna kvar i medlemsstaten tills beslut i ärendet fattas, rätt till ett skriftligt beslut och, i förekom- mande fall, motiverat avslagsbeslut med överklagandehänvisningar.

Europaparlamentets och rådets direktiv 2008/115/EG av den 16 december 2008 om gemensamma normer och förfaranden för åter- vändande av tredjelandsmedborgare som vistas olagligt i medlems- staterna (återvändandedirektivet) innehåller gemensamma regler för vad som ska gälla när en person som har fått avslag på sin ansökan ska lämna landet. Bestämmelserna medför bland annat att personer som ska avvisas eller utvisas och som inte lämnar Sverige inom före- skriven tid får ett återreseförbud som gäller alla Schengenstater. Åter- reseförbudet får överstiga fem år om tredjelandsmedborgaren utgör ett allvarligt hot mot allmän ordning, allmän säkerhet eller nationell säkerhet. Direktivet innehåller också bestämmelser om förvar.

4.3.4Utlänningslagen

Utlänningslagen innehåller nationella bestämmelser som rör utlän- ningars rätt att resa in i, vistas och arbeta i Sverige samt att söka asyl här. I lagen anges också under vilka förutsättningar som en utlänning kan avvisas eller utvisas ur landet. Med utlänning avses i utlännings- lagen den som inte är svensk medborgare enligt medborgarskapslagen.

129

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Utlänningslagens bestämmelser om rätt till inresa, vistelse och arbete utgör grunden för den s.k. kallade generella utlänningskon- trollen. Utlänningslagen reglerar också förutsättningarna för s.k. indi- viduell utlänningskontroll, dvs. möjligheten att hindra enskilda utlän- ningar som inte uppfyller lagens villkor att vistas i landet. En sådan utlänning kan avvisas eller utvisas enligt bestämmelser i 8 kap. UtlL.

4.3.5Villkor för att en utlänning ska få resa in, vistas och arbeta i Sverige

Krav på pass

Bestämmelser om en utlännings inresa, vistelse och arbete i Sverige finns i 2 och 3 kap. UtlL.

En utlänning som reser in i eller vistas i Sverige ska ha pass, se 2 kap. 1 § UtlL. Möjlighet finns dock till utfärdande av främlings- pass för den som inte har någon handling som gäller som pass och som saknar möjlighet att skaffa en sådan handling. Passkravet gäller inte för utlänning som är medborgare i en Schengenstat eller för en medborgare i Danmark, Finland, Island eller Norge. Med Schengen- stat avses i utlänningslagen en stat som har tillträtt eller anslutit sig till Schengenkonventionen samt Island, Norge, Schweiz och Liechtenstein. I 2 kap. 1–2 §§ utlänningsförordningen (2006:97, UtlF) finns ytterligare undantag från passkravet, bland annat för utlänningar som har permanent uppehållstillstånd eller som har be- viljats uppehållstillstånd med tillfälligt skydd.

Visering

Visering är ett tillstånd att resa in i och vistas i Sverige upp till tre månader. Enligt 2 kap. 3 § UtlL ska en utlänning som reser in i Sverige ha Schengenvisering eller nationell visering.

Som anges ovan har Sveriges deltagande i Schengensamarbetet medfört gemensamma bestämmelser för visering för hela Schengen- området. Schengenviseringen är numera den normala formen för visering. Enligt 3 kap. 1 § UtlL finns villkor för beviljande av Schengenvisering i viseringskodexen. Villkoren för utfärdande av en Schengenvisering regleras uttömmande i viseringskodexen, som även

130

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

hänvisar till de inresevillkor som uppställs i kodex om Schengen- gränserna. De viseringar som Schengenländerna utfärdar gäller i hela Schengenområdet. Med en Schengenvisering kan en tredjelands- medborgare således resa in i ett Schengenland och sedan fritt resa omkring i hela Schengenområdet.

Om det finns särskilda skäl får nationell visering beviljas (3 kap. 4 § UtlL). En nationell visering gäller endast i Sverige och får endast beviljas för längre tid än tre månader.

Det finns en rad undantag från visumtvånget som ger möjlighet för vissa personer, till exempel EES-medborgare, att resa in i och uppehålla sig i Sverige i tre månader utan visering.

Uppehållstillstånd

En utlänning som vistas i Sverige mer än tre månader ska ha uppe- hållstillstånd, se 2 kap. 5 § UtlL. Ett uppehållstillstånd är ett tillstånd att vistas i Sverige under viss tid (tidsbegränsat uppehållstillstånd) eller utan tidsbegränsning (permanent uppehållstillstånd). Uppehålls- tillstånd kan beviljas av olika skäl, till exempel för att en utlänning är i behov av skydd eller på grund av arbete, studier, besök eller för att bedriva näringsverksamhet, se 5 kap. UtlL.

Från kravet på uppehållstillstånd gäller undantag för en utlänning som är medborgare i något av de nordiska länderna, som har uppe- hållsrätt eller som har visering för längre tid än tre månader. Med uppehållsrätt avses en rätt för EES-medborgare och deras familje- medlemmar att vistas i Sverige i mer än tre månader utan uppehåll- stillstånd. Förutsättningarna för uppehållsrätt regleras i 3 a kap. UtlL.

Flyktingar, alternativt skyddsbehövande och övriga skyddsbe- hövande som befinner sig i Sverige har rätt till uppehållstillstånd, se 5 kap. 1 § UtlL. Ett sådant uppehållstillstånd ska som huvudregel vara permanent eller gälla minst tre år. En flykting får dock vägras uppehållstillstånd om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säkerhet att låta honom eller henne stanna i Sverige. Detsamma gäller om utlänningen har bedrivit verksamhet som inne- burit fara för rikets säkerhet och det finns anledning att anta att han eller hon skulle fortsätta verksamheten här.

131

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Med asyl menas uppehållstillstånd som beviljas en utlänning för att han eller hon är flykting eller alternativt skyddsbehövande, se 1 kap. 3 § UtlL. I utlänningslagen definieras flykting som en ut- länning som befinner sig utanför det land som han eller hon är med- borgare i därför att han eller hon känner välgrundad fruktan för förföljelse på grund av ras, nationalitet, religiös eller politisk upp- fattning eller på grund av kön, sexuell läggning eller annan tillhörig- het till en viss samhällsgrupp och som inte kan, eller på grund av sin fruktan inte vill, begagna sig av detta lands skydd, se 4 kap. 1 § UtlL. Detta gäller oberoende av om förföljelsen utgår från landets myndigheter eller om myndigheterna inte kan antas bereda trygghet mot förföljelse från enskilda. Som flykting anses även en utlänning som är statslös och av samma skäl som anges ovan befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelse- ort och inte kan, eller på grund av sin fruktan inte vill, återvända dit.

I vissa fall kan en person som inte är flykting enligt lagens definition beviljas asyl som alternativt skyddsbehövande, se 4 kap. 2 § UtlL. Så är fallet om utlänningen befinner sig utanför det land som han eller hon är medborgare i för att det finns grundad anled- ning att anta att utlänningen vid ett återvändande till hemlandet skulle löpa risk att straffas med döden eller utsättas för kropps- straff, tortyr eller annan omänsklig eller förnedrande behandling eller bestraffning eller som civilperson löper en allvarlig och person- lig risk att skadas på grund av urskillningslöst våld med anledning av en yttre eller inre väpnad konflikt. Det förutsätts också att ut- länningen inte kan, eller på grund av risken inte vill, begagna sig av hemlandets skydd. Det saknar även här betydelse om det är landets myndigheter som är ansvariga för att utlänningen löper denna risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Motsvarande regler gäller också för statslös utlänning som befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelseort.

En utlänning som inte uppfyller kraven för att anses som flykting eller alternativt skyddsbehövande kan beviljas uppehållstillstånd som övrig skyddsbehövande, se 4 kap. 2 a § UtlL. Det förutsätts då att utlänningen befinner sig utanför det land där han eller hon är medborgare för att han eller hon behöver skydd på grund av en yttre eller inre väpnad konflikt, eller på grund av andra svåra mot-

132

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

sättningar i hemlandet känner välgrundad fruktan för att utsättas för allvarliga övergrepp. Även detta gäller oberoende av om det är landets myndigheter som är ansvariga för att utlänningen löper en sådan risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Även den som inte kan återvända till sitt hemland på grund av en miljökatastrof betraktas som övrig skyddsbehövande.

En utlänning är utesluten från att anses som flykting om det finns synnerlig anledning att anta att han eller hon har gjort sig skyldig till brott mot freden, krigsförbrytelse eller brott mot mänsk- ligheten, ett grovt icke-politiskt brott utanför Sverige innan han eller hon kom hit eller gärningar som strider mot FN:s syften och grundsatser enligt inledningen och artiklarna 1 och 2 i FN:s stadga, se 4 kap. 2 b § UtlL. Detsamma gäller den som har anstiftat eller på annat sätt deltagit i förövandet av sådana brott eller gärningar. Lik- nande regler gäller för alternativt skyddsbehövande och övrig skydds- behövande enligt 4 kap. 2 c § UtlL.

En utlänning som med stöd av skyddsskäl ansökt om uppehålls- tillstånd ska förklaras vara flykting, alternativt skyddsbehövande eller övrigt skyddsbehövande om han eller hon omfattas av utlän- ningslagens definitioner enligt ovan. Detta kallas flyktingstatusför- klaring, alternativ skyddsstatusförklaring eller övrig skyddsstatus- förklaring, se 4 kap. 3 och 3 a §§ UtlL.

En utlänning får dock vägras sådan flyktingstatusförklaring om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säker- het att låta honom eller henne stanna i Sverige eller har bedrivit verksamhet som inneburit fara för rikets säkerhet och det finns anled- ning att anta att han eller hon skulle fortsätta verksamheten här. Liknande regler gäller för alternativ eller övrig skyddsstatusförklaring.

Tillfälligt skydd

I 21 kap. UtlL finns bestämmelser om tillfälligt skydd enligt Rådets direktiv 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta.

133

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

En utlänning som omfattas av ett beslut om tillfälligt skydd enligt direktivet och som i enlighet därmed överförs till eller tas emot i Sverige ska ges ett tidsbegränsat uppehållstillstånd, ett s.k. uppe- hållstillstånd med tillfälligt skydd. Om ett uppehållstillstånd med tillfälligt skydd har getts till en person får ett sådant tillstånd också ges till en nära anhörig till en sådan person.

Uppehållstillstånd med tillfälligt skydd får vägras utlänningen endast om det föreligger sådana omständigheter som innebär att en utlänning är utesluten från att vara flykting eller en flykting får vägras uppehållstillstånd.

Tribunalvittnen

22 kap. UtlL innehåller bestämmelser om skydd för personer som vittnat eller kommer att vittna i förhandlingar inför en internatio- nell domstol eller tribunal, med vilken Sverige har ingått avtal om sådant skydd samt för deras nära anhöriga. En internationell dom- stol eller tribunal kan göra en framställan om omplacering av vittne eller nära anhörig till vittne. Om framställan bedöms vara berät- tigad ska utlänningen meddelas ett tidsbegränsat uppehållstillstånd om minst ett år.

Arbetstillstånd

Arbetstillstånd är ett tillstånd att arbeta i Sverige, se 2 kap. 7 § UtlL. En utlänning som ska arbeta i Sverige på grund av anställning här eller utomlands ska ha arbetstillstånd. Det finns en mängd undantag från kravet på arbetstillstånd, till exempel för nordiska medborgare och EES-medborgare. I 6 a kap. UtlL finns särskilda bestämmelser om uppehålls- och arbetstillstånd för högkvalificerad anställning, s.k. EU-blåkort.

134

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Avvisning och utvisning

I 8 kap. UtlL finns bestämmelser om avvisning och utvisning, dvs. åtgärder för att avlägsna en utlänning som saknar tillstånd att vistas i Sverige. Avvisning är ett avlägsnandebeslut som meddelas inom tre månader efter den första ansökan om uppehållstillstånd efter utlän- ningens ankomst till Sverige. En utlänning som inte är EES-med- borgare får till exempel avvisas från Sverige om han eller hon saknar pass när ett sådant krävs för inresa. Utvisning innebär ett avlägs- nandebeslut som meddelas efter tre månader efter ansökan. För utvisning på grund av brott finns särskilda regler i 8 a kap. UtlL.

Regler om avlägsnande i annan lagstiftning

Utlänningslagen reglerar inte uttömmande i vilka fall utlänningar får avlägsnas ur landet. Särskilda bestämmelser om utvisning finns i lagen (1991:572) om särskild utlänningskontroll. Enligt den lagen får regeringen utvisa en utlänning om det behövs med hänsyn till rikets säkerhet (s.k. politisk utvisning) eller det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga om- ständigheter kan befaras att han kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terrorist- brott eller försök, förberedelse eller stämpling till sådant brott (s.k. presumtiv terrorist).

En utlänning får avlägsnas ur landet på annat sätt än genom av- visning eller utvisning. Av 23 kap. 2 § första stycket UtlL framgår att regeringen får meddela föreskrifter om att sända hem utlänning- ar som inte är flyktingar och som har tagits om hand enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Vidare finns i annan lagstiftning bestämmelser om utlämning för brott och om överförande till annat land för verkställighet. Det reg- leras i första hand i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utläm- ning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

135

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Kontroll av personer enligt kodexen om Schengengränserna

I 9 kap. UtlL finns bestämmelser om kontroll av personer enligt kodexen om Schengengränserna.

Av 9 kap. 2 § UtlL följer att en polisman i samband med inrese- kontroll enligt kodexen om Schengengränserna får kroppsvisitera en utlänning och undersöka hans eller hennes bagage, handresgods, handväskor och liknande, i den utsträckning som det är nödvändigt för att ta reda på utlänningens identitet. Av paragrafen följer vidare att sådana undersökningar också får göras för att ta reda på en ut- lännings resväg till Sverige, om den är av betydelse för bedömningen av rätten att resa in i och vistas här i landet. En polisman får i sam- band med inresekontrollen även undersöka bagageutrymmen och övriga slutna utrymmen i bilar och andra transportmedel i syfte att förhindra att en utlänning reser in i Sverige i strid med bestämmel- serna i kodexen om Schengengränserna.

Av 9 kap. 8 § UtlL följer att Migrationsverket eller Polismyndig- heten får fotografera en utlänning och, om utlänningen fyllt 14 år ta hans eller hennes fingeravtryck i vissa fall, bland annat om utlän- ningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.

Även den som har en Schengenvisering är vid in- eller utrese- kontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta bland annat en polisman ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet, se 9 kap. 8 c § UtlL. Enligt samma paragraf gäller även sådan skyldighet för en ut- länning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.

Förvar och uppsikt

I 10 kap. UtlL finns bestämmelser om frihetsberövande i form av förvar. En utlänning som har fyllt 18 år får tas i förvar till exempel om det är nödvändigt för att en utredning om utlänningens rätt att stanna i Sverige ska kunna genomföras eller om det är av olika skäl är sannolikt att utlänningen kommer att avvisas eller utvisas. I stället

136

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

för att tas i förvar kan en utlänning enligt 10 kap. 6 § UtlL ställas under uppsikt. Uppsikt innebär att utlänningen är skyldig att på vissa tider anmäla sig hos Polismyndigheten eller hos Migrationsverket. Utlänningen kan också åläggas att lämna ifrån sig sitt pass eller annan legitimationshandling.

4.3.6Handläggande myndigheter enligt utlänningslagen

Migrationsverket

Migrationsverket har huvudansvaret för den generella utlännings- kontrollen. Som ovan nämnts är verket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagan- de av asylsökande, återvändande, medborgarskap och återvandring. Nedan följer en översiktlig beskrivning av Migrationsverkets ansvars- områden enligt utlänningslagen och dess förordning.

Om en utlänning saknar pass och inte heller har möjlighet att skaffa något kan Migrationsverket utfärda främlingspass för honom eller henne, se 2 kap. 1 a § UtlL.

Schengenvisering handläggs och beslutas som huvudregel hos svensk ambassad eller konsulat i det land sökanden är bosatt eller av polismyndighet vid yttre gräns. Även Migrationsverket har dock enligt 3 kap. 5 § UtlL möjlighet att besluta om sådan visering. Utlandsmyndigheterna och Polismyndigheten vid yttre gräns är be- höriga att återkalla och upphäva Schengenviseringar. Det följer dock av 7 kap. 8 § UtlL att även Migrationsverket har behörighet att återkalla och upphäva sådana viseringar.

Beslut om nationell visering får meddelas av Migrationsverket och Regeringskansliet, se 3 kap. 5 § UtlL. En återkallelse av en nationell visering beslutas av den myndighet som har beviljat vise- ringen eller av Migrationsverket, se 7 kap. 8 § UtlL. En visering som beviljats av Regeringskansliet får dock endast återkallas av Regerings- kansliet.

Migrationsverket beslutar vidare i frågor om statusförklaring en- ligt 4 kap. UtlL och i ärenden om ställning som varaktigt bosatt i Sverige enligt 5 a kap. UtlL.

Det är Migrationsverket som beslutar om en ansökan om uppe- hållstillstånd ska beviljas eller avslås, se 5 kap. 20 § UtlL. Migrations- verket beslutar också om eventuell återkallelse av sådant tillstånd,

137

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

se 7 kap. 8 § UtlL. Beslut om uppehållstillstånd får också meddelas av Regeringskansliet. Ett sådant tillstånd får endast återkallas av Regeringskansliet.

Migrationsverket meddelar beslut om arbetstillstånd och åter- kallelse av sådant tillstånd, se 6 kap. 5 och 7 kap. 8 §§ UtlL. Verket prövar även frågor rörande s.k. EU-blåkort enligt 6 a kap. UtlL.

Det följer av 8 kap. 17 § UtlL att det är endast Migrationsverket som kan pröva frågan om avvisning i de fall en utlänning söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. De sistnämnda bestämmelserna avser avvisning eller utvisning av utlän- ning som har avvisats eller utvisats från en EU-stat eller från Island, Norge, Schweiz eller Liechtenstein på grund av allvarligt hot mot allmän ordning och inre säkerhet eller beslutet om avvisning eller utvisning har grundats på att utlänningen inte har följt gällande be- stämmelser om en utlännings inresa eller vistelse i den staten eller när det framställts en begäran om avvisning från den centrala utlän- ningsmyndigheten i ett nordiskt land. I andra fall får både Migra- tionsverket och Polismyndigheten pröva frågan om avvisning. Om Polismyndigheten anser det tveksamt om en utlänning bör avvisas, ska ärendet lämnas över till Migrationsverket.

Migrationsverket ska pröva frågan om utvisning i de fall det rör sig om en utlänning som inte är EES-medborgare eller familjemedlem till en EES-medborgare och som uppehåller sig här men saknar pass eller de tillstånd som krävs för att få uppehålla sig i landet, se 8 kap. 18 § UtlL. Verket ska också handlägga frågan om utvisning när det gäller en EES-medborgare eller en familjemedlem till en EES-med- borgare som har vistats i Sverige mer än tre månader och som inte har uppehållsrätt, men som uppehåller sig här och saknar de tillstånd som krävs för att få uppehålla sig i landet. Slutligen prövar verket frågan om utvisning av en EES-medborgare eller en familjemedlem till en EES-medborgare av hänsyn till allmän ordning och säkerhet.

När det gäller förvar eller uppsikt fattas beslut av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Migra- tionsverket är handläggande myndighet från det att verket tar emot ett ärende som verket ska pröva och till dess verket fattar beslut eller utlänningen har lämnat landet eller Polismyndigheten har tagit emot ärendet eller, om Migrationsverkets beslut överklagas, till dess ärendet tas emot av migrationsdomstolen. Verket är också hand-

138

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

läggande myndighet från det att verket tar emot ett beslut om av- visning eller utvisning för verkställighet och till dess att beslutet har verkställts eller ärendet lämnas över till polismyndigheten. I fråga om beslut som gäller omedelbart är, även om beslutet överklagas, Migrationsverket handläggande myndighet till dess domstolen med- delar beslut om inhibition.

Polismyndigheten

Polismyndigheten ansvarar för kontroll av personer enligt kodexen om Schengengränserna, se 9 kap. 1 § UtlL. Av samma paragraf följer att Tullverket och Kustbevakningen är skyldiga att hjälpa Polis- myndigheten vid en sådan kontroll och att Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid sådan kontroll. Kustbevakningen ska dessutom medverka i Polismyndig- hetens kontrollverksamhet genom att utöva kontroll av sjötrafiken. Vilka kontroller som en polisman och andra får vidta i samband med inresekontroll enligt kodexen om Schengengränserna följer av 9 kap. 2 § UtlL och har behandlas ovan.

Polismyndigheten är även ansvarig för inre utlänningskontroll. Enligt Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre utlännings- kontroll alla handlingar som syftar till att kontrollera om en utlän- ning har rätt att uppehålla sig i landet. Enligt 9 kap. 9 § UtlL är till exempel en utlänning som vistas i Sverige skyldig att på begäran av en polisman överlämna pass eller andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige. Utlänningen är också skyldig att efter kallelse av Migrationsverket eller Polismyndigheten komma till verket eller myndigheten och lämna uppgifter om sin vistelse här i landet. Om utlänningen inte gör det, får han eller hon hämtas genom Polismyndighetens försorg.

Kustbevakningen ska medverka i Polismyndighetens kontroll- verksamhet genom kontroll av och i anslutning till sjötrafiken. Om kontrollen utövas av Kustbevakningen ska pass eller andra handlingar överlämnas till tjänstemannen vid Kustbevakningen. Kontroller får dock endast vidtas om det finns grundad anledning att anta att ut- länningen saknar rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll.

139

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Som ovan anges får endast Migrationsverket pröva frågan om avvisning om utlänningen söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. I andra fall får både Migrations- verket och Polismyndigheten pröva frågan om avvisning.

Polismyndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvisning på grund av brott. Migrations- verket får överlämna till Polismyndigheten att verkställa en avvis- ning eller utvisning om den som ska avvisas eller utvisas håller sig undan och inte kan anträffas utan Polismyndighetens medverkan eller om det kan antas att tvång kommer att behövas för att verk- ställa beslutet.

I fråga om förvar och uppsikt fattas beslut, som ovan anges, av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Polismyndigheten är handläggande myndighet från det att en utlänning begär att få resa in i landet och till dess att ett ärende som ska prövas av Migrationsverket tas emot av verket eller utlän- ningen har lämnat landet. Polismyndigheten är vidare handläggande myndighet när den tar emot ett beslut om avvisning eller utvisning för verkställighet och till dess att verkställighet har skett, även om ärendet är föremål för prövning på grund av hinder mot verkställig- het enligt 12 kap. 18–20 §§ UtlL. Det gäller emellertid inte under den tid då beslutet inte får verkställas på grund av ett beslut om inhibition eller ny prövning. Även om Polismyndigheten inte är hand- läggande myndighet får den fatta beslut om att ta en utlänning i för- var eller ställa honom eller henne under uppsikt, om det inte finns tid att avvakta den handläggande myndighetens beslut. Ett sådant beslut ska skyndsamt anmälas till den myndighet som handlägger ärendet och myndigheten ska omedelbart pröva om beslutet om för- var eller uppsikt ska fortsätta att gälla. Att en polisman i vissa fall får omhänderta en utlänning i avvaktan på Polismyndighetens beslut om förvar framgår av 11 § polislagen (1984:387).

I 3 kap. UtlL finns bestämmelser om visering. Efter viserings- kodexens införande regleras frågan om vilka myndigheter som be- slutar om Schengenvisering inte i utlänningslagen utan i viserings- kodexen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Enligt artikel 4.2 får dock viseringsansökningar vid medlemsstaternas yttre gränser prövas och beslutas av de myndigheter som ansvarar för person-

140

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

kontroller. Det innebär att Polismyndigheten vid yttre gräns har behörighet att handlägga och besluta i viseringsärenden.

Säkerhetspolisen

Migrationsverkets beslut i fråga om avvisning, utvisning, uppehålls- tillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende får överklagas av Säkerhetspolisen, se 14 kap. 11 § UtlL. Med säkerhetsärenden avses enligt 1 kap. 7 § UtlL ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlän- nings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en utlänning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas. Vidare är ett ärende hos Migrationsverket om huruvida ny prövning ska beviljas enligt 12 kap. 19 eller 19 a § utlänningslagen ett säkerhetsärende om be- slutet om avvisning eller utvisning har fattats i ett säkerhetsärende.

Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden enligt utlänningslagen, se 12 kap. 14 § UtlL. Säkerhetspolisen kan också som handläggande myndig- het fatta beslut om förvar eller uppsikt, se 10 kap. 12 § första stycket och 10 kap. 13 § tredje stycket UtlL.

Utlandsmyndigheterna

Med utlandsmyndigheter avses beskickningar, delegationer vid inter- nationella organisationer och karriärkonsulat, se 1 kap. 2 § förord- ningen (2014:115) med instruktion för utrikesrepresentationen. Utlandsmyndigheterna bildar tillsammans med Utrikesdepartementet utrikesförvaltningen. En beskickning är en ambassad eller legation. Sverige hade i mars 2014 89 ambassader. Vid internationella organi- sationer som till exempel EU i Bryssel och FN i New York har Sverige delegationer eller representationer. Deras huvudsakliga uppgift

141

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

är att företräda Sverige och bevaka Sveriges intressen inom organi- sationernas arbete och rapportera om verksamheten, varför de inte torde vara aktuella för denna utredning. Ett karriärkonsulat är ett konsulat som leds av en utsänd tjänsteman. På karriärkonsulaten arbetar utsänd personal från UD. Konsulatens huvuduppgift är bland annat att stödja svenska exportföretag, främja utländska investe- ringar i Sverige och hjälpa nödställda svenska medborgare, men de utfärdar också viseringar, uppehålls- och arbetstillstånd för utländska medborgare som vill besöka eller arbeta i Sverige. Sverige har sju karriärkonsulat. Utlandsmyndigheterna är i administrativt hänseende direkt underställda Regeringskansliet (Utrikesdepartementet).

Utlandsmyndigheterna ska ta emot ansökan om främlingspass, om utlänningen inte befinner sig i Sverige, se 2 kap. 15 § UtlF. Av 4 kap. 20 § UtlF följer att en ansökan om uppehållstillstånd av en utlänning som inte befinner sig i Sverige ges in till och utreds av en svensk beskickning eller ett svenskt konsulat. Motsvarande regler gäller för ansökan om arbetstillstånd, se 5 kap. 8 § UtlF.

Som ovan nämns finns bestämmelser om visering i 3 kap. UtlL. Efter viseringskodexens införande regleras hanteringen av Schengen- viseringar i viseringskodexen och VIS-förordningen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Prövning av och beslut om viserings- ansökningar regleras i artiklarna 18–23 viseringskodexen. Av 3 kap. 10 § UtlF följer att om en svensk beskickning eller ett svenskt kon- sulat överväger att avslå en ansökan om Schengenvisering på grund av att sökanden anses vara ett hot mot medlemsstaternas allmänna ordning, inre säkerhet eller folkhälsa får ansökan överlämnas till Migrationsverket för prövning. Överlämnande får också ske i annat fall, om det finns särskild anledning till det.

Migrationsverket får ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar, se 3 kap. 12 § UtlF. Vidare får Regeringskansliet (Utrikesdepartementet) ge en svensk beskickning eller ett svenskt konsulat rätt att bevilja nationella viseringar inom departementets ansvarsområde.

142

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Migrationsdomstol

I 14 kap. UtlL finns bestämmelser om överklagande av en förvalt- ningsmyndighets beslut. De allra flesta beslut som fattas med stöd av utlänningslagens bestämmelser kan överklagas till migrations- domstol. Exempelvis får Migrationsverkets beslut överklagas till en migrationsdomstol, om beslutet innebär avvisning eller utvisning, avslag på en ansökan om upphävande av allmän domstols beslut om utvisning på grund av brott, avslag på en ansökan om uppehållstill- stånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige eller återkallelse av ett uppehållstillstånd, arbetstillstånd eller ställ- ning som varaktigt bosatt i Sverige, se 14 kap. 3 § UtlL. Även Migrationsverkets beslut i säkerhetsärenden enligt utlänningslagen överklagas till migrationsdomstol. I kapitlet finns också bestämmel- ser om överklagande av beslut avseende bland annat avslag på an- sökan om Schengenvisering eller om upphävande eller återkallelse av Schengenvisering, avslag på ansökan om nationell visering eller återkallelse av nationell visering, förvar och uppsikt. Även dessa be- slut överklagas till migrationsdomstol. Undantag gäller för Polis- myndighetens eller Migrationsverkets beslut om kostnadsansvar eller särskild avgift, som ska överklagas till allmän domstol, se 14 kap. 14 § UtlL.

Förvaltningsrätterna i Stockholm, Göteborg, Malmö och Luleå är migrationsdomstolar, se 6 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. Förfarandet i migrations- domstolarna är som huvudregel skriftligt och de flesta mål avgörs efter föredragning, se 16 kap. 5 § UtlL. Muntlig förhandling får hållas bland annat när det kan antas vara till fördel för utredningen eller främja ett snabbt avgörande av målet. Muntlig förhandling ska med vissa undantag hållas om utlänningen begär det.

När Migrationsverkets beslut överklagas omprövar verket först sitt beslut. Om omprövningen inte leder till ändring av beslutet går överklagandet vidare till migrationsdomstolen. Prövningen i migra- tionsdomstolarna sker i form av en tvåpartsprocess. Migrationsverket får ställning av part och är den enskildes motpart i domstolsprocessen.

En migrationsdomstols beslut kan överklagas till Migrations- överdomstolen, dvs. Kammarrätten i Stockholm, se 16 kap. 1 och 9 §§ UtlL. För prövning i Migrationsöverdomstolen krävs pröv- ningstillstånd, se 16 kap. 11 § UtlL. Vissa undantag från kravet på

143

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

prövningstillstånd finns i 16 kap. 11 § andra stycket UtlL. Migra- tionsöverdomstolens beslut får inte överklagas.

Allmän domstol

Beslut om utvisning på grund av brott enligt 8 a kap. UtlL fattas av den domstol som handlägger brottmålet.

Regeringskansliet

Enligt 3 kap. 5 § UtlL får Regeringskansliet besluta om nationell vise- ring. I 5 § Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1) anges för vilka kategorier av personer Regeringskansliet kan besluta om visering. Det gäller bland annat främmande staters beskicknings- medlemmar, konsuler och deras familjemedlemmar.

Av 5 kap. 20 § tredje stycket UtlL framgår att Regeringskansliet i vissa fall får besluta om uppehållstillstånd. Av ovan angivna före- skrifter framgår att Regeringskansliet får besluta om uppehållstill- stånd för bland annat beskickningsmedlemmar, konsuler och deras familjemedlemmar. Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regerings- kansliet, se 7 kap. 8 § UtlL.

Regeringen beslutar vilka kategorier av personer som, utöver dem som omfattas av Europeiska unionens råds beslut, får ges uppe- hållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL.

4.4Verksamhet enligt medborgarskapslagen

4.4.1Medborgarskapslagen

I lagen (2001:82) om svenskt medborgarskap (medborgarskaps- lagen) och medborgarskapsförordningen (2001:218) regleras förvärv och förlust av svenskt medborgarskap samt befrielse från svenskt medborgarskap.1 I lagens 2−13 §§ anges på vilka sätt en person kan

1 Se senaste lagändringarna trädde i kraft den 1 april 2015 (SFS 2014:481).

144

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

förvärva svenskt medborgarskap. Barn till svenska medborgare får på vissa villkor svenskt medborgarskap vid födelsen eller genom adoption, se 2 och 4 §§ medborgarskapslagen. I lagen finns också bestämmelser om att ett barn som är utländsk medborgare eller statslös efter anmälan kan förvärva svenskt medborgarskap, se 6, 7 och 10 §§ medborgarskapslagen. Exempelvis förvärvar ett barn som inte är svensk medborgare medborgarskap genom anmälan om barnet har permanent uppehållstillstånd i Sverige och hemvist här i landet sedan tre år eller, om barnet är statslöst, två år. Om barnet har fyllt tolv år krävs barnets samtycke.

Enligt 11 § medborgarskapslagen kan en utlänning som fyllt 18 år efter ansökan beviljas svenskt medborgarskap (naturalisation) om han eller hon har styrkt sin identitet, har permanent uppehållstill- stånd i Sverige och hemvist här i landet sedan ett visst antal år beroende på befintligt medborgarskap. Utlänningen ska också ha haft och förväntas komma att ha ett hederligt levnadssätt. Även om kraven i bestämmelsen inte är uppfyllda kan en utlänning ändå be- viljas svenskt medborgarskap om sökanden tidigare har varit svensk medborgare, sökanden är gift eller sambo med en svensk medborgare eller det annars finns särskilda skäl till det, se 12 § medborgarskaps- lagen. En sökande som inte kan styrka sin identitet kan få svenskt medborgarskap endast om han eller hon har haft hemvist i Sverige sedan minst åtta år och gör sannolikt att den uppgivna identiteten är riktig.

En svensk medborgare kan under de förutsättningar som anges i 14 § medborgarskapslagen förlora sitt medborgarskap eller efter an- sökan befrias från sitt medborgarskap, se 15 § medborgarskapslagen.

För medborgare i Danmark, Finland, Island och Norge och övriga EES-länder finns särskilda bestämmelser i 16−20§§ medborgarskaps- lagen. En nordisk medborgare kan till exempel förvärva svenskt medborgarskap efter anmälan har fyllt arton år, har hemvist i Sverige sedan fem år och under denna tid inte har dömts till frihetsberövan- de påföljd.

145

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.4.2Handläggande myndigheter enligt medborgarskapslagen

Ärenden enligt medborgarskapslagen prövas som huvudregel av Migrationsverket. Verket beslutar i ärenden om anmälan enligt 5– 9 §§ medborgarskapslagen, ansökan om naturalisation enligt 11–13 §§ medborgarskapslagen, ansökan om bibehållande av svenskt med- borgarskap enligt 14 § andra stycket medborgarskapslagen, ansökan om befrielse från svenskt medborgarskap enligt 15 § medborgar- skapslagen samt ansökan om förklaring om svenskt medborgarskap enligt 21 § medborgarskapslagen. Undantag gäller för vissa anmäl- ningar som gäller en medborgare i Danmark, Finland, Island eller Norge. Sådana anmälningar prövas av länsstyrelsen.

Ansökningar om svenskt medborgarskap ska som huvudregel ges in till Migrationsverket. Om sökanden inte är folkbokförd i Sverige ska ansökan emellertid ges in till en svensk beskickning eller ett svenskt karriärkonsulat inom vars verksamhetsområde sökanden är bosatt, se 5 § medborgarskapsförordningen. En ansökan om natura- lisation som gäller en utlänning som är under 15 år och adopterad av en svensk medborgare ska dock alltid ges in till Migrationsverket.

I de fall anmälan eller ansökan görs till en beskickning eller kon- sulat utomlands görs den utredning som behövs för ärendets pröv- ning där. Handlingarna i ärendet ska därefter sändas till Migrations- verket för beslut, se 7 och 8 §§ medborgarskapsförordningen. I övrigt utreder Migrationsverket de ärenden som verket ska pröva.

När någon har förvärvat svenskt medborgarskap eller en ansökan om bibehållande av svenskt medborgarskap, ansökan om befrielse från svenskt medborgarskap eller ansökan om förklaring om att någon är svensk medborgare har bifallits ska den beslutande myndigheten eller domstolen skyndsamt underrätta Skatteverket om beslutet, se 9 § medborgarskapsförordningen. Även den svenska beskickning eller det svenska karriärkonsulat som har tagit emot anmälan eller an- sökan ska underrättas. I underrättelsen ska även anges de barn som har förvärvat svenskt medborgarskap genom beslutet.

När någon har förvärvat svenskt medborgarskap genom anmälan eller naturalisation ska Migrationsverket eller länsstyrelsen utfärda bevis om svenskt medborgarskap, se 10 § medborgarskapsförord- ningen.

146

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Migrationsverkets och länsstyrelsernas beslut enligt medborgar- skapslagen överklagas till migrationsdomstol. I säkerhetsärenden överklagas dock Migrationsverkets beslut till regeringen, se 27 § medborgarskapslagen. Ett säkerhetsärende är ett ärende där Säker- hetspolisen hos Migrationsverket har föreslagit att ansökan om med- borgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i säkerhetsärenden får överklagas även av Säkerhetspolisen.

Enligt 28 § medborgarskapslagen ska en socialnämnd på begäran av regeringen, Migrationsverket, en migrationsdomstol, Migrations- överdomstolen eller Säkerhetspolisen lämna ut uppgifter om en ut- lännings personliga förhållanden om uppgifterna behövs i ett ärende om svenskt medborgarskap.

4.5Verksamhet enligt nuvarande utlänningsdataförordning m.m.

Som angetts ovan anges inte i kommittédirektiven vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Viss vägledning kan dock sökas i den nuvarande utlänningsdataför- ordningen. Enligt 1 § gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. I bestämmelsen definieras därefter vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen, nämligen:

1.verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2.verksamhet som gäller utlänningars rätt att arbeta i landet,

3.mottagande av asylsökande och vissa andra utlänningar,

4.verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,

5.verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och

147

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

6.verksamhet som gäller ersättning för och bosättning av utlänning- ar som enligt lag eller annan författning handläggs av Migrations- verket.

I detta avsnitt beskrivs annan verksamhet enligt utlännings- och medborgarskapslagstiftningen än sådan verksamhet som följer av utlänningslagen och medborgarskapslagen med utgångspunkt i den nuvarande utlänningsdataförordningens definition.

4.5.1Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet

Utöver de bestämmelser i utlänningslagen som beskrivits ovan finns regler om utvisning i lagen om särskild utlänningskontroll. Enligt 1 § lagen om särskild utlänningskontroll får en utlänning utvisas ur landet om det är särskilt påkallat av hänsyn till rikets säkerhet. Det får också ske om det med hänsyn till vad som är känt om utlän- ningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott.

Beslut om utvisning enligt lagen om särskild utlänningskontroll meddelas av Migrationsverket, se 2 § lagen om särskild utlännings- kontroll. Frågan om utvisning tas upp på ansökan av Säkerhetspolisen. Polismyndigheten eller Migrationsverket kan göra en anmälan till Säkerhetspolisen om myndigheten anser det finns anledning att anta att ett beslut om utvisning bör meddelas.

Om utlänningen vid Säkerhetspolisens ansökan redan har ansökt om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt, ska ansökningarna handläggas tillsammans en- ligt bestämmelserna i nu aktuell lag. Detsamma gäller om utlänningen ansöker om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt under handläggningen av ärendet om utvisning.

Migrationsverkets beslut som rör utvisning, uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt får överklagas till regeringen, se 2 a § lagen om särskild utlännings- kontroll. I övrigt får beslut som meddelas av en förvaltningsmyn- dighet överklagas endast i de fall som anges i lagen. Säkerhetspolisen

148

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

får överklaga Migrationsverkets beslut, om beslutet kan överklagas och går Säkerhetspolisen emot.

Om Migrationsverkets utvisningsbeslut överklagas ska verket skyndsamt lämna över handlingarna i ärendet till Migrationsöver- domstolen, se 3 § lagen om särskild utlänningskontroll. Migrations- överdomstolen ska i sin tur lämna handlingarna vidare till regeringen tillsammans med ett eget yttrande. Migrationsöverdomstolen ska bland annat yttra sig om huruvida det finns hinder mot att beslutet verkställs. Ett sådant hinder kan till exempel vara att det finns skälig anledning att anta att utlänningen i det land utvisning ska ske till skulle vara i fara att straffas med döden eller att utsättas för kropps- straff, tortyr eller annan eller omänsklig behandling eller bestraffning. Finner Migrationsöverdomstolen att sådant hinder mot verkställig- het finns, får regeringen inte avvika från den bedömningen.

Det är som huvudregel Säkerhetspolisen som verkställer beslut om utvisning och förvar enligt lagen om särskild utlänningskontroll.

I 2 a § lagen (2006:304) om rättsprövning av vissa regeringsbeslut finns en bestämmelse om rätt för EES-medborgare och deras familje- medlemmar att hos Högsta förvaltningsdomstolen ansöka om rätts- prövning av ett beslut om utvisning enligt lagen om särskild utlän- ningskontroll. I lagen finns också bestämmelser om förvar och uppsikt i samband med beslut om utvisning.

Bestämmelser om avlägsnande finns även i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om över- lämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling. Beslut enligt den först nämnda lagen fattas i vissa fall av regeringen, annars av Högsta domstolen. Överlämnande enligt europeisk eller nordisk arresteringsorder beslutas av tingsrätten. Utlämning enligt sistnämn- da lag får i vissa fall beslutas av Polismyndigheten, annars av en förvaltningsrätt. Det är Polismyndigheten som verkställer utläm- ningar och överlämningar med stöd av ovan nämnda författningar.

149

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.5.2Verksamhet som gäller utlänningars rätt att arbeta i Sverige

Utlänningars rätt att arbeta i Sverige regleras i utlänningslagen och dess förordning samt föreskrifter som meddelats med stöd av dessa författningar (se avsnitt 4.3.5).

Undantag gäller för anställning av utlänning på svenskt fartyg i utrikes trafik. Av lagen (1989:532) om tillstånd till anställning på fartyg följer att utlänning som inte har permanent uppehållstillstånd eller är medborgare i ett nordiskt land ska ha anställningstillstånd. Kravet på anställningstillstånd gäller inte för en utlänning som är medborgare i en stat inom EES.

Anställningstillstånd lämnas och återkallas av Arbetsförmedlingen. Tillstånd får dessutom lämnas av den sjöarbetsförmedling som utses av regeringen eller av den myndighet som regeringen bestämmer, och av de svenska utlandsmyndigheter som Utrikesdepartementet be- stämmer.

4.5.3Mottagande av asylsökande och vissa andra utlänningar och verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

Lagen om mottagande av asylsökande m.fl.

I lagen (1994:137) om mottagande av asylsökande m.fl. (LMA) finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. Ytterligare föreskrifter ges i förordningen (1994:361) om mot- tagande av asylsökande m.fl. Bestämmelserna i lagen gäller enligt 1 § första stycket för tre kategorier av utlänningar:

1.utlänningar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skyddsbehövande eller motsvarande en- ligt äldre bestämmelser (asylsökande),

2.utlänningar som har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd med stöd av utlänningslagens bestämmelser och som inte är folkbokförda här i landet eller

150

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

3.utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas.

I lagen finns också särskilda bestämmelser om mottagande av barn under 18 år som vid ankomsten till Sverige är skilda från båda sina föräldrar eller från någon annan vuxen person som får anses ha trätt i föräldrarnas ställe eller som efter ankomsten står utan sådan ställ- företrädare, dvs. ensamkommande barn.

Migrationsverket har huvudansvaret för mottagandet av de ut- länningar som tillhör kategori 1 och 2 ovan. Verket ska driva för- läggningar och de utlänningar som myndigheten ansvarar för ska erbjudas plats på en sådan förläggning. Oavsett om utlänningen ut- nyttjar en erbjuden plats eller inte ska han eller hon registreras vid en förläggning. Migrationsverket ansvarar därefter för att bistånd lämnas i enlighet med bestämmelserna i LMA. När det gäller ensam- kommande barn ska Migrationsverket i stället anvisa en kommun som ska ordna boendet.

För de utlänningar som tillhör den tredje kategorin ska biståndet lämnas av socialnämnden i den kommun där utlänningen vistas.

Migrationsverket ska i lämplig omfattning ge de utlänningar de ansvarar för sysselsättning genom att de får tillfälle att delta i svensk- undervisning, i skötseln av förläggningar och i annan verksamhet som bidrar till att göra vistelsen meningsfull.

En utlänning som tillhör de första två kategorierna och som är registrerad vid en förläggning har rätt till bistånd. Bistånd lämnas i form av logi, bostadsersättning, dagersättning och särskilt bidrag. En utlänning som tillhör den tredje kategorin har rätt till bidrag i form av dagersättning och särskilt bistånd.

Migrationsverkets eller socialnämndens beslut enligt LMA får överklagas till allmän förvaltningsdomstol. Migrationsverkets beslut om anvisning av ensamkommande barn får emellertid inte över- klagas.

En kommun som har lämnat bidrag enligt LMA har rätt till ersättning från staten för biståndet.

151

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Bidrag till resor

Enligt 1 § förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land får Migrationsverket besluta om statligt bidrag till utlänningar som önskar lämna Sverige och bosätta sig i ett annat land. Migrationsverket får vidare enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige besluta om bidrag av allmänna medel för kostnader för resa till Sverige för vissa anhöriga till en flykting. Bidrag får lämnas till resa för anhörig som har sammanlevt med flyktingen utanför Sverige och som är make eller maka eller ogift barn under 20 år, förälder eller syskon till den som är minderårigt barn, om det med hänsyn till barnets behov föreligger särskilda skäl, annan person som under längre tid under äktenskapsliknande former har samman- levt med flyktingen och andra anhöriga om det finns det finns syn- nerliga skäl.

Förordning om återetableringsstöd för vissa utlänningar

Av förordningen (2008:778) om återetableringsstöd för vissa utlän- ningar följer att Migrationsverket efter ansökan får besluta om statligt bidrag, återetableringsstöd, till en utlänning under vissa förutsätt- ningar. Det gäller om utlänningen har fått avslag på en ansökan om uppehållstillstånd som flykting, alternativt skyddsbehövande eller övrig skyddsbehövande eller motsvarande äldre bestämmelser och utlänningen avser att självmant återvända till ett land eller en del av ett land som på grund av svåra motsättningar har mycket begrän- sade förutsättningar för återetablering av återvändande. Som krav gäller också att det framstår som sannolikt att utlänningen kommer att tas emot i det land han eller hon avser att återvända till.

Förordning om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet

Förordningen (2010:1345) om särskild dagersättning till vissa ny- anlända invandrare som vistas vid mottagningsenhet innehåller be- stämmelser om särskild dagersättning till nyanlända invandrare som deltar i aktiviteter enligt en etableringsplan enligt lagen (2010:197)

152

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

om etableringsinsatser för vissa nyanlända invandrare när de vistas vid en mottagningsenhet hos Migrationsverket. Särskild dagersätt- ning lämnas till de som saknar egna medel för sin dagliga livsföring. Sådan ersättning lämnas under högst 30 dagar från det att ersättning enligt LMA inte längre betalas ut.

Migrationsverket prövar om särskild dagersättning ska betalas ut.

Bidragsbrottslagen och lagen om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen

Ytterligare en lag som medför personuppgiftsbehandling för Migra- tionsverket är bidragsbrottslagen (2007:612). Lagen gäller sådana bidrag, ersättningar, pensioner och lån för personligt ändamål (eko- nomiska förmåner) som enligt lag eller förordning beslutas av bland annat Migrationsverket. Den som lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott. Myndigheten ska göra anmälan till Polismyndigheten eller till Åklagarmyndigheten om det kan misstänkas att brott enligt lagen har begåtts.

Av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen följer att det finns en skyldighet för vissa myndigheter, däribland Migrationsverket, att underrätta den myndighet som fattat ett beslut om utbetalning om det finns anledning att anta att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp.

4.5.4Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap

Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap regleras uttömmande i medborgarskapslagen och dess förordning (se avsnitt 4.4).

153

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.5.5Verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

Förordning om statlig ersättning för flyktingmottagande m.m.

I förordningen (1990:927) om statlig ersättning för flyktingmotta- gande m.m. ges bestämmelser om statlig ersättning till kommuner och landsting för mottagande av och insatser för skyddsbehövande och vissa andra utlänningar som före utgången av november år 2010 först togs emot i en kommun. Ersättning enligt förordningen lämnas för utlänningar som har överförts till Sverige med stöd av ett särskilt regeringsbeslut, utlänningar som har fått uppehållstillstånd och som har tagits emot i kommunen efter att ha varit registrerade vid en förläggning för asylsökande, andra utlänningar som har fått uppehållstillstånd som flykting, alternativt skyddsbehövande, övrig skyddsbehövande eller på grund av synnerligen ömmande omstän- digheter eller motsvarande äldre bestämmelser. Ersättning lämnas också för utlänningar som har fått uppehållstillstånd på grund av sin anknytning till en utlänning enligt ovan och ansökt om uppe- hållstillstånd inom två år från det att den person som han eller hon har anknytning till först togs emot i en kommun.

Ersättningen beslutas och betalas ut av Migrationsverket. En schablonersättning betalas ut med utgångspunkt i utlänningens ålder. Rätt till ersättning har kommuner som genomför ett program för utlänningens introduktion i samhället. Ett sådant program ska bland annat innehålla utbildning i svenska för invandrare.

En kommun har rätt till ersättning för vissa särskilda kostnader, bland annat för ekonomiskt bistånd och stöd och hjälp i boendet och för särskilda boendeformer för service och omvårdnad enligt socialtjänstlagen (2001:453) samt för hälso- och sjukvård. Rätt till ersättning finns också för insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, assistansersättning enligt socialförsäkringsbalken, kostnader för bostadsanpassningsbidrag en- ligt lagen (1992:1574) om bostadsanpassningsbidrag m.m. samt kost- nader för hälso- och sjukvård på grund av en sjukdom eller ett funk- tionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlän- ningens situation som skyddsbehövande. En kommun har vidare rätt till ersättning för vissa kostnader för ensamkommande barn.

154

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Ett landsting har rätt till ersättning för kostnader för hälso- och sjukvård av en utlänning och som på grund av en sjukdom eller ett funktionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlänningens situation som skyddsbehövande måste beredas varak- tig vård som ordinerats av läkare. Därutöver får Migrationsverket lämna ersättning till kommuner och landsting för betydande extra- ordinära kostnader för flyktingmottagande.

Som ovan nämnts gäller förordningen personer som togs emot före den 1 december 2010. Kommuner och landsting kan söka ersätt- ning för kostnader under tillståndsåret och följande tre år. År 2014 är således det sista år som ansökan kan göras enligt förordningen. Rätten att ansöka om ersättning för kostnader för ensamkommande barn, kostnader för personer med varaktigt behov av vård och kost- nader för personer som saknar arbetsförmåga kvarstår dock. För de utlänningar som tagits emot från den 1 december 2010 och framåt gäller i stället förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, se nedan.

Förordning om statlig ersättning för insatser för vissa utlänningar

Förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar innehåller bestämmelser om statlig ersättning till kom- muner, landsting och kommunalförbund för mottagande av och insatser för vissa utlänningar.

En kommun som har träffat en överenskommelse om mottagan- de för bosättning av nyanlända utlänningar enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invand- rare har rätt till en årlig grundersättning. Vidare har en kommun som tagit emot skyddsbehövande eller vissa andra utlänningar för bosättning rätt till schablonersättning, ersättning för initiala kost- nader för ekonomiskt bistånd, ersättning för ekonomiskt bistånd, stöd och service samt hälso- och sjukvård och ersättning för mot- tagande av ensamkommande barn. Ersättning lämnas också, i mån av tillgång på medel, för vissa särskilda kostnader, vissa hyreskost- nader, extraordinära kostnader för vårdinsatser, insatser för att skapa beredskap och mottagningskapacitet samt för att utveckla samverkan

155

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

och för att stärka och utveckla verksamhet med flyktingguider och familjekontakter.

Landstingen har rätt till ersättning för vissa hälso- och sjuk- vårdskostnader för skyddsbehövande och vissa andra utlänningar.

Länsstyrelserna prövar frågor om och betalar ut ersättning till kommuner och kommunalförbund för insatser för att skapa bered- skap och tillräcklig mottagningskapacitet för utlänningar samt för att utveckla samverkan mellan kommuner och mellan kommuner och andra organ i syfte att underlätta etableringen i samhället. Länsstyrel- sen i Jönköpings län prövar frågor om och betalar ut ersättning till kommuner för att stärka och utveckla verksamheten med flykting- guider och familjekontakter som riktas i huvudsak till nyanlända utlänningar. I övrigt är det Migrationsverket som prövar och betalar ut ersättning enligt förordningen.

I de fall Migrationsverkets beslut får överklagas ska överklagan- de ske hos allmän förvaltningsdomstol.

Förordning om statlig ersättning för hälso- och sjukvård till asylsökande

Enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande har landsting, kommuner och öppen- vårdsapotek rätt till statlig ersättning för kostnader för hälso- och sjukvård samt kostnader för tandvård och receptförskrivna läkemedel som de har för vissa utlänningar. Ersättning enligt förordningen beslutas och betalas av Migrationsverket.

Ersättning får ges för hälso- och sjukvård som lämnas till utlän- ningar enligt 1 § första stycket 1 och 2 LMA. Ersättning ges också för personer som fyllt arton år för omedelbar vård och vård som inte kan anstå, mödrahälsovård, förlossningsvård, preventivmedels- rådgivning, vård vid abort, vård och åtgärder enligt smittskyddslagen (2004:168) samt omedelbar tandvård och tandvård som inte kan anstå.

För personer som inte fyllt arton år samt för vissa andra ges ersätt- ning för hälso- och sjukvård samt tandvård. Ersättning ges också för en hälsoundersökning för utlänning som avses i 1 § första stycket 1 och 2 LMA och som är registrerad hos Migrationsverket.

Öppenvårdsapotek har rätt till ersättning av staten för recept- förskrivna läkemedel för vissa utlänningar.

156

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

I de fall Migrationsverkets beslut får överklagas ska överklagande ske hos allmän förvaltningsdomstol.

Förordning om statlig ersättning för asylsökande m.fl.

Bestämmelser om kommuners och landstings rätt till statlig ersättning för vissa kostnader för asylsökande och vissa andra utlänningar finns i förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Ersättning enligt förordningen beslutas och betalas av Migra- tionsverket.

Migrationsverket ska träffa överenskommelser med kommuner om mottagande av ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Överenskommelserna får avse dels mottagan- de av barn som Migrationsverket ska anvisa till kommunen enligt LMA, dels tillfälligt mottagande av barn i avvaktan på att barnet kan anvisas en kommun. En kommun som träffat en överenskom- melse har rätt till en årlig ersättning om 500 000 kronor.

En kommun har rätt till ersättning för bistånd som den har betalat enligt LMA och för vissa transporter av asylsökande. En kommun har vidare rätt till ersättning för kostnader för utbildning för barn och för barn som går på förskola eller inte genomgår någon utbildning. Rätt till ersättning föreligger också bland annat i vissa fall för vård, stödinsatser eller bistånd som ges med stöd av social- tjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall. Vidare har en kommun rätt till ersättning för kostnader för god man till ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Därutöver får Migrationsverket lämna ersätt- ning till kommuner som haft betydande extraordinära kostnader för personer som avses i 1 § LMA.

Ett landsting har rätt till ersättning för kostnader för den hälso- och sjukvård som det lämnat till personer som vistas här med stöd av ansökan eller beslut om tidsbegränsat uppehållstillstånd enligt 5 kap. 15 § UtlL.

Migrationsverkets beslut överklagas till allmän förvaltningsdom- stol.

157

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.6Övrig verksamhet

Det finns även annan verksamhet på utlänningsområdet som har nära koppling till den verksamhet som beskrivs ovan. Här följer exem- pel på sådan verksamhet.

4.6.1Migrationsverket

Sverige är ett av de länder som erbjuder FN:s flyktingorgan UNHCR en årlig flyktingkvot. Regeringen fastställer årligen ramarna för vidarebosättning till Sverige och storleken på den svenska flykting- kvoten fattas genom budgetpropositionen. År 2014 var den svenska flyktingkvoten 1 900 personer. Det är Migrationsverket som har uppdraget att svara för vidarebosättning av flyktingar och andra skyddsbehövande. Urvalet sker antingen genom s.k. delegations- uttagning eller genom dossieruttagning. Delegationsuttagning inne- bär att utsända från Migrationsverket intervjuar flyktingar och skyddsbehövande på plats i det land där de befinner sig. Vid dossier- uttagning skickar UNHCR sin utredning till Migrationsverket som fattar beslut utifrån detta underlag.

Som ovan nämns är Migrationsverket ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden. Europeiska flyktingfonden tillkom efter Rådets beslut 2000/596/EG av den 28 september 2000. Genom detta beslut inrättades Europeiska flyktingfonden för perioden 1 januari 200531 december 2010. Genom Europaparlamentets och rådets beslut 573/2007/EG av den 23 maj 2007 om inrättande av Europeiska flyktingfonden inrättades en europeisk flyktingfond för perioden 2008–2013. Syftet med fonden är att verka för en gemensam solidarisk politik mellan EU:s medlemsländer och att bidra till uppbyggnaden av ett gemensamt asylsystem. Fonden stöder projekt som vänder sig till asylsökande, flyktingar och skyddsbehövande. Flyktingfonden III startade under 2008 och pågick till 2013. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015.

Den s.k. återvändandefonden inrättades genom Europaparlamen- tets och rådets beslut nr 575/2007/EG av den 23 maj 2007 om inrättande av Europeiska återvändandefonden för perioden 2008– 2013 som en del av det allmänna programmet ”Solidaritet och hante-

158

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

ring av migrationsströmmar”. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015. Fonden finansierar projekt som handlar om självmant återvändande, tvångsvis åter- vändande och frivillig återvandring i syfte att förbättra förhållanden för asylsökande som väljer att återvända självmant innan asylärendet har avgjorts, personer med permanent uppehållstillstånd som flyk- tingar eller skyddsbehövande och som frivilligt vill återvandra och personer som har fått avslag på sin ansökan och återvänder frivilligt eller med tvång.

4.6.2Arbetsförmedlingen och Försäkringskassan

Lagen om etableringsinsatser för vissa nyanlända invandrare

Lagen (2010:197) om etableringsinsatser för vissa nyanlända invan- drare innehåller bestämmelser om insatser som har till syfte att underlätta och påskynda vissa nyanlända invandrares etablering i arbets- och samhällslivet. Insatserna ska enligt 1 § ge de nyanlända förutsättningar för egenförsörjning och stärka deras aktiva delta- gande i arbets- och samhällslivet. Bestämmelserna i lagen gäller ny- anlända invandrare i viss ålder som beviljats uppehållstillstånd enligt vissa i lagen angivna bestämmelser.

Arbetsförmedlingen är ansvarig för att samordna etableringsinsats- er enligt lagen och vara stödjande och pådrivande i förhållande till berörda parter. Även länsstyrelserna har skyldighet att främja sam- verkan mellan berörda kommuner och myndigheter, företag och organisationer som anordnar aktiviteter för nyanlända. Varje kom- mun är skyldig att se till att nyanlända erbjuds samhällsorientering.

Arbetsförmedlingen ska upprätta en individuell plan med insatser för att underlätta och påskynda den nyanländes etablering, en s.k. etableringsplan. Etableringsplanen ska utformas tillsammans med den nyanlände och i samverkan med berörda kommuner, myndigheter, företag och organisationer. Planen ska minst innehålla utbildning i svenska för invandrare eller motsvarande utbildning för den som har rätt att delta i sådan utbildning enligt skollagen (2010:800), samhälls- orientering och aktiviteter för att underlätta och påskynda den nyanländes etablering i arbetslivet.

En nyanländ som deltar i aktiviteter enligt en etableringsplan har rätt till etableringsersättning och under vissa förutsättningar även

159

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

etableringstillägg och bostadsersättning. Detsamma gäller en nyanländ som medverkar till upprättandet av en etableringsplan och som inte har rätt till bistånd enligt LMA.

Kommuner som har haft kostnader till följd av åtaganden enligt lagen har rätt till ersättning enligt förordningen om statlig ersätt- ning för insatser för vissa utlänningar (se avsnitt 4.5.5).

Förordning om ersättning till vissa nyanlända invandrare

Förordningen (2010:407) om ersättning till vissa nyanlända invand- rare innehåller föreskrifter om ersättning enligt lagen om etablerings- insatser för vissa nyanlända invandrare. Den som medverkar i upp- rättandet av en etableringsplan och som deltar i aktiviteter enligt planen har rätt till etableringsersättning. En nyanländ som har rätt till etableringsersättning har också rätt till etableringstillägg om han eller hon har hemmavarande barn. En nyanländ som har rätt till etableringsersättning och som är ensamstående utan hemmavarande barn har rätt till bostadsersättning.

Frågor om etableringsersättning prövas av Arbetsförmedlingen. Försäkringskassan prövar frågor om etableringstillägg och bostads- ersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning.

Förordning om mottagande för bosättning av vissa nyanlända invandrare

Förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare innehåller bland annat bestämmelser om anvis- ning av bosättning för vissa nyanlända invandrare. Med nyanländ avses en person som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare, dock utan begränsning till viss ålder.

Det åligger Migrationsverket att beräkna mottagningsbehovet, dvs. hur många nyanlända som omfattas av lagens tillämpnings- område och som har behov av plats för bosättning i en kommun under det kommande året. Arbetsförmedlingen ska, efter samråd med länsstyrelserna och Migrationsverket, fastställa en fördelning av mottagningsbehovet i varje län (länstal). Länsstyrelsen ska träffa

160

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

överenskommelser med kommuner inom länet om mottagande för bosättning av nyanlända.

Arbetsförmedlingen ska, när det finns behov, anvisa bosättning i en kommun till en nyanländ som har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare, om uppehållstillstånd har beviljats på annan grund än enligt 5 kap. 2 § UtlL, dvs. en utlänning som tagits emot i Sverige inom ramen för ett beslut som regeringen har meddelat om överföring av skydds- behövande till Sverige, s.k. vidarebosättning. Anvisning får också göras innan det är klarlagt att den nyanlände har rätt till en etable- ringsplan. Den nyanlände ska anvisas en kommun som har träffat överenskommelse med en länsstyrelse om mottagande för bosättning.

Migrationsverket ska anvisa bosättning i en kommun till ny- anlända som har beviljats uppehållstillstånd enligt 5 kap. 2 § UtlL. Detsamma gäller nyanlända som inte har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare och som har behov av anvisning för bosättning i en kommun.

Förordning om etableringssamtal och etableringsinsatser för vissa nyanlända invandrare

Förordningen (2010:409) om etableringssamtal och etablerings- insatser för vissa nyanlända invandrare innehåller föreskrifter om etableringssamtal samt om etableringsinsatser och anordnares upp- giftsskyldighet enligt lagen om etableringsinsatser för vissa nyanlända invandrare. Arbetsförmedlingen ska genomföra etableringssamtal med en nyanländ snarast möjligt efter det att han eller hon har be- viljats uppehållstillstånd. Vid etableringssamtalet ska Arbetsförmed- lingen kartlägga den nyanländes utbildningsbakgrund, tidigare arbets- livserfarenhet, behov av utbildning och andra insatser samt andra förhållanden av betydelse för hans eller hennes etablering på arbets- marknaden. Etableringssamtalet ska även omfatta frågan om fram- tida boende. När den nyanlände har tagits emot för bosättning i en kommun ska Arbetsförmedlingen upprätta en etableringsplan för en nyanländ.

Anordnare av aktiviteter för nyanlända ska till Arbetsförmed- lingen lämna de uppgifter som är av betydelse för tillämpningen av lagen om etableringsinsatser för vissa nyanlända invandrare och för- ordningen. Om det behövs ska Migrationsverket lämna uppgifter

161

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

till Arbetsförmedlingen i fråga om en nyanländs utbildningsbak- grund, tidigare arbetslivserfarenhet och andra uppgifter av betydelse för den nyanländes etablering på arbetsmarknaden.

4.6.3Kommuner

Lagen om samhällsorientering för vissa nyanlända invandrare

I lagen (2013:156) om samhällsorientering för vissa nyanlända invan- drare finns bestämmelser om kommuners ansvar att erbjuda samhälls- orientering för vissa nyanlända invandrare. Lagen gäller inte nyanlända som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare. Varje kommun ska erbjuda samhällsorientering till de nyanlända invandrare som är folkbokförda i kommunen och som omfattas av lagen. Kommunen ska aktivt verka för att nå de nyanlän- da i kommunen som har rätt till samhällsorientering och motivera dem att delta i samhällsorienteringen. Förordningen (2010:1138) om samhällsorientering för vissa nyanlända invandrare innehåller före- skrifter om den samhällsorientering som varje kommun ska se till att nyanlända invandrare erbjuds enligt lagen om etableringsinsatser för vissa nyanlända invandrare och lagen om samhällsorientering för vissa nyanlända invandrare. Samhällsorienteringen syftar till att underlätta de nyanländas etablering i arbets- och samhällslivet och ska ge en grundläggande förståelse för det svenska samhället och en grund för fortsatt kunskapsinhämtande. Målet ska vara att deltagar- na utvecklar kunskap om de mänskliga rättigheterna och de grund- läggande demokratiska värderingarna, den enskildes rättigheter och skyldigheter i övrigt, hur samhället är organiserat och praktiskt vardagsliv.

Förordning om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl.

Förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl. reglerar utbildning inom det offentliga skolväsendet för barn och ungdomar som avses i 1 § första stycket LMA. Det är barn och ungdomar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skydds-

162

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

behövande eller motsvarande äldre bestämmelser, har beviljats uppe- hållstillstånd med tillfälligt skydd eller uppehållstillstånd efter till- fälligt skydd och som inte är folkbokförda här i landet eller har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas. I förordningen ges vidare föreskrifter om utbildning inom det offentliga skolväsendet för barn och ungdomar som inte är folkbokförda här i landet och som vistas här enligt ett beslut om tidsbegränsat uppehållstillstånd. I för- ordningen regleras också förskoleverksamhet och skolbarnsomsorg. Barn som omfattas av bestämmelserna ska anvisas plats i förskole- klass och ha rätt att få utbildning i grundskolan, den obligatoriska särskolan, specialskolan och sameskolan på samma villkor som barn som är bosatta i Sverige, med den skillnaden att rätten inte medför någon skolplikt. Ungdomar ska som huvudregel erbjudas utbildning i gymnasieskolan och gymnasiesärskolan på samma villkor som ung- domar som är bosatta i Sverige.

Hemkommunen ska svara för att utbildning, förskoleverksamhet och skolbarnsomsorg enligt denna förordning kommer till stånd. Med hemkommun avses den kommun där barnet vistas.

4.6.4Landsting

Lagen om hälso- och sjukvård åt asylsökande m.fl.

Lagen (2008:344) om hälso- och sjukvård åt asylsökande m.fl. inne- håller bestämmelser om landstingens skyldigheter att, utöver vad som följer av hälso- och sjukvårdslagen (1982:763) samt tandvårds- lagen (1985:125), erbjuda hälso- och sjukvård samt tandvård åt asylsökande och vissa andra utlänningar. Bestämmelserna omfattar utlänningar som har ansökt om uppehållstillstånd i Sverige som flyk- ting eller som annan skyddsbehövande eller motsvarande äldre be- stämmelser eller har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd och som inte är folk- bokförda här i landet. Reglerna gäller även för utlänning som hålls i förvar och som inte har placerats i kriminalvårdsanstalt, häkte eller polisarrest eller vistas här med stöd av tidsbegränsat uppehållstill- stånd.

Ett landsting ska erbjuda sådana utlänningar som inte har fyllt 18 år vård i samma omfattning som erbjuds den som är bosatt inom

163

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

landstinget. Den som har fyllt 18 år ska erbjudas vård som inte kan anstå, mödrahälsovård, vård vid abort och preventivmedelsrådgiv- ning. Ett landsting ska vidare, om det inte är uppenbart obehövligt, erbjuda utlänningar som omfattas av lagen en hälsoundersökning.

Landstinget har rätt till ersättning från staten för kostnader för hälso- och sjukvård och tandvård, se avsnitt 4.5.5.

4.6.5Centrala studiestödsnämnden

Enligt förordningen (1990:1361) om lån till hemutrustning för flyk- tingar och vissa andra utlänningar handlägger Centrala studiestöds- nämnden ärenden om beviljande, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Under vissa förutsättningar kan i förordningen definierade personer som har behov av pengar till hemutrustning beviljas lån. Ett sådant behov kan anses föreligga då utlänningen flyttar in i en omöblerad bostadslägenhet, men även i andra fall. I förordningen finns bestäm- melser om lånets storlek och lånevillkor, amortering, ränta, förfaran- det i låneärenden m.m.

Centrala studiestödsnämnden får med hjälp av automatiserad behandling föra ett personregister för administration av lån enligt förordningen. Personuppgifter i registret får behandlas för fullgöran- de av uppgiftsskyldighet enligt lag eller förordning.

4.6.6Övrigt

Lagen (2005:429) om god man för ensamkommande barn innehåller bestämmelser om god man i vissa fall för den som är under 18 år och som är utländsk medborgare eller statslös. God man ska förordnas av Överförmyndaren efter ansökan av Migrationsverket eller social- nämnden i den kommun där barnet vistas. Överförmyndaren får också självmant ta upp frågan.

Förordningen (2008:63) om statsbidrag till organisationer bildade på etnisk grund innehåller bestämmelser om statsbidrag till organi- sationer bildade på etnisk grund. Syftet med statsbidraget är att stärka organisationernas egna initiativ och verksamheter som rör kultur, språk, identitet och delaktighet i samhället. Frågor om bidrag enligt

164

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

denna förordning prövas av Myndigheten för ungdoms- och civil- samhällesfrågor.

165

5Behandling av personuppgifter inom verksamhetsområdet

5.1Inledning

Enligt utredningsdirektiven ska utredaren noggrant kartlägga använd- ningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren ska också analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.

I utredningsdirektiven anges att verksamhet enligt utlännings- och medborgarskapslagstiftningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. Nedan följer en översiktlig beskrivning av den personuppgiftsbehandling på verksamhetsområdet som för närvarande utförs av Migrations- verket, domstolarna, Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna.

5.2Migrationsverket

5.2.1Centrala utlänningsdatabasen

Centrala utlänningsdatabasen (CUD) är den centrala databasen inom Migrationsverket. CUD utgör en databas till vilket ett antal appli- kationer med olika funktioner, till exempel Wilma och Skapa, se nedan, är kopplat. CUD innehåller samtliga Migrationsverkets en- heters ärendehantering av bland annat tillståndsärenden, medborgar- skapsärenden, diarieföring, asylprövningar, flyktingmottagning, bi- dragshantering och kommunplaceringar.

167

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

Personuppgifterna i CUD behandlas med stöd av personupp- giftslagen (1998:204) och förordningen (2001:720) om behandling av personuppgifter enligt utlännings- och medborgarskapslagstift- ningen (utlänningsdataförordningen).

Behörighet till de olika applikationerna administreras centralt inom Migrationsverket. Innan behörighet medges görs en prövning om och i så fall vilka delsystem varje anställd ska ha åtkomst till. De handläggare, beslutsfattare och assistenter som har behörighet får bara tillgång till de delar av systemet, s.k. applikationer, som de be- höver för att kunna fullgöra sina arbetsuppgifter. För att komma in i verkets datasystem krävs ett särskilt kort och en kod. De anställ- das slagningar m.m. loggas och loggarna arkiveras.

När en person för första gången blir aktuell i ett ärende hos Migrationsverket läggs en dossier upp. I denna dossier samlas sedan alla uppgifter i ärendet och, om det är aktuellt, senare ärenden som rör personen. Alla uppgifter i CUD är således knutna till en viss indi- vid. Migrationsverket använder i dag (maj 2015) både manuella per- sonakter och elektroniska personakter. Verkets mål är att övergå till endast elektroniska akter.

I november 2014 innehöll CUD information om 3 877 189 per- soner. CUD innehåller en mängd personuppgifter, även känsliga sådana. Det rör sig inte bara om uppgifter avseende de utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att be- söka, bo, arbeta eller studera i Sverige, utan även de som ansökt om till exempel uppehålls- eller arbetstillstånd men som fått avslag på sina ansökningar. Även utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är registrerade.

De personuppgifter i CUD som bedöms vara inaktuella överför- des tidigare till en avställdadatabas. Sedan januari år 2015 överförs sådana uppgifter i stället till ett e-arkiv (se avsnitt 5.2.13).

5.2.2Stamm

Stamm (System för tillstånd, asyl, mottagning och medborgarskap) var tidigare Migrationsverkets centrala databas. De flesta funktioner har nu flyttats över till andra system. Systemet används i dag främst för Migrationsverkets administration av bidrag till asylsökande. Detta system är dock under avveckling.

168

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

5.2.3Wilma och W2

Migrationsverket är processansvarigt för det webbaserade ärende- hanteringssystemet Wilma (Web-based Information system Linking Migration Authorities). Genom Wilma har handläggare på Migra- tionsverket åtkomst till uppgifter i CUD för handläggning av ärenden om uppehållstillstånd, visering och bosättning.

Polismyndigheten och Säkerhetspolisen har åtkomst till viss information i CUD via Wilma. Informationen används vid Polis- myndighetens verksamhet som avser in- och utresekontroll, utlän- nings vistelse i och avlägsnande från Sverige samt Schengenviseringar. Polismyndighetens och Säkerhetspolisens åtkomst regleras i den s.k. Wilmaöverenskommelsen (jämte bilagorna Wilma I–III), se av- snitt 7.15.1.

Genom ett system som kallas W2 har utlandsmyndigheterna åt- komst till uppgifter i CUD. Utlandmyndigheterna har på detta sätt tillgång till uppgifter som behövs för prövning av ansökan om visum, uppehållstillstånd eller arbetstillstånd.

5.2.4Vision

Ett Schengenland kan begära att bli konsulerat i ärenden om vise- ring och upphållstillstånd avseende vissa grupper av utlänningar. För detta ändamål har ett automatiserat meddelandehanteringssystem, Vision, byggts upp inom Schengensamarbetet (se avsnitt 4.3.3). Systemet förmedlar rådfrågningar mellan Schengenstaterna och har en egen databas, som innehåller information om bland annat indi- vider, passinformation och resans ändamål. Migrationsverket har ansvar för den svenska delen av Vision. Vision används främst av anställda på Migrationsverkets tillståndsenhet i Norrköping och på utlandsmyndigheterna.

5.2.5SKAPA

Skapa är ett it-stöd som används inom verksamhetsområdena mot- tagning och asylprövning. Programmet gör det möjligt att lägga upp en individuell plan för den asylsökande och på så sätt åskådligöra och styra asylprocessen.

169

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

5.2.6KUB

Systemet för kortutbetalning av bistånd (KUB) används för att administrera kort och konton för utbetalningar av bidrag och ersätt- ningar till asylsökande. Genom systemet kan anställda på Migrations- verkets mottagningsenheter och Migrationsverkets handläggare bland annat beställa och lämna ut bankkort, spärra konton och begära inspektioner av korttransaktioner som kortinnehavaren har gjort.

5.2.7LMA-kortsystemet

Utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska få en personhandling försedd med fotografi. Personhandlingen kallas tillfälligt LMA-kort för ut- länning i Sverige. LMA-korten finns för att en asylsökande ska kunna visa att han eller hon har rätt att vistas i landet i väntan på att deras ärende avgörs. Ett giltigt LMA-kort ger innehavaren rätt till ett reducerat pris när det gäller sjukvård och medicin.

LMA-kortsystemet används främst av Migrationsverkets recep- tionspersonal samt till viss del mottagningshandläggare ute på mot- tagningsenheterna för att bland annat skapa LMA-kortsunderlag, skriva ut foton samt beställa de asylsökandenas kort.

5.2.8Elektronisk dokumenthantering

Migrationsverkets system för elektronisk dokumenthantering, DHS, nås genom en av applikationerna, till exempel Skapa eller Wilma. Det används vid upprättande och lagring av olika typer av dokument, exempelvis för att skriva ett beslut eller spara ett inskannat doku- ment.

5.2.9Elis och Eskil

Elis är Migrationsverkets system för statistik. Systemet hämtar upp- gifter från CUD för framställning av statistiskt underlag. I Elis förekommer inte uppgifter på individnivå.

Eskil används inom Migrationsverket för arbetsplanering. Genom Eskil är det möjligt att göra sökningar i CUD på enhetsnivå och få

170

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

fram information till exempel om öppna ärenden, vilket informations- språk de sökande har (som hjälp vid tolkbeställning), vilka sökan- den som är klara för att flytta m.m. För att få tillgång till Eskil krävs särskild behörighet. Sökning kan bara ske på ärenden på den egna enheten inom Migrationsverket.

5.2.10Lifos

För att Migrationsverkets beslut ska bli korrekta är det viktigt att myndighetens handläggare och beslutsfattare har tillgång till god information om nationell, internationell- och EU-rättslig praxis på utlänningsrättens område samt aktuell information om de olika länder som är aktuella i myndighetens ärenden.

Enligt 8 § nuvarande utlänningsdataförordning får Migrations- verket föra automatiserade register får återsökning av vägledande avgöranden, rättsutredningar och rättslig information, (dvs. rätts- fallsregister). Av 12 § samma förordning följer att Migrationsverket får föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder (landinformationsregister).

Lifos innehåller Migrationsverkets rättsfallssamling och land- informationsregister. Lifos är en egen databas och saknar koppling till CUD. Lifos rättsfallssamling innehåller Migrationsverkets egna beslut, domar från migrationsdomstolarna och Migrationsöverdom- stolen, domar från EU-domstolen och internationella domar. Av- görandena indexeras med relevanta ämnesord för att underlätta sök- ningen. Rättsfallsregistret får inte innehålla personuppgifter som direkt pekar ut den registrerande (8 § utlänningsdataförordningen).

Lifos landinformationsregister är i första hand ett arbetsredskap för Migrationsverkets personal. Större delen av informationen i Lifos är emellertid också tillgänglig för allmänheten via verkets webb- plats. Viss information finns dock bara tillgänglig internt på grund av sekretess, upphovsrättsliga regler eller personuppgiftsskydds- bestämmelser. För att öka insynen finns bland annat ändå sådana dokuments titlar tillgängliga på verkets hemsida jämte en motivering till varför dokumenten inte är tillgängliga.

I Lifos finns allmän bakgrundsinformation som myndighetens handläggare kan använda vid handläggning och beslutsfattande. För de länder varifrån ett större antal asylsökande kommer finns land-

171

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

översikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationen i Lifos inhämtas vid resor som verkets egna anställda företar men också från till exempel Utrikesdepartementet, utlandsmyndigheter samt rapporter från UNHCR eller frivilligorganisationer. En särskild en- het på Migrationsverket ansvarar för insamling av uppgifter till Lifos och för att uppgifterna är uppdaterade och korrekta.

I Lifos finns personuppgifter, däribland känsliga sådana. I den mån identiteten saknar betydelse för informationens värde avidenti- fieras dock alla personuppgifter innan de görs tillgängliga i Lifos. Eftersom Lifos innehåller bland annat integritetskänslig information, krävs särskild behörighet för Migrationsverkets anställda för åtkomst till Lifos olika delar.

5.2.11VIS

Migrationsverket är registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i informationssystemet för viseringar (VIS) enligt artikel 41.4 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informations- systemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), se 3 § 10 förordningen (2007:996) med instruktion för Migrations- verket. Myndigheten ska föra register över all behandling av person- uppgifter i VIS och de personer som är behöriga att föra in eller använda uppgifter i VIS. Migrationsverket är vidare den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.

5.2.12Register över fingeravtryck och fotografier

Migrationsverket för med stöd av 9 § nuvarande utlänningsdata- förordning ett register över fingeravtryck och fotografier (vanligen benämnt Migrationsverkets fingeravtrycksregister). Avsikten med detta register är att underlätta identifikationen av den som söker asyl i Sverige. Migrationsverkets register över fingeravtryck och foto- grafier behandlas närmare i avsnitt 7.10.

172

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

5.2.13Avställdadatabasen och e-arkivet

Mellan år 2002 och år 2007 överfördes inaktuell information i CUD till en särskild databas, Avställdadatabasen. Under 2014 avvecklades Avställdadatabasen och ersattes med ett elektroniskt arkiv, e-arkivet. Information om de 1,6 miljoner individer som fanns i Avställda- databasen har förts över till e-arkivet.

Uppgifter om en person i CUD ska överföras till e-arkivet 1) tre år efter att en person fått svenskt medborgarskap, 2) tre år efter att en person avlidit, 3) åtta år efter att gällande tillstånd löpt ut eller 4) sex år efter att gällande visum löpt ut. Härrör uppgifterna från ett ärende som inte gäller tillstånd, visering eller medborgarskap överförs uppgifterna tre år efter personens senaste kontakt med Migrationsverket.

När informationen lagrats i e-arkivet tas all information om individen bort från CUD.

5.3Domstolarna

Sedan den 1 oktober 2001 regleras all automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna i fyra förordningar:

förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,

förordningen (2001:640) om registerföring m.m. vid förvaltnings- rätt med hjälp av automatiserad behandling,

förordningen (2001:641) om registerföring m.m. vid Högsta för- valtningsdomstolen och kammarrätterna med hjälp av automati- serad behandling, och

förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling.

Samtliga fyra förordningar gäller utöver personuppgiftslagen vid automatiserad behandling i den rättskipande och rättsvårdande verk- samheten. Manuella register eller den administrativa verksamheten omfattas således inte av regleringarna. För närvarande pågår arbetet med en ny domstolsdatalag som ska gälla för domstolarnas och nämn-

173

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

dernas behandling av personuppgifter i den rättskipande och rätts- vårdande verksamheten, se avsnitt 6.7.

Vera är Sveriges Domstolars system för målhantering. Alla hand- lingar som kommer in till en domstol och som hör till ett mål registre- ras och hanteras i Vera. Under målhanteringen används systemet till registrering av mål, aktörer, bokning av förhandlingar och andra möten, dokument- och delgivningshantering, bevakning av frister, händelseregistrering, expediering av domar och beslut m.m. Samt- liga domstolar använder Vera och systemet är anpassat efter dom- stolsslag och behörighet. Skillnaderna består av vilka funktioner som finns tillgängliga och vilka värden som är möjliga att registrera.

En domstol har tillgång till sin egen information och viss infor- mation vid andra domstolar. Om ett mål överklagas kan respektive över- och underrätt ta del av information i alla instanser där målen finns. Undantag gäller dock för handlingar som har sekretessmarke- rats i Verasystemet. Sådana handlingar blir inte tillgängliga för andra myndigheter.

I Vera finns möjlighet att inom den egna domstolen söka efter mål och avgöranden. Vissa domstolar har även möjlighet att söka mål och definitiva avgöranden på andra domstolar.

Från Vera sker ett informationsutbyte med andra myndigheters system och med system inom Sveriges Domstolar. I nuläget sker informationsutbyte med Polismyndighetens, Åklagarmyndighetens, Skatteverkets och Brottsförebyggande rådets system och system inom Domstolsverket.

Se vidare om domstolarnas personuppgiftsbehandling i avsnitt 6.7.

5.4Polismyndigheten och Säkerhetspolisen

Hos Polismyndigheten och Säkerhetspolisen bedrivs viss verksam- het som särskilt rör utlänningar. Här nedan redovisas översiktligt personuppgiftsbehandlingen på detta verksamhetsområde.

Behandling av personuppgifter i Polismyndighetens och Säkerhets- polisens brottsbekämpande verksamhet regleras av bestämmelserna i polisdatalagen (2010:361, PUL).

174

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

5.4.1Polisens ärendehanteringssystem

År 2013 infördes hos polismyndigheterna ett nytt ärendehante- ringssystem för allmänna ärenden, PÄr (Polisens ärendehanterings- system). Systemet, som numera är helt infört, har ersatt det allmänna diariet A-Rar hos Polismyndigheten.

5.4.2Personefterlysnings- och U-boksregistret

Personefterlysnings- och U-boksregistret utgör det s.k. EPU-syste- met (efterlysta personer och U-boken). Systemet är centralt och förs av den Nationella operativa avdelningen vid Polismyndigheten.

Personefterlysningssystemet innehåller uppgifter om personer som av någon anledning eftersöks av en myndighet.

U-boken innehåller uppgifter om i Sverige meddelade lagakraft- vunna avvisnings- och utvisningsbeslut som har förenats med ett förbud att utan särskilt tillstånd återresa till Sverige.

Om en utlänning inte är tillgänglig när beslutet om avvisning eller utvisning ska verkställas kan Polismyndigheten fatta ett beslut om att efterlysa honom eller henne.

5.4.3Schengens informationssystem och SIRENE

Schengens informationssystem (SIS) är ett för Schengenländerna gemensamt informationssystem. SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Alla uppgifter som registreras lagras i den centrala databasen. Den centrala databasen kopieras till alla Schengenländers nationella SIS, som därmed är en kopia av det centrala systemet.

I SIS-registret kan varje Schengenstat föra in uppgifter om per- soner eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att en viss åtgärd ska vidtas när en efterlyst person eller ett efterlyst fordon påträffas.

SIS innehåller bland annat

175

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

uppgifter om personer som är efterlysta och begärda utlämnade,

en ”spärrlista” över utlänningar som ska nekas tillträde till Schengenområdet på grund av utvisningsbeslut eller avvisnings- beslut med förbud att återresa,

uppgifter om försvunna personer,

spaningsåtgärder kring personer eller fordon där uppgifter önskas om gränspassage m.m. och

efterlyst gods som fordon, skjutvapen, blankodokument, legi- timationshandlingar och sedlar.

Bestämmelser om behandling av personuppgifter i den svenska delen av SIS finns i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem.

Enligt 1 § lagen om Schengens informationssystem ska Polis- myndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS. Polismyndig- heten är personuppgiftsansvarig för den behandling av personupp- gifter som myndigheten utför enligt lagen.

Lagen innehåller bestämmelser om vilka framställningar som får föras in i registret. Där specificeras också vilka uppgifter som får registreras i SIS, till exempel namn, kön, särskilda bestående fysiska kännetecken, fotografier, fingeravtryck, syftet med framställningen samt begärd åtgärd. Känsliga personuppgifter får inte registreras i SIS. Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Polismyndig- heten endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning.

I lagen och dess förordning anges vilka myndigheter som har rätt att få uppgifter ur registret och på vilket sätt. Uppgifter som finns i registret ska lämnas ut om det begärs av åklagarmyndig- heterna (Ekobrottsmyndigheten och Åklagarmyndigheten), Polis- myndigheten, Tullverket eller Kustbevakningen när dessa myndig- heter utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott eller av Polis-

176

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

myndigheten i dess verksamhet för att upprätthålla allmän ordning och säkerhet.

Regeringskansliet, Migrationsverket, migrationsdomstolarna, Migrationsöverdomstolen och svenska utlandsmyndigheter ska ha tillgång till uppgifter i spärrlistan för prövning av ansökningar om visering och uppehållstillstånd.

Polismyndigheten, Tullverket och Kustbevakningen får ha direkt- åtkomst till SIS. Migrationsverket och svenska utlandsmyndigheter får ha direktåtkomst till uppgifter i spärrlistan och Migrationsverket får ha direktåtkomst till hela SIS när verket bistår Polismyndig- heten i gränskontrollverksamhet.

Schengensamarbetet och SIS förutsätter att det hos varje med- lemsland finns en central funktion som fungerar som en länk för informationsutbytet mellan länderna. Denna funktion benämns SIRENE (Supplementary Information Requested at the National Entries). Varje medlemstat har ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS och fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myn- digheter. I Sverige är Sirenekontoret integrerat i den Internationella sektionen vid den Internationella enheten vid den Nationella opera- tiva avdelningen.

5.4.4Fingeravtrycks- och signalementsregister

Enligt 4 kap. 11 § PDL får Polismyndigheten föra fingeravtrycks- eller signalementsregister i enlighet med vissa bestämmelser i lagen.

I fingeravtrycks- och signalementsregister får Polismyndigheten behandla uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rätte- gångsbalken eller har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om upp- giften kommit fram i en utredning om brott. Uppgifter om finger- avtryck får även behandlas om det behövs för att fullgöra inter- nationella åtaganden.

Enligt 4 kap. 17 § PDL får Säkerhetspolisen, Ekobrottsmyndig- heten, Tullverket, Kustbevakningen och Skatteverket medges direkt-

177

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

åtkomst till personuppgifter i fingeravtrycks- och signalements- register.

5.5Utlandsmyndigheterna

Som ovan anförts har utlandmyndigheterna via W2 tillgång till CUD för de uppgifter som behövs för handläggning av viserings- ärenden. Utlandsmyndigheterna kan också göra förfrågningar i Vision via W2. Myndigheterna har vidare genom Wilma tillgång till de uppgifter som behövs vid handläggning av olika tillståndsärenden.

178

6Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.1Inledning

Som utredningen angett i avsnitt 3.2 och som ytterligare kommer att utvecklas nedan förstärktes skyddet för den personliga integriteten genom att en bestämmelse härom infördes i 2 kap. 6 § andra stycket regeringsformen (RF). Bestämmelsen innebär att var och en gent- emot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begräns- ningar av denna fri- och rättighet får dock göras i lag. I övergångs- bestämmelsen till ändringen anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst till och med den 31 december 2015.

Allmänna bestämmelser till skydd för den personliga integrite- ten vid behandling av personuppgifter finns i personuppgiftslagen (1998:204, PUL). Om det i en annan lag eller förordning finns be- stämmelser som avviker från personuppgiftslagen, ska de bestämmel- serna dock gälla i första hand. För personuppgiftsbehandling inom verksamhet enligt utlännings- och medborgarlagstiftningen finns sådana bestämmelser i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgar- skapslagstiftningen (utlänningsdataförordningen).

I utredningens direktiv anförs att mycket talar för att utlännings- dataförordningen inte är förenlig med grundlagen. Utredningen har därför fått i uppdrag att ta fram ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgar- skapslagstiftningen. I denna del av uppdraget ingår enligt utredningens

179

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

direktiv att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredningen ska i samband därmed analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.

Nedan följer en redogörelse för de allmänna utgångspunkter som utredningen har att förhålla sig till vid utformandet av förslaget.

6.2Krav på lagreglering enligt regeringsformen

6.2.1Regeringsformen

Som tidigare anförts infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den en- skildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen, se 2 kap. 21 § RF. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Den nya bestämmelsen innebär bland annat att behandling av information om enskildas personliga förhål- landen som sker utan den enskildes samtycke som innebär över- vakning eller kartläggning av den enskilde och som innebär ett be- tydande intrång i den personliga integriteten måste anges i lag.

6.2.2Enskildas personliga förhållanden

Grundlagsbestämmelsen tar sikte på att skydda information om en- skildas personliga förhållanden. Med enskildas personliga förhållan- den avses enligt förarbetena vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållan- den, hälsa och vandel (se prop. 2009/10:80 s. 177). Även fotografisk

180

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.

6.2.3Samtycke

När det gäller frågan om samtycke anförs det i propositionen att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på fri- villigt godkännande (se prop. 2009/10:80 s. 178 f.). Om åtgärderna däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller obe- roende av vilka slags uppgifter åtgärden eller behandlingen avser. Bestämmelserna om samtycke i personuppgiftslagen bör enligt för- arbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för ett giltigt samtycke, se vidare härom i avsnitt 3.5.1.

6.2.4Övervakning och kartläggning

Inte varje slags behandling av uppgifter om enskildas personliga för- hållanden som sker utan samtycke ska anses som så integritetskäns- lig att det är motiverat att låta den omfattas av integritetsskyddet i grundlagen (se prop. 2009/10:80 s. 180). Endast åtgärder som innebär kartläggning eller övervakning av enskildas personliga förhållanden avses.

När det gäller begreppen övervakning och kartläggning anförs i propositionen att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas för- hållanden, även om avsikten inte är att kartlägga enskilda. Så torde vara fallet när det gäller ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatte- verkets, Tullverkets, Försäkringskassans och Kronofogdemyndig- hetens olika databaser och även hos de statistikansvariga myndig- heterna. Flera av dessa uppgiftssamlingar omfattar en stor andel av

181

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter.

Myndighetsspecifika verksamhetsregister och databaser med infor- mation som är knuten till en myndighets ärendehantering förekom- mer inom i stort sett all statlig och kommunal förvaltning. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behand- lingen är ett helt annat.

Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel nämns i ovan nämnd proposition polisens belastningsregister. Vidare konstateras i propositionen att en rad åtgärder som innefattar in- samling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, teleavlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid be- dömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.

6.2.5Betydande integritetsintrång

Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integri- teten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär (se prop. 2009/10:80 s. 183). Ju käns- ligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande in- trång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myn- dighet underlag för förbättringar av kvaliteten i handläggningen. Vidare kan mängden uppgifter vara av betydelse. I detta samman- hang anförs det att Konstitutionsutskottet i flera lagstiftningsären- den som rört myndigheters personuppgiftsbehandling framfört att

182

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedöm- ning (se bland annat bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78). Regeringen har också uttalat att behovet av lag- stiftning är särskilt stort om uppgifterna sprids externt i en inte obe- tydlig omfattning (se prop.1990/91:60 s. 58).

Vid bedömningen av vad som kan anses utgöra ett betydande in- trång bör fler omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av upp- gifter till andra som sker utan omedelbart stöd av offentlighetsprin- cipen kan vara av betydelse vid bedömningen. Däremot bör den när- mare avgränsningen av grundlagsbestämmelsens tillämpningsområde inte påverkas av sekretesslagstiftningens utformning.

Den omständigheten att sekretesslagstiftningen innehåller en pre- sumtion för offentlighet, dvs. ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utanför det utvidgade grundlagsskyddet.

Det förhållandet att de uppgifter som behandlas av en myndig- het omfattas av sekretess med ett omvänt skaderekvisit bör inte heller utgöra en omständighet som per automatik innebär att en bestäm- melse om uppgiftsskyldighet måste anses omfattas av den nya grund- lagsbestämmelsens tillämpningsområde.

En annan omständighet att beakta kan vara på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.

I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten (se prop. 2009/10:80 s. 185). Vad som utgör ett betydande integritetsintrång får bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan på- verkas av en rad omständigheter, till exempel den fortsatta tekniska utvecklingen. I sista hand är det riksdagen som får avgöra vilka före- teelser som är av så ingripande karaktär att de inte bör kunna be- gränsas på annat sätt än genom lag.

183

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

6.2.6Vilken reglering omfattas?

I ovan nämnd proposition konstateras att den nya grundlags- bestämmelsen i 2 kap. 6 § andra stycket RF innebär att betydande intrång i den personliga integriteten som sker utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden får vidtas bara om det finns stöd i lag för sådan behand- ling. Det anges vidare att om en övergångsreglering inte införs kom- mer delar av sådan informationshantering hos det allmänna som sker med stöd av föreskrifter i förordning, eller som endast delvis regleras i lag och i övrigt sker enligt bestämmelser på lägre normhierarkisk nivå, med stor sannolikhet att stå i strid med regeringsformen (se prop. 2009/10:80 s. 243). I propositionen konstateras att det därför finns behov av att se över ett stort antal registerförfattningar för att bedöma i vilken mån det krävs reglering i lag i stället för i förord- ning. Som exempel anges att det finns behov av att i lag reglera dom- stolarnas personuppgiftsbehandling, som för närvarande regleras i förordningar. Det anges vidare att det i övergångsbestämmelserna bör tas in en föreskrift som innebär att äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten under en övergångsperiod behåller sin giltighet även om de inte uppfyller regeringsformens krav på lagform. För tiden fram till och med den 31 december 2015 bör föreskrifter som inte upp- fyller kravet på lagform fortsätta att gälla utan hinder av den nya bestämmelsen om ett utvidgat integritetsskydd.

Det är emellertid omdiskuterat om 2 kap. 6 § andra stycket RF verkligen syftar till ange vilka föreskrifter om exempelvis behandling av personuppgifter som ska ha form av lag i stället för förordning. Enligt Informationshanteringsutredningen torde bestämmelsen såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om rättighetsinskränkan- de lag, se SOU 2015:39 s. 198 f.

184

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.2.7Behov av en lagreglering

Det kan konstateras att den personuppgiftsbehandling som sker inom verksamhet enligt utlännings- och medborgarskapslagstiftningen i stor utsträckning sker utan den enskildes samtycke. Myndigheter- nas uppgiftssamlingar innehåller en stor mängd uppgifter om ett stort antal individer. Effekten kan således bli att personer kartläggs, även om det inte är det egentliga syftet med behandlingen. Vidare kan kon- stateras att behandlingen i många fall avser känsliga personuppgifter enligt 13 § PUL samt andra uppgifter av integritetskänslig natur. De uppgifter som myndigheterna behandlar sprids i vissa fall till andra myndigheter, även genom att den mottagande myndigheten har direktåtkomst till den utlämnande myndighetens personuppgifts- samlingar. Som konstaterats i utredningens direktiv är det mycket som talar för att det inte är förenligt med regeringsformen att be- handla personuppgifter med stöd av utlänningsdataförordningen och att det finns ett behov av en lagreglering av den personuppgifts- behandling som sker på utlännings- och medborgarskapsområdet.

6.3Lagens syfte

I kapitel 5 finns en översiktlig beskrivning av den automatiserade personuppgiftsbehandling som utförs av myndigheter inom verksam- het på utlännings- och medborgarskapsområdet. Av redogörelsen framgår inte bara att den nuvarande behandlingen är omfattande utan även att myndigheterna i allt större utsträckning övergår till elektronisk behandling av personuppgifter. Myndigheterna har ett behov av att samla in, ta emot, registrera, behandla och lagra upp- gifter på elektronisk väg, inte bara för att kunna fullgöra sina upp- gifter i form av till exempel ärendehantering, arkivering och för intern uppföljning och verksamhetsutveckling. Myndigheterna har också behov av att behandla uppgifter elektroniskt för utlämnande till andra myndigheter, inom och utanför Sverige, och till enskilda. Informationstekniken utvecklas ständigt. Ett effektivt utnyttjande av den moderna informationstekniken kan leda till effektivitetsvinster och kostnadsbesparingar för myndigheterna. Det finns således ett viktigt allmänintresse av att den moderna tekniken kan utnyttjas av myndigheterna. Inte bara för att det kan leda till samhällsvinster i form av ökad effektivitet och minskade kostnader. En väl funge-

185

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

rande informationsteknik gynnar också den enskilde då den möjlig- gör snabbare och mer rättssäker ärendehantering.

Samtidigt måste beaktas att myndigheternas behandling av person- uppgifter kan innebära risk för intrång i den personliga integriteten. Att samla personuppgifter elektroniskt ökar möjligheten att sam- manställa ett stort antal uppgifter om enskilda personer. Redan den omständigheten att uppgifterna finns registrerade kan för vissa fram- stå som integritetskränkande. Myndigheternas informationshantering måste ske med respekt för den enskildes integritet. Ett grundläggan- de syfte med en särskild lag som reglerar personuppgiftsbehandling bör således vara att stärka den enskildes skydd mot otillbörliga in- trång i dennes personliga integritet.

Vid utformandet av den nya lagen ska således dessa båda intressen vägas mot varandra. Skyddet för den personliga integriteten ska vägas mot samhällets intresse av att myndigheterna kan utföra sina uppgifter på ett effektivt sätt. Detta kommer även till uttryck i ut- redningens direktiv, som anger att utredningen ska beakta enskildas behov av skydd för sin personliga integritet och beakta behovet av en rättslig reglering som ger myndigheterna möjlighet att hantera information på ett effektivt sätt.

6.4Lagens utformning

6.4.1Ramlag

Som anges ovan är syftet med den nya lagen att möjliggöra för myn- digheterna att behandla personuppgifter på ett effektivt sätt, sam- tidigt som skyddet för den enskildes personliga integritet upprätt- hålls vid sådan behandling. Nästa fråga är hur en sådan lagreglering bör utformas.

Den behandling som ska regleras bedrivs på ett flertal myndigheter med olika uppdrag och varierande behov. Regleringen bör således vara flexibel på det sätt att den kan anpassas till de olika myndig- heternas krav och inte behöver ändras inför varje förändring i verk- samheten. Med hänsyn till den snabba utvecklingen på informa- tionsteknikområdet är det också viktigt att regleringen är neutral inför förändringar på det tekniska området.

Det bör i sammanhanget uppmärksammas att bestämmelsen i 2 kap. 6 § andra stycket RF inte ställer krav på att all reglering som

186

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

rör personuppgiftsbehandling måste finnas i lag. Begränsningen rör endast sådana bestämmelser som kan resultera i övervakning eller kartläggning av den enskilde och som kan innebära ett betydande intrång i den personliga integriteten. Övriga bestämmelser kan så- ledes regleras på en lägre normhierarkisk nivå.

Ett sätt att uppnå en flexibel reglering som motsvarar de grund- läggande kraven i regeringsformen är att lagen utformas som en ram- lag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten vid behand- ling av personuppgifter bör slås fast i lag. Till dessa hör till exempel regler för ändamål, behandling av känsliga personuppgifter, sökbe- grepp, direktåtkomst och intern tillgång till personuppgifter. Rege- ringen bör dessutom kunna meddela vissa kompletterande bestäm- melser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta måste prövas av riksdagen. Det kan i vissa fall även vara lämpligt att regeringen delegerar rätten till en myndighet som regeringen bestämmer att meddela kompletterande föreskrifter.

6.4.2Behandling av personuppgifter i register

Utlänningsdataförordningen gäller utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhetsregister. Förordningen reglerar också Migrationsverkets automatiserade behandling av personuppgifter i rättsfallsregister, fingeravtrycksregister och landinformationsregister. Automatiserad behandling som inte kan hänföras till sådana uppgiftssamlingar om- fattas således inte av regleringen. Motsvarande gäller för manuell hantering av personuppgifter. För sådan personuppgiftsbehandling gäller i stället personuppgiftslagen.

Innan personuppgiftslagen infördes reglerades automatiserad be- handling av personuppgifter av datalagen (1973:289). I datalagen var begreppet register av central betydelse. Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatiserad databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med behandlingen. De flesta bestämmelserna i datalagen gällde bara för personregister som fördes med hjälp av ADB. Det krävdes således

187

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

att det var fråga om ett dataregister med personuppgifter för att lagen skulle bli tillämplig. Register som fördes med hjälp av annan teknik än ADB föll utanför lagens tillämpningsområde.

Sedan dataskyddsdirektivets införande i svensk rätt genom per- sonuppgiftslagen har tillämpningsområdet vidgats. Dataskyddsdirek- tivets bestämmelser gäller all behandling av personuppgifter som helt eller delvis företas på automatisk väg och för annan behandling av personuppgifter under förutsättning att dessa ingår i eller kom- mer att ingå i ett register (artikel 3). Med register avses enligt direk- tivet varje strukturerad samling av personuppgifter som är tillgäng- lig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geo- grafiska förhållanden (artikel 2 c). På motsvarande sätt gäller person- uppgiftslagens bestämmelser all behandling av personuppgifter som sker helt eller delvis på automatiserad väg, oavsett om personupp- gifterna ingår i ett register eller inte.

När det gäller manuell behandling är lagen tillämplig om person- uppgifterna ingår i ett register. I lagen används dock inte begreppet register utan dataskyddsdirektivets definition av begreppet, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier. I dessa fall är registerbegreppet således fortfarande av betydelse.

Personuppgiftslagens bestämmelser gäller således för all helt eller delvis automatiserad behandling av personuppgifter, oavsett om de förekommer i ett register eller inte. I förarbetena till personupp- giftslagen anfördes att användningen av begreppet register vid auto- matisk databehandling med fog har kritiserats för att vara otidsenligt (se prop. 1997/98:44 s. 39). På grund av den tekniska utvecklingen har det enligt propositionen i en sammansatt och komplex dator- miljö blivit allt svårare att fastställa vad som är ett register i för- hållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. I propositionen konstateras emellertid att det ovan sagda inte hindrar att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Fler- talet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffan- de de uppgifter som behandlas med hjälp av datorer. Uppgifterna

188

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

ska läggas in i ett på visst sätt strukturerat register och får bara tas fram med hjälp av vissa angivna sökkriterier.

6.4.3Tidigare lagstiftningsarbeten

Det kan konstateras att begreppet register ofta har använts i tidigare författningar som rör personuppgiftsbehandling på myndighets- området för att definiera automatiserade samlingar med personupp- gifter som gjorts tillgängliga för en större krets. Till varje register har knutits särskilda regler om åtkomst, sökmöjligheter och gallring m.m. I flera lagstiftningsärenden från senare år har modellen med register kritiserats, eftersom den inte anses uppfylla dagens krav på teknikneutral lagstiftning.

I förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anförs att begreppet re- gister för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Det är enligt propositionen inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2004/05:164 s. 60).

Framväxten av internet har tydliggjort behovet av en översyn av traditionella begrepp vid databehandling, som till exempel register- begreppet. I nämnd proposition kostateras dock att det finns flera elektroniska samlingar av personuppgifter som fortfarande måste ses som register i ordets egentliga bemärkelse, dvs. där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord, och att det därför kan finnas anledning att inte helt frångå registerbegreppet. Som exempel nämns lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister som reglerar register i en mer traditionell mening. Registerbegreppet ansågs emellertid inte lämpligt när det gäller datorsystem som inne- fattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av registerkaraktär.

I propositionen diskuteras vidare termen databas som ett alter- nativ till registerbegreppet. I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för auto- matiserad behandling. En databas ska enligt propositionen definieras

189

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

som en samling uppgifter som med hjälp av automatiserad behand- ling används gemensamt inom en verksamhet. En sådan definition av begreppet databas utesluter manuella register. Definitionen har, enligt propositionen, också den fördelen att den inte tekniskt av- gränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register (i egentlig bemärkelse) är sammanlänkade och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en av- gränsad verksamhet, så ingår dessa register i en databas. En juridiskt bestämd databas kan således innehålla flera mindre databaser eller datorsystem i teknisk mening, varav en del kan vara regelrätta re- gister. Det väsentliga är att uppgifterna är gemensamt tillgängliga inom hela eller delar av verksamheten. Det konstateras att det för Tullverkets brottsbekämpande verksamhet finns behov av ett sär- skilt begrepp för att rättsligt reglera vissa uppgiftssamlingar som med hjälp av automatiserad behandling används gemensamt i verksamhe- ten. Det ansågs emellertid inte lämpligt att använda registerbegreppet i en ny lag om hantering av personuppgifter. Det rättsliga begreppet databas var enligt propositionen att föredra, som en beteckning på automatiserade sammanställningar av uppgifter, i synnerhet som begreppet underlättar för en teknikoberoende lagstiftning.

I förarbetena till polisdatalagen (2010:361, PDL) förutspås att behandling av personuppgifter i framtiden i större utsträckning kommer att ske i avancerade ärendehanteringssystem som länkas samman med varandra, ibland med digital dokumenthantering (se prop. 2009/10:85 s. 60 f.) I sådana system kan information struktu- reras på ett sådant sätt att systemet utöver att tjäna som ett verksam- hetsstöd för ärendehanteringen även i praktiken tillgodoser samma behov som traditionella personregister genom att olika sökingångar skapas. Det huvudsakliga syftet med insamlingen av personuppgifter är i dessa fall utförandet av en viss arbetsuppgift, inte att registrera uppgifterna i ett personregister. I propositionen konstateras att re- gisterbegreppet har kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är, enligt proposi- tionen, inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan till exempel införas helt ostruk-

190

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

turerat och oorganiserat i olika filer i en dator, utan att detta för- hindrar en effektiv hantering av uppgifterna för olika sammanställ- ningar m.m. Det konstateras att även om registerbegreppet fort- sättningsvis kommer att användas inom polisen för vissa särskilda fall går utvecklingen mot att registerformen överges för mer sofisti- kerade datasystem. Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Det väsentliga i sammanhanget är inte på vilket sätt uppgifter tekniskt lagras utan den faktiskt åsyftade tillgängligheten. Den nya lagen bör enligt propositionen därför innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den for- muleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften. Polisen bör på detta sätt kunna välja mellan att skapa ett stort centralt datasystem eller flera mindre system eller en blandning av båda alternativen.

Målsättningen bör enligt propositionen vara att i möjligaste mån undvika en särreglering av vissa speciella informationssamlingar eller viss personuppgiftsbehandling. Inom den brottsbekämpande verk- samheten finns det emellertid viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna (se prop. 2009/10:85 s. 229). Enligt propositionen är det därför nöd- vändigt att i några fall ha särskilda bestämmelser om vissa register, till exempel när det gäller register över DNA-profiler och fingerav- trycks- eller signalementsregister. Vidare finns, enligt propositionen, skäl att särbehandla behandling av uppgifter om misstänkt penning- tvätt, misstänkt finansiering av terrorism i penningtvättsregister och viss behandling av uppgifter i det internationella polissamarbetet. Även det allmänna spaningsregistret bör enligt propositionen regle- ras särskilt.

Även i förarbetena till kustbevakningsdatalagen (2012:145) fram- förs kritik mot användning av begreppet register i lagstiftning som rör personuppgiftsbehandling. Också här konstateras att register och databaser inte är ett relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2011/12:45 s. 72 f.). Som en följd av detta bör enligt propositionen den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller

191

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Vidare bör enligt propositionen regleringen för Kustbevakningens del utformas i enlighet med vad som har beslutats för polisen, dvs. att begreppet gemensamt tillgängliga upp- gifter används i den föreslagna lagen för att beteckna uppgifter som är tillgängliga för fler än ett fåtal personer. Särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemen- samt tillgängliga i den brottsbekämpande verksamheten vid Kust- bevakningen bör omfattas av lagen. Med den formuleringen görs det enligt propositionen klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Begreppet databas diskuteras även i prop. 2013/14:161 som inne- håller ett förslag om en gemensam databas hos Statistiska central- byrån (SCB) för övervakning av och tillsyn över finansmarknaderna (se prop. 2013/14:161 s.49 f.). Regeringen förslår i propositionen att uppgifter som SCB samlar in för Riksbankens och Finansinspek- tionens övervakning och tillsyn lagras i en särskild databas som de tre myndigheterna har tillgång till. Enligt propositionen syftar för- slaget, till skillnad från polisdatalagen, inte till att åstadkomma någon mer heltäckande reglering av de berörda myndigheternas behand- ling av uppgifter. Förslaget är i stället i första hand avsett att skapa en reglerad ordning för en särskild del av det utbyte av uppgifter som förekommer mellan myndigheterna. De uppgifter som ska om- fattas av ordningen är till sitt format standardiserade uppgifter läm- pade för bearbetning och analys med statistiska metoder. Insam- lingen av uppgifter sker inte heller med det huvudsakliga syftet att utföra vissa vid insamlingstillfället aktuella arbetsuppgifter, utan för att registrera uppgifterna för framtida användning vid olika analyser av det finansiella systemet och för framställning av statistik. Ut- trycket databas anses därför lämpligt som en benämning på den samling av uppgifter som är föremål för det särskilda uppgifts- utbytet mellan myndigheterna.

192

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.4.4Gemensamt tillgängliga uppgifter

I 3 kap. PDL finns särskilda bestämmelser för behandling av person- uppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. I kapitlet anges bland annat vilka per- sonuppgifter som får göras gemensamt tillgängliga, vilka uppgifter som får användas vid sökning i uppgifter som gjorts gemensamt till- gängliga, vilka myndigheter som får ha direktåtkomst till gemensamt tillgängliga uppgifter och bevarande och gallring av sådana upp- gifter. Motsvarande bestämmelser finns för kustbevakningens del i 4 kap. kustbevakningsdatalagen.

Gemensamt tillgängliga uppgifter är ett relativt nytt begrepp inom lagstiftningen på personuppgiftsbehandlingsområdet. Som anges ovan diskuteras begreppet i förarbetena till den nya polisdatalagen (se prop. 2009/10:85 s. 124 f.). I propositionen konstateras att den nya polisdatalagen kommer att gälla för all automatiserad behand- ling av personuppgifter i polisens brottsbekämpande arbete. Det innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, till exempel register eller ärende- hanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp personer, till exempel vanlig ordbehandling och e-postkommunikation. Det anförs att risken för otillbörliga intrång i den personliga integriteten är större när personuppgifter används av flera gemensamt i verk- samheten än när personuppgifter behandlas av en enskild tjänste- man vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Det anses därför nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. Frågan som diskuteras är hur man bör avgränsa den personuppgiftsbehandling för vilken mera begränsande regler är nödvändiga. Som framgår ovan bör enligt propositionen regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Ett tänkbart alternativ enligt pro- positionen är att skapa särskilda begränsande regler för personupp- giftsbehandling som avser ”samlingar av uppgifter” eller ”uppgifts- samlingar” som är gemensamt tillgängliga i verksamheten. Den nya lagen bör därför enligt propositionen innehålla särskilda bestäm- melser för behandling av personuppgifter som görs eller har gjorts

193

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

I propositionen anges vidare de principer som bör ligga till grund för gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör enligt propositionen vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en upp- gift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörig- het till det. Det bör däremot inte spela någon roll hur många per- soner som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den. Detta innebär att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets, till exempel hela polisorganisationen, ska kunna ta del av uppgifterna.

Vidare bör enligt propositionen personuppgifter anses vara gemen- samt tillgängliga även i vissa fall när den personkrets som har till- gång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att person- uppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som moti- verar särskilda regler för gemensamt tillgängliga uppgifter gör sig enligt propositionen inte lika starkt gällande när bara ett fåtal per- soner har tillgång till uppgifterna som när många personer har till- gång till dem.

En förutsättning för att uppgifterna inte ska anses vara gemen- samt tillgängliga måste dock enligt propositionen vara att kretsen som har tillgång till dem omfattar endast ett litet antal personer. Så snart det är fråga om fler än ett fåtal personer som har tillgång till

194

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

uppgifterna bör utgångspunkten vara den motsatta. Som en tumregel anges att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. I viss utsträck- ning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte eftersom uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bland annat därför att personer i en från början begränsad krets med tiden byts ut. Uppgifter ska också anses vara gemensamt tillgängliga när de sprids till andra myndigheter än polisen.

Sammanfattningsvis innehåller således den nya polisdatalagen som huvudregel inte bestämmelser om register och databaser utan i stället särskilda bestämmelser som gäller uppgifter som görs och har gjorts gemensamt tillgängliga i den brottsbekämpande verksam- heten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssam- lingar. Behandling som utförs av en enskild tjänsteman eller inom en begränsad grupp personer, till exempel genom vanlig ordbehand- ling eller genom e-kommunikation, ska inte omfattas av de särskilda bestämmelserna. Motsvarande gäller för kustbevakningens behandling av personuppgifter i den brottsbekämpande verksamheten enligt kustbevakningsdatalagen.

6.4.5Utredningens överväganden

Utredningen anser på skäl som framförts i avsnitt 6.4.1 att huvud- dragen av personuppgiftsbehandlingen på utlännings- och medbor- garskapsområdet bör regleras i en ramlag vars syfte är att ge de på området verksamma myndigheterna möjlighet att behandla person- uppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

När det gäller utformningen i stort av den nya lagen är det natur- ligt att låta polisdatalagen tjäna som viss förebild. Det finns vissa likheter mellan brottsbekämpningen och den verksamhet för att upp- rätthålla ordning och säkerhet utan anknytning till brottsbekämp- ningen som bland annat Migrationsverket ansvarar för. Det rör sig dock inte om parallella verksamheter. Det finns skillnader. En sådan skillnad är att dataskyddsdirektivet inte omfattar statens behand- ling av personuppgifter i brottsbekämpande verksamhet. Direktivet

195

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

är däremot tillämpligt på bland annat Migrationsverkets verksamhet. En annan skillnad är att här aktuell personuppgiftsbehandling på utlänningsområdet i hög grad är ärendeanknuten medan brotts- bekämpningen genererar ett annat slag av personuppgiftsbehandling. Det sagda innebär att lösningar och konstruktioner i polisdatalagen kan överföras till den nya ramlagen på utlänningsområdet men att det måste ske med viss urskiljning.

I den nuvarande utlänningsdataförordningen regleras endast automatiserad behandling av vissa i förordningen angivna typer av register. Mot den bakgrund som beskrivits i föregående avsnitt har utredningen att ta ställning till vilken personuppgiftsbehandling som ska omfattas av den nya lagen. Ska lagregleringen endast avse vissa särskilda uppgiftssamlingar på utlännings- och medborgarskaps- området, eller bör den omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat? Ska även manuell behand- ling av personuppgifter omfattas? Om slutsatsen är att en mer gene- rell reglering bör införas, finns skäl att överväga en modell med en uppdelning mellan uppgifter som görs och har gjorts gemensamt tillgängliga och sådana uppgifter som behandlas endast av en en- skild tjänsteman eller inom en begränsad grupp personer.

Vid utredningens kartläggning av den nuvarande personuppgifts- behandlingen på utlännings- och medborgarskapsområdet har inget annat framkommit än att den nuvarande regleringen fungerar relativt väl. Det tycks inte vara förordningens uppdelning av behandling i olika register som orsakar problem för myndigheterna när det gäller personuppgiftshanteringen. Eventuella problem förefaller i stället bero på att nuvarande förordning i detalj reglerar vilka kategorier av personuppgifter som över huvud taget får behandlas, se vidare av- snitt 7.11. En överföring av den nuvarande modellen med särregle- ring för vissa uppgiftssamlingar till den nya lagen skulle underlätta för de som ska tillämpa den nya lagstiftningen i den dagliga verk- samheten, eftersom skillnaden mot nuvarande reglering inte blir så stor. Uppdelningen av behandlingen i olika register gör också regle- ringen ganska lättöverskådlig och tydlig. Ovan nämnda omständig- heter talar med viss styrka för att behålla nuvarande system med reglering av specifika samlingar av personuppgifter.

Andra omständigheter talar emellertid för att välja en mer gene- rell reglering av personuppgiftsbehandlingen. Lagens syfte ska vara att skydda den enskilde mot otillbörliga intrång i den enskildes per-

196

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

sonliga integritet. Enligt utredningens direktiv ska utredningen sam- tidigt se till att regleringen möjliggör moderna och ändamålsenliga it-system. Den rättsliga regleringen bör således inte vara beroende av att vissa tekniska lösningar används. Informationstekniken ut- vecklas ständigt och den offentliga verksamheten bör kunna använda sig av den nya tekniken för effektivitetsvinster och förenkling av informationsutbyte med andra myndigheter och enskilda. En lag som reglerar all datoriserad personuppgiftsbehandling inom verk- samhetsområdet stämmer också bättre överens med utrednings- direktivens krav på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgar- skapslagstiftningen ska passa väl in i personuppgiftslagens regel- system.

Myndigheternas datoriserade system är i dag inte uppbyggda som register i traditionell bemärkelse. Som exempel kan Migrations- verkets databas centrala utlänningsdatabasen (CUD) nämnas. CUD är ett samlingsbegrepp för de databaser där uppgifter som behandlas i myndighetens ärenden registreras. Till denna centrala uppgifts- samling är olika system, applikationer, kopplade. Applikationerna har olika funktioner, såsom behandling av personuppgifter i besöks- och bosättningsärenden, kortutbetalning av bistånd och meddelande- hanteringssystem. De olika systemen kan, efter en säkerhetskon- troll, hämta uppgifter från det centrala systemet. Det rör sig således inte om ett enda ärendehanteringssystem, utan ett flertal tekniska instanser som samverkar och är beroende av varandra. Inte heller Migrationsverkets rättsfallssamling eller landinformationsregister ut- gör personregister i egentlig mening. Vidare går utvecklingen mot att myndigheterna i allt större utsträckning övergår från manuell personuppgiftsbehandling till automatiserad behandling. Migrations- verket har till exempel för avsikt att övergå till ett system med elektroniska personakter.

Den nya lagen bör inte begränsa myndigheternas möjligheter att utnyttja ny informationsteknik. Den bör också lämna utrymme för myndigheterna att utforma sina datasystem på det sätt som är mest ändamålsenligt för den aktuella verksamheten. Den nya regleringen bör därför vara teknikoberoende. Detta uppnås bäst genom att över- gå till en reglering som, liksom personuppgiftslagen samt polisdata- lagen och kustbevakningsdatalagen, omfattar all behandling av per-

197

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

sonuppgifter som sker helt eller delvis automatiserat samt manuellt i register.

Det finns dock enligt utredningen anledning att göra ett undan- tag från den generella regleringen. I de fall de berörda myndig- heterna hanterar register i mer traditionell bemärkelse kan det vara lämpligt att detta register särregleras i förhållande till annan person- uppgiftsbehandling i verksamheten. En jämförelse kan göras med polisdatalagen, som till exempel innehåller särskilda bestämmelser som gäller polisens register över DNA-profiler och fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 229). Utredningen gör bedömningen att det finns skäl att i den nya lagen särskilt reg- lera Migrationsverkets register över fingeravtryck och fotografier. Skälen till det och den närmare reglering tas upp i avsnitt 7.10.

Den nya lagen bör således i princip reglera all helt eller delvis automatiserad personuppgiftsbehandling samt behandlingen av per- sonuppgifter om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det innebär att all elektronisk behandling av personuppgifter kommer att om- fattas, även till exempel ordbehandling som utförs av anställda på den egna arbetsdatorn och intern och extern e-postkommunikation. Den nya lagens tillämpningsområde kommer således att utvidgas i förhållande till vad som gäller för närvarande och därmed också ut- öka möjligheterna att behandla personuppgifter på ett sätt som inte är tillåtet enligt personuppgiftslagen. Det skulle till exempel kunna innebära att möjligheten att behandla känsliga personuppgifter ut- vidgas i förhållande till vad som är möjligt enligt dagens reglering.

Ett sätt att hantera detta problem skulle kunna vara att införa mer begränsande regler i fråga om behandling av uppgifter som flera personer har tillgång till. I polisdatalagen används, som redovisats ovan, begreppet gemensamt tillgängliga uppgifter, som avser upp- gifter som fler än ett fåtal har möjlighet och rättslig behörighet att ta del av. För de gemensamt tillgängliga uppgifterna gäller mer restrik- tiva regler. I lagen anges vilka uppgifter som får göras gemensamt tillgängliga. Vidare finns vissa integritetsskyddande bestämmelser avseende sökning, direktåtkomst och bevarande som bara gäller de gemensamt tillgängliga uppgifterna. Liknande bestämmelser har även införts i kustbevakningsdatalagen. Frågan är om det finns skäl att i den nya lagen på utlännings- och medborgarskapsområdet också göra

198

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter.

Till en början kan konstateras att största delen av den person- uppgiftsbehandling som ska regleras i den nya lagen utgörs av myndigheternas personuppgiftsbehandling i olika typer av ärenden. Ärendena hanteras som regel av endast några få personer jämfört med exempelvis polisiär verksamhet i brottsbekämpande syfte. Det är ganska få uppgifter i ärendena som behöver vara tillgängliga för en vidare krets. Många anställda kommer visserligen att ha tillgång till Migrationsverkets register över fingeravtryck och fotografier. Men som framgår av avsnitt 7.10 föreslår utredningen vissa särskilda skyddsregler för detta register. Anställda har också tillgång till Lifos, alltså Migrationsverkets register för återsökning dels av vägledande avgöranden, rättsutredningar och rättslig information, dels av infor- mation rörande förhållanden i andra länder. I Lifos finns en del personuppgifter och en del är känsliga sådana. Det krävs emellertid särskild behörighet för Migrationsverkets anställda för åtkomst till sekretessbelagd information i Lifos olika delar. Informationen i Lifos har därmed inte särskilt stor spridning bland dem som har tillgång till den.

Vidare kommer personuppgiftsbehandlingen i den nya lagen att begränsas genom bestämmelser om lagens tillämpningsområde och särskilda ändamålsbestämmelser, se avsnitt 7.9. Utredningen kom- mer också att föreslå regler som innebär att respektive myndighet ska se till att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter, se avsnitt 7.12. En sådan bestämmelse medför att det finns ett skydd mot att en uppgift sprids till en större krets än vad som är moti- verat. Utredningen kommer också att föreslå att behandlingen ska begränsas av 9 § PUL, som anger vissa grundläggande krav på be- handlingen av personuppgifter, se avsnitt 7.7.3. Bestämmelsen inne- bär bland annat att den personuppgiftsansvariga myndigheten ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler per- sonuppgifter behandlas än som är nödvändigt med hänsyn till dessa ändamål. Även andra integritetsskyddande regler rörande person- uppgiftsbehandlingen kommer att föreslås. Utredningen menar att dessa generella skyddsregler utgör ett tillräckligt integritetsskydd oavsett om uppgifterna är gemensamt tillgängliga eller inte. Det finns

199

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

därför inget behov för att uppnå ett fullgott integritetsskydd av att införa en strängare särreglering som ska gälla enbart för gemensamt tillgängliga uppgifter.

Ytterligare en aspekt på frågan är att en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter kräver en rim- lig och tydlig precisering av vilka uppgifter som ska få göras gemen- samt tillgängliga. Den verksamhet som ska regleras i den föreslagna lagen skiljer sig från den verksamhet som regleras i polisdatalagen och kustbevakningsdatalagen. Det är inte lika lätt att på utlännings- och medborgarskapsområdet på ett naturligt och tydligt sätt ringa in vilka uppgifter som ska hänföras till kategorin gemensamt till- gängliga.

Sammanfattningsvis har utredningen kommit till slutsatsen att det inte bör finnas några särskilda regler om behandling av person- uppgifter på utlännings- och medborgarskapsområdet som är gemen- samt tillgängliga.

6.5EU-rättsliga utgångspunkter

Sveriges medlemskap i EU har medfört att EU-rätten blivit en inte- grerad del av den svenska rättsordningen. EU-domstolen har utveck- lat vissa principer för EU-rättens förhållande till nationell rätt, vilka är av avgörande betydelse för maktfördelningen mellan unionen, medlemsstaterna och medborgarna (Melin, M. m.fl., EU:s konsti- tution. Maktfördelningen mellan den europeiska unionen, medlems- staterna och medborgarna, 7 uppl., 2012 s. 35 f.). Principen om direkt tillämplighet innebär att EU:s grundfördrag och en del av sekundärrätten automatiskt utgör en del av medlemsstaternas interna rätt. Med sekundärrätt avses de rättsakter som EU:s institutioner utfärdar med stöd av fördragen, dvs. förordningar, direktiv, beslut, rekommendationer och yttranden.

I artikel 288 i Fördraget om europeiska unionens funktionssätt förklaras de olika rättsakterna på följande sätt. En förordning ska ha allmän giltighet. Den ska till alla delar vara bindande och direkt tillämplig i varje medlemsstat. Ett direktiv ska med avseende på det resultat som ska uppnås vara bindande för varje medlemsstat till vilken det är riktat, men ska överlåta åt de nationella myndigheterna att bestämma form och tillvägagångssätt för genomförandet. Ett beslut

200

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

är till alla delar bindande. Om ett beslut anger till vem eller vilka det riktar sig, är det bindande endast för dessa. Rekommendationer och yttranden ska inte vara bindande.

Domstolen har genom sin praxis slagit fast principen om EU- reglers direkta effekt, vilket innebär att vissa unionsrättsliga regler grundar rättigheter eller skyldigheter för enskilda som kan åberopas inför domstolar och myndigheter i medlemsstaterna. Vidare har dom- stolen utvecklat principen om EU-rättens företräde framför natio- nell rätt. Principen innebär att nationella domstolar ska tillämpa en EU-rättslig regel framför en mot denna stridande nationell lag.

Som framgår ovan är en EU-förordning, när det trätt i kraft, direkt tillämplig i medlemsstaterna. Det innebär att en förordning auto- matiskt blir en del av medlemsstaternas nationella rättssystem och gäller enligt sin lydelse på samma sätt som nationella lagar. En EU- förordning har företräde framför svensk rätt och utesluter tillämp- ning av nationell lagstiftning som är oförenlig med förordningen. Detta gäller även om den nationella lagstiftningen är av senare datum. Om det finns nationella författningsbestämmelser som motsvarar eller strider mot en EU-förordnings bestämmelser, måste de natio- nella bestämmelserna således utmönstras.

Enligt EU-domstolens praxis får förordningar inte införlivas i nationell rätt, eftersom detta skulle kunna skapa tvivel om deras ur- sprung och rättsliga effekt. Utgångspunkten är således att EU-för- ordningar inte får transformeras till eller inkorporeras i den nationella rätten, utan i stället ska tillämpas i sin EU-rättsliga form. Bestäm- melser i en förordning får dock återges i nationell lagstiftning när det är nödvändigt för att den nationella lagstiftningen ska bli begriplig och sammanhållen. En förordning kan även i olika avseenden ge upphov till kompletterande nationella föreskrifter (jfr. prop. 1994/95:19 s. 524 f.) Förordningen kan uttryckligen innehålla för- pliktelser för medlemsstaterna att besluta om utfyllande bestämmel- ser. En förordning kan också ge anledning att utfärda straffsank- tioner för överträdelse av bestämmelser i förordningen. Vidare kan en förordning ge utrymme för medlemsstaterna att besluta om kom- pletterande regler i övrigt.

Det finns ett antal EU-förordningar som innehåller bestämmelser om personuppgiftsbehandling inom utlännings- och medborgarskaps- området. En sådan förordning är Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av

201

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en an- sökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Euro- peisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Denna förord- ning (den s.k. Eurodacförordningen, se avsnitt 7.4) innehåller be- stämmelser om ett gemensamt system, Eurodac, för jämförelse av fingeravtryck i syfte att kunna avgöra vilken medlemsstat som är an- svarig för att pröva en ansökan om internationellt skydd.

En annan förordning av intresse är Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex). Den förord- ningen innehåller bland annat regler för förfarande och villkor för utfärdande av viseringar.

Ytterligare en förordning är Europaparlamentets och rådets för- ordning (EG) nr 767/2008 av den 9 juli 2008 om informations- systemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Den förordningen fastställer ändamål, funktioner och ansvarsfördel- ning för det EU-gemensamma informationssystemet för viseringar.

Med hänsyn till vad som ovan sagts om EU-förordningars direkta tillämplighet får ovan nämnda förordningar inte införlivas i den nya utlänningsdatalagen. Behandling av personuppgifter enligt förord- ningarna bör därför inte heller omfattas av lagens tillämpningsom- råde. Enligt principen ovan har förordningarna företräde framför nationell rätt utan att det behöver regleras särskilt i lagen. Det finns dock med förordningarna närliggande verksamhet som kommer att omfattas av den nya lagens tillämpningsområde. För tydlighetens skull bör därför personuppgiftsbehandling enligt Eurodac-förordningen, viseringskodexen och VIS-förordningen uttryckligen undantas från lagens tillämpningsområde (se vidare avsnitt 7.4).

202

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.6Schengens informationssystem

Som framgår av avsnitt 4.3.3 innebar Amsterdamfördraget att Schengenregelverket införlivades med EU-rätten. Genom Europa- parlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer inför- des ett gemensamt regelverk för all gränspassage för personer över EU:s yttre och inre gränser. I kodexen slås fast att det inte ska förekomma någon gränskontroll av personer när de passerar de inre gränserna mellan EU:s medlemsländer.

De länder som deltar i Schengensamarbetet har infört ett gemen- samt informationssystem, Schengen Information System (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. I april 2013 togs SIS II i bruk. Den senare versionen av SIS innehåller fler typer av uppgifter och funktioner än den tidigare, bland annat är det möjligt att lägga in biometriska uppgifter (exempelvis fingeravtryck och fotografier) och att länka samman registreringar som avser en och samma person. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll.

SIS II regleras huvudsakligen i två olika rättsakter. Europa- parlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) reglerar den del av systemet som används för frågor om asyl och invandring. När det gäller den del av systemet som används för polis- och straffrätts- ligt samarbete finns bestämmelser i Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Därutöver finns en särskild förordning, Europaparlamentets och rådets förord- ning (EG) nr 1986/2006 av den 20 december 2006 om tillträde till andra generationen av Schengens informationssystem (SIS II), för de enheter i medlemsstaterna som ansvarar för att utfärda registre- ringsbevis för fordon.

De båda förordningarna gäller direkt i Sverige och ska inte genom- föras i svensk lag. Rådsbeslutet har genomförts i svensk rätt genom ändringar i lagen (2000:344) om Schengens informationssystem och

203

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

förordningen (2000:836) om Schengens informationssystem. Lagen och förordningen innehåller bestämmelser om behandling av person- uppgifter i den svenska delen av SIS. Den personuppgiftsbehand- ling som faller under lagens och förordningens tillämpningsområde bör falla utanför utlänningsdatalagens tillämpningsområde.

6.7En ny domstolsdatalag

Enligt utredningens direktiv ska förslaget till lagreglering på utlän- nings- och migrationsområdet vara utformat så att det är förenligt med den kommande regleringen av domstolarnas personuppgifts- behandling. All automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna och nämnderna regleras i dag av de s.k. Veraförordningarna (se av- snitt 7.3.3). Regeringen har i juni 2015 överlämnat en remiss till Lag- rådet med förslag till en lag om behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verk- samhet. Utredningen gör den bedömningen att regleringen av personuppgiftsbehandlingen på utlännings- och migrationsområdet kommer att vara förenlig med de nya reglerna om domstolarnas behandling av personuppgifter.

6.8EU:s uppgiftsskyddsförordning

Utredningen ska också i sitt arbete noga följa den fortsatta be- handlingen inom EU av förslaget till ny dataskyddsreglering samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.

Utredningen redovisar det pågående reformarbetet av EU:s regler om skydd för personuppgifter och förslag till uppgiftsskyddsför- ordning i avsnitt 3.4. Utredningen hänvisar därför till detta avsnitt i denna del.

Kommissionens förslag till uppgiftsskyldighetsförordning baseras till en stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet, men innehåller även vissa skillnader. Ambitionen synes vara att RIF-rådet (dvs. Rådet för rättsliga och inrikes frågor) i juni 2015 ska kunna besluta om en allmän inrikt-

204

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

ning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunk- ten för rådets förhandlingar med Europaparlamentet och kommis- sionen om uppgiftsskyddsförordningen. Ambitionen är vidare att lagstiftningsprocessen ska drivas med inriktning på ett slutförande i år. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.

Mot bakgrund av ovan har utredningen inte haft möjlighet att särskilt anpassa den nya utlänningsdatalagen till reformarbetet av EU:s regler om skydd för personuppgifter.

6.9Informationshanteringsutredningen

Enligt utredningens direktiv ska utredningen samråda med Informa- tionshanteringsutredningen. I oktober 2011 tillsatte regeringen en särskild utredare med uppdrag att se över den s.k. registerlagstift- ningen och vissa därmed sammanhängande frågor (dir. 2011:86). Utredningen har tagit namnet Informationshanteringsutredningen. I utredarens uppdrag ingick bland annat att överväga om defini- tionen av begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformad när det gäller sådana uppgifter som en myndig- het har tillgång till genom s.k. direktåtkomst hos en annan myndig- het eller genom liknande former av elektroniskt utlämnande och, om utredaren anser att definitionen bör ändras, lämna förslag till ändring av denna. Utredningen skulle vidare överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande samt göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. I uppdraget ingick också att, med beaktande av utvecklingen inom EU och Europarådet, utarbeta en generell modell för reglering av registerfrågor och, med modellen som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena.

I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisade utredningen sitt uppdrag vad avser vissa del- frågor. I betänkandet tar utredningen ställning till om överskotts- information vid direktåtkomst och liknande elektronisk tillgång till annan myndighets elektroniska informationssamling bör undantas

205

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

från begreppet allmän handling och, för det fall överskottsinforma- tion inte undantas från begreppet allmän handling, de bestämmel- ser som förts in i offentlighets- och sekretesslagen (2009:400) med anledning av den nuvarande ordningen (bland annat 11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras. Utredningen skulle även ta ställning till om det fanns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande, men eftersom utredningen inte före- slog någon grundlagsändring i syfte att undanta överskottsinforma- tion vid direktåtkomst från begreppet allmän handling lämnade utredningen inga förslag angående frågan om begreppsbildningen för elektroniska utlämnandeformer utan avsåg att återkomma till frågan om begreppsbildningen i slutbetänkandet.

Genom tilläggsdirektiv i mars 2014 ändrades inriktningen på ut- redningens uppdrag. Uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på register- författningar för dessa verksamheter samt att överväga vilka typer av allmänna handlingar som myndigheterna inom dessa verksamhets- områden ska vara skyldiga att lämna ut i elektronisk form utgick. Utredningen fick i stället i uppdrag att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheter- nas personuppgiftsbehandling och lämna författningsförslag till en sådan, med beaktande bland annat av den pågående översynen inom EU av regleringen om skyddet för personuppgifter.

Utredningen redovisade sitt uppdrag i april 2015 genom slut- betänkandet Myndighetsdatalag (SOU 2015:39). I betänkandet fram- går att utredningen bedömer att dagens regelverk med bland annat olika registerförfattningar är fragmentiserat, svårförståeligt och i vissa fall inte anpassat till annan lagstiftning och tekniska lösningar för hantering av personuppgifter. Utredningen föreslår därför att dagens regler reformeras och huvudsakligen ersätts av en ny lag – myndighetsdatalagen – med generella bestämmelser för myndigheters behandling av personuppgifter. Den nya lagstiftningen föreslås gälla för alla myndigheters hantering av personuppgifter med undantag för myndigheters brottsbekämpande och brottsförebyggande verk- samhet. Förslaget innebär en renodlad persondataskyddsreglering och ska alltså inte i något avseende reglera myndigheternas sakverk- samhet.

206

7En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

7.1Lagens namn

Utredningens förslag: Lagen ska heta utlänningsdatalag.

Automatiserad behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av för- ordningen (2001:720) om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen (utlän- ningsdataförordningen). Ett lämpligt namn för lagen hade således kunnat vara lagen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Namnet har den fördelen att det tydligt framgår vad lagen handlar om. Utredningen anser det dock lämpligt att den nya lagen får namnet utlännings- datalagen. Det är konsekvent med tanke på andra lagar på person- uppgiftsbehandlingsområdet som tillkommit på senare år, till exempel patientdatalagen (2008:355), polisdatalagen (2010:361, PDL) och kustbevakningsdatalagen (2012:145). Namnet ger också en uppfatt- ning om vad lagen handlar om, nämligen behandling av uppgifter om utlänningar. Vidare innebär namnet en tydlig koppling till utlän- ningslagen (2005:716, UtlL), som innehåller bestämmelser om en stor del av den verksamhet vars personuppgiftsbehandling ska regleras i den nya lagen. Utlänningsdatalagen är således det lämpligaste nam- net.

207

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.2Lagens syfte

Utredningens förslag: Syftet med lagen ska vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ända- målsenligt sätt i sin verksamhet enligt utlännings- och medborgar- skapslagstiftningen och att skydda människor mot att deras per- sonliga integritet kränks vid sådan behandling.

Enligt 1 § personuppgiftslagen (1998:204, PUL) är syftet med den lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I utlänningsdataförordningen finns det inte någon särskild bestämmelse om syftet med regleringen. En sådan bestämmelse är dock vanligt förekommande i de register- författningar som utarbetats på senare år. Två exempel är polisdata- lagen och kustbevakningsdatalagen.

I förarbetena till både polisdatalagen och kustbevakningsdata- lagen anförs att det finns skäl att i dessa lagar införa särskilda bestäm- melser av vilka det framgår att syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av person- uppgifter (se prop. 2009/10:85 s. 66 och prop. 2011/12:45 s. 67). I förarbetena betonas dock att det utöver integritetsintresset finns andra intressen som ska vägas in. I polisens fall anges att även sam- hällets rättmätiga krav på att ett rättssäkert och effektivt brotts- bekämpande bör komma till uttryck i bestämmelsen om lagens syfte. I kustbevakningsdatalagen anges på motsvarande sätt att lagens syfte utöver integritetsskydd för den enskilde också är att ge Kust- bevakningen möjlighet att behandla personuppgifter på ett ända- målsenligt sätt i sin operativa verksamhet.

Utlänningsdatalagens bestämmelser kommer att gälla i stället för personuppgiftslagen vid viss behandling av personuppgifter inom utlännings- och medborgarskapsområdet. Personuppgiftslagens be- stämmelse som rör syftet med lagen kommer således inte att vara tillämplig. Det är därför lämpligt att i utlänningsdatalagen inled- ningsvis tydligt ange vad som är syftet med den lagen.

Inom verksamhet på utlännings- och medborgarskapsområdet finns en liknande problematik som inom polisverksamhet och kust- bevakningens verksamhet. Myndigheterna har behov av att behandla en stor mängd information, även känsliga personuppgifter, och av att utnyttja modern informationsteknik för att kunna utföra sina

208

SOU 2015:73

En ny lag om behandling av personuppgifter…

uppgifter på ett korrekt och effektivt sätt. Samtidigt kan person- uppgiftsbehandlingen innebära risk för intrång i den personliga integriteten. Skyddet för den enskildes integritet måste dock upprätthållas.

Bestämmelserna i den nya lagen har till syfte att balansera dessa båda intressen: en rättssäker och effektiv verksamhet och skyddet för den enskildes personliga integritet vid personuppgiftsbehandling i sådan verksamhet. Dessa dubbla syften kommer till uttryck i lagens bestämmelser. Lagen gör det visserligen möjligt att behandla person- uppgifter på ett sätt som går utöver vad som är möjligt enligt person- uppgiftslagen. Integritetsskyddet säkras dock genom kompensato- riska åtgärder, såsom särskilda bestämmelser om ändamål, hur och av vem uppgifterna får användas, hur sökning får ske, direktåt- komst, gallring och avskiljande. Det är därför lämpligt att i den nya lagen införa en särskild bestämmelse om att lagens syfte både är att ge vissa myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras person- liga integritet kränks vid sådan behandling. En sådan bestämmelse tydliggör lagstiftningens dubbla roll, vilket bland annat kan vara av betydelse i olika tolkningssituationer.

209

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.3Lagens tillämpningsområde

Utredningens förslag: Lagen ska tillämpas vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:

1.utlänningars inresa i Sverige eller i en stat som ingår i Euro- peiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.statusförklaring,

3.mottagande av asylsökande och andra utlänningar,

4.bistånd och stöd till utlänningar,

5.svenskt medborgarskap,

6.statlig ersättning för kostnader för utlänningar eller

7.bosättning av utlänningar.

Lagen ska vidare vara tillämplig vid behandling av personupp- gifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

7.3.1Inledning

I utredningens direktiv definieras inte vad som avses med verksam- het enligt utlännings- och medborgarskapslagstiftningen. Det anges dock att verksamhet enligt utlännings- och medborgarskapslagstift- ningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna.

Migrationsverkets, Polismyndighetens, Säkerhetspolisens och ut- landsmyndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av utlänningsdataförordningen.

Det finns emellertid andra myndigheter som, även om de inte regleras i utlänningsdataförordningen, antingen utför sådan verksam- het som beskrivs i förordningen eller har uppgifter enligt utlännings-

210

SOU 2015:73

En ny lag om behandling av personuppgifter…

lagen och lagen (2001:82) om svenskt medborgarskap (medborgar- skapslagen), se avsnitten 4.3.6, 4.4.2, 4.5.1 och 4.5.5.

Det finns därför anledning att se närmare på hur utlänningsdata- lagens tillämpningsområde bör avgränsas, dels vad gäller vilka myn- digheters behandling av personuppgifter som ska regleras av lagen, dels vilken verksamhet hos dessa myndigheter som lagens bestäm- melser ska omfatta. Tillämpningsområdet bör begränsas till det som kräver särreglering i förhållande till personuppgiftslagen.

7.3.2Ska myndigheterna anges i lagen?

En första fråga utredningen har att ta ställning till är om det i lagen uttryckligen ska anges vilka myndigheters personuppgiftsbehand- ling som regleras av lagen. Ett alternativ är att i stället endast beskriva den verksamhet på vilken lagen ska tillämpas.

I särskilda registerförfattningar som reglerar myndigheters person- uppgiftsbehandling är det vanligt att det i lagen specificeras vilka myndigheter som ska tillämpa den. Så är exempelvis fallet i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet och i polisdatalagen. Modellen har ansetts lämplig, eftersom lagens adressat framgår tydligt. Den har vidare fördelen att man slipper skriva in undantagsbestämmelser i lagen för att und- vika dubbelreglering av viss verksamhet. Utredningen gör bedöm- ningen att det i lagen bör anges vilka myndigheters personuppgifts- behandling som regleras av lagen.

7.3.3Vilka myndigheters behandling av personuppgifter ska regleras av lagen?

Den nya lagen bör, i likhet med den nuvarande utlänningsdataför- ordningen, enligt utredningens bedömning gälla för Migrations- verkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndig- heternas personuppgiftsbehandling inom verksamhet enligt utlän- nings- och medborgarskapslagstiftningen.

Nästa fråga är om den krets av myndigheter som ska tillämpa utlänningsdatalagen bör utvidgas i förhållande till vad som gäller en- ligt nuvarande reglering. Som framgår av avsnitten 4.3. 4.4, 4.5 och 4.6 finns det utöver Migrationsverket, Polismyndigheten, Säkerhets-

211

En ny lag om behandling av personuppgifter…

SOU 2015:73

polisen och utlandsmyndigheterna vissa andra myndigheter som utövar verksamhet som faller inom utlännings- och medborgarskaps- området. Frågan är om utlänningsdatalagen bör omfatta även dessa myndigheters personuppgiftsbehandling.

Domstolarna

Både förvaltningsdomstolarna och de allmänna domstolarna har verk- samhet som regleras av utlänningslagen eller medborgarskapslagen.

En förvaltingsmyndighets beslut enligt utlänningslagen och med- borgarskapslagen som överklagas prövas i regel av migrationsdom- stol (16 kap. UtlL och 26 § medborgarskapslagen).

Allmänna domstolar prövar frågor om utvisning på grund av brott efter talan av allmän åklagare (8 a kap. 6 § UtlL).

Den verksamhet som domstolarna bedriver på utlännings- och medborgarskapsområdet består av rättskipande verksamhet. All auto- matiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna regleras i dag i de s.k. Vera-förordningarna: förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behand- ling, förordningen (2001:640) om registerföring m.m. vid förvalt- ningsrätt med hjälp av automatiserad behandling, förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdom- stolen och kammarrätterna med hjälp av automatiserad behandling och förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling. Dom- stolarnas behandling kommer emellertid med all sannolikhet i fram- tiden att regleras i en särskild domstolsdatalag. Ett förslag till dom- stolsdatalag bereds för närvarande (maj 2015) inom Regeringskansliet. Den nya domstolsdatalagen kommer sannolikt att gälla vid behand- ling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas samt hyres- och arrendenämndernas rätt- skipande och rättsvårdande verksamhet (se promemorian Ds 2013:10 s. 46 f.). Lagen ska gälla om behandlingen är helt eller delvis auto- matiserad eller sker i manuella register. Domstolarnas behandling av personuppgifter inom verksamhet enligt utlännings- och medborgar- skapslagstiftningen är således redan reglerad, i dagsläget genom de ovan nämnda förordningarna och i framtiden av en domstolsdata-

212

SOU 2015:73

En ny lag om behandling av personuppgifter…

lag. Domstolarnas personuppgiftsbehandling på utlännings- och med- borgarskapsområdet bör därför enligt utredningen falla utanför den kommande utlänningsdatalagens tillämpningsområde.

Regeringskansliet

Regeringskansliet avgör med stöd av 3 kap. 5 § och 5 kap. 20 § UtlL vissa ärenden som rör nationell visering och uppehållstillstånd. I vilka fall Regeringskansliet kan besluta om visering och uppehålls- tillstånd framgår av Regeringskansliets föreskrifter om handlägg- ning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1). I föreskrifterna framgår att Regeringskansliet kan be- sluta om visering för bland andra främmande staters beskicknings- medlemmar, konsuler och deras familjemedlemmar.

Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet (7 kap. 8 § UtlL).

Regeringen beslutar vidare vilka kategorier av personer som får ges uppehållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL, utöver dem som omfattas av Europeiska unionens råds beslut. Dessa bestämmelser har dock ännu aldrig tillämpats.

Regeringskansliet bereder härutöver de ärenden som enligt sär- skilda regler ska överklagas till regeringen. Det gäller Migrations- verkets beslut i säkerhetsärenden enligt 27 § medborgarskapslagen och Migrationsverkets beslut om utvisning, uppehållstillstånd, status- förklaring m.m. i säkerhetsärenden enligt lagen (1991:572) om sär- skild utlänningskontroll.

Det saknas särreglering för den personuppgiftsbehandling som Regeringskansliet utför i ovan angiven verksamhet. Behandlingen av personuppgifter regleras således i dag av personuppgiftslagen.

Antalet ansökningar om uppehållstillstånd som prövas av Rege- ringskansliet är tämligen omfattande. Det rör sig om ca 1 300 ären- den per år. Denna ärendehantering innefattar dock inte behandling av känsliga personuppgifter.

När det gäller Regeringskansliets beredning av säkerhetsärenden enligt medborgarskapslagen och lagen om särskild utlänningskon- troll kan konstateras att det rör sig om ett fåtal ärenden per år. I ärendena förekommer visserligen känsliga personuppgifter, men de

213

En ny lag om behandling av personuppgifter…

SOU 2015:73

uppgifter som behandlas elektroniskt behandlas endast i löpande text. De undantag som finns avseende behandling av känsliga person- uppgifter i 1519 §§ PUL och 8 § personuppgiftsförordningen (1998:1191, PUF) torde därför vara tillräckliga.

Sammanfattningsvis gör utredningen bedömningen att Regerings- kansliets behandling av personuppgifter inom utlännings- och med- borgarskapsområdet varken är så omfattande eller av sådan karaktär att särreglering krävs. Denna personuppgiftsbehandling bör således inte falla under utlänningsdatalagens tillämpningsområde.

Tullverket och Kustbevakningen

Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyn- digheten vid kontrollen av utlänningars inresa eller utresa enligt 9 kap. 1 § UtlL. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. När inresekontrollen sköts av särskilt förordnade tulltjänstemän eller tjänstemän vid Kustbevakningen har de samma befogenheter som en polisman har, se 9 kap. 2 § UtlL.

Kustbevakningens personuppgiftsbehandling regleras i kustbevak- ningsdatalagen. Lagen gäller för samtliga Kustbevakningens opera- tiva verksamheter, däribland brottsbekämpning och övrig sjööver- vakning (1 kap. 2 § kustbevakningsdatalagen). Den brottsbekäm- pande verksamheten innefattar bland annat övervakning för att förhindra brott mot föreskrifter och andra författningar som gäller utlänningars inresa till och utresa från eller vistelse i Sverige (se prop. 2011/12:45 s. 40 f.) Med sjöövervakning avses bland annat verksamhet som innefattar personers inresa i, utresa från eller vistelse i Sverige. För kustbevakningens personuppgiftsbehandling i samband med utlänningsverksamhet finns således redan en särreglering. Det finns därför inte skäl att reglera Kustbevakning- ens personuppgiftsbehandling i den nya lagen.

Tullverkets personuppgiftsbehandling regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och, vad gäller den brottsbekämpande verksamheten, i lagen om behandling av upp- gifter i Tullverkets brottsbekämpande verksamhet. Den personupp- giftsbehandling som Tullverket utför i samband med att myndig- heten bistår Polismyndigheten i samband med utlänningskontroll

214

SOU 2015:73

En ny lag om behandling av personuppgifter…

regleras emellertid inte av ovan nämnda författningar. Personupp- giftslagen är således i stället tillämplig på den personuppgiftsbehand- ling som Tullverket utför i samband med utlänningskontrollen. Vid utredningens kartläggning har framkommit att Tullverket deltar i en mycket liten utsträckning i Polismyndighetens utlänningskontroll och att personuppgiftslagens bestämmelser, dock med undantag för vad som anförs i kapitel 11, ger ett tillräckligt skydd vid den person- uppgiftsbehandling som utförs. Det finns därför inte skäl att utvidga den nya lagens tillämpningsområde till att även omfatta Tullverkets personuppgiftsbehandling i samband med utlänningskontroll.

Se dock kapitel 11 i vilket utredningen föreslår visst skadestånds- ansvar för Kustbevakningen och Tullverket efter fingeravtrycks- kontroller vid Schengenviseringar.

Länsstyrelserna

Länsstyrelserna prövar anmälan om svenskt medborgarskap enligt 7, 8, 9, 18 eller 19 §§ medborgarskapslagen som rör medborgare i Danmark, Finland, Island eller Norge. Om en länsstyrelse finner an- ledning att anta att ett beslut om utvisning enligt 1 § lagen om sär- skild utlänningskontroll bör meddelas ska myndigheten anmäla det till Säkerhetspolisen.

Länsstyrelsernas behandling av personuppgifter i verksamhet som anges ovan är varken med hänsyn till sin omfattning eller till integ- ritetskänsligheten sådan att den kräver någon särreglering. Läns- styrelsernas personuppgiftsbehandling inom utlännings- och med- borgarskapsområdet bör således enligt utredningen inte regleras av utlänningsdatalagen.

Kommunerna

Kommunerna ansvarar för boende för och bistånd till utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas samt ansvarar för boende för ensamkommande flyktingbarn, se 1 § 3 lagen (1994:139) om mottagande av asylsökande m.fl. Det är vidare kommunernas uppgift att erbjuda barn och ungdomar förskoleverksamhet eller ut-

215

En ny lag om behandling av personuppgifter…

SOU 2015:73

bildning och att erbjuda vissa nyanlända invandrare samhällsorien- tering.

Den personuppgiftsbehandling som kommunerna utför i samband med ovan beskriven verksamhet är delvis föremål för särreglering. En socialnämnds behandling av personuppgifter vid handläggning av ärenden om bistånd enligt lagstiftning om mottagande av asylsökan- de m.fl. regleras av lagen (2001:454) om behandling av personupp- gifter inom socialtjänsten. Något ytterligare behov av särreglering av kommunernas verksamhet har enligt utredningen inte framkommit.

Arbetsförmedlingen

Arbetsförmedlingen är ansvarig för insatser för att underlätta ny- anlända invandrares etablering i arbets- och samhällslivet, bland annat genom att upprätta etableringsplaner och anordna aktiviteter enligt planen. Arbetsförmedlingen prövar i vissa fall frågor om ersättning till dem som medverkat i upprättande av etableringsplaner och akti- viteter enligt planen.

Arbetsförmedlingens behandling av personuppgifter på utlännings- området regleras i lagen (2002:546) om behandling av personupp- gifter i den arbetsmarknadspolitiska verksamheten och i viss mån i patientdatalagen. Lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten omfattar Arbetsförmedlingens behandling av uppgifter om arbetssökande, arbetsgivare, kontakt- personer och andra personer i den arbetsmarknadspolitiska verk- samheten. När det gäller frågan vad som ska anses utgöra arbets- marknadspolitisk verksamhet hänvisas i lagens förarbeten till tre bestämmelser i förordningen (2000:628) om den arbetsmarknads- politiska verksamheten. Dessa bestämmelser anges utgöra ramen för den arbetsmarknadspolitiska verksamheten (se prop. 2001/02:144 s. 17). Två av dessa bestämmelser upphävdes i samband med att regleringen av Arbetsförmedlingens huvuduppgifter fördes över till Arbetsförmedlingens nya instruktion, förordningen (2007:1030) med instruktion för Arbetsförmedlingen. Ramarna för den arbetsmark- nadspolitiska verksamheten får nu i stället anses regleras av de be- stämmelser i instruktionen som har ersatt de upphävda bestämmel- serna och som beskriver Arbetsförmedlingens uppdrag och uppgifter samt av 5 § förordningen (2000:628) om den arbetsmarknadspoli-

216

SOU 2015:73

En ny lag om behandling av personuppgifter…

tiska verksamheten. Av dessa bestämmelser framgår att med arbets- marknadspolitisk verksamhet avses bland annat insatser för att ny- anlända invandrare erbjuds insatser som främjar en snabb och effektiv etablering på arbetsmarknaden. I samband med att lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare trädde i kraft den 1 december 2010 utvidgades tillämpningsområdet för Arbetsförmedlingens registerlag till att omfatta även ärenden enligt denna lag samt för ärenden om bosättning av vissa nyanlända. Arbetsförmedlingens verksamhet på utlänningsområdet är således redan särreglerat i förhållande till personuppgiftslagen. Utlännings- datalagens tillämpningsområde bör därför enligt utredningen inte omfatta Arbetsförmedlingens personuppgiftsbehandling på utlän- ningsområdet.

Försäkringskassan

Försäkringskassan prövar frågor om etableringstillägg och bostads- ersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning enligt förordningen (2010:407) om ersättning till vissa nyanlända invandrare. Försäkringskassans behandling av personuppgifter regleras i 114 kap. socialförsäkringsbalken (2010:110). Denna personuppgiftsbehandling bör därför enligt ut- redningen inte falla under den nya lagens tillämpningsområde.

Centrala studiestödsnämnden

Enligt förordningen (1990:1361) om lån till hemutrustning för flyk- tingar och vissa andra utlänningar handlägger Centrala studiestöds- nämnden ärenden om beviljning, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. I 28 och 29 §§ regleras nämndens möjlighet att föra automatiserade personregister för administration av lån enligt förordningen. För nämndens personuppgiftsbehandling i samband med låneärendena finns således redan en särreglering. Personuppgiftsbehandlingen bör därför enligt utredningen inte regleras i utlänningsdatalagen.

217

En ny lag om behandling av personuppgifter…

SOU 2015:73

Landstingen

Landstingen är skyldiga att erbjuda viss hälso- och sjukvård samt tandvård till asylsökande och vissa andra utlänningar. Vid vård- givares behandling av personuppgifter inom hälso- och sjukvården tillämpas patientdatalagen. Inte heller landstingens personuppgifts- behandling bör därför enligt utredningen infogas i utlänningsdata- lagens tillämpningsområde

Sammanfattning

Sammanfattningsvis gör utredningen bedömningen att kretsen av myndigheter som ska tillämpa utlänningsdatalagen ska vara den- samma som gäller enligt den nuvarande utlänningsdataförordningen.

7.3.4Vilken personuppgiftsbehandling ska lagen tillämpas på?

Som framgår av avsnitt 6.4.5 föreslår utredningen att den nya lagen ska omfatta all helt eller delvis automatiserad personuppgiftsbehand- ling samt manuell behandling av personuppgifter i register på utlän- nings- och medborgarskapsområdet. Utredningen föreslår således att den nuvarande utlänningsdataförordningens reglering som utgår från olika register i verksamheten överges och att ändamålsbestäm- melser i stället ska styra vilka uppgifter som får behandlas. Undantag är dock Migrationsverkets fingeravtrycksregister som enligt utred- ningen även fortsättningsvis bör regleras som ett register, se av- snitt 7.10.

Med begreppen automatiserad behandling avses detsamma som i personuppgiftslagen, se avsnitt 3.5.3 Med personuppgift avses enligt definitionen i 3 § PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen omfattar således inte avlidna personer. Det finns dock ingenting som hindrar att lagen tillämpas även vid behandling av uppgifter som rör avlidna personer.

I gällande utlänningsdataförordning specificeras vad som menas med verksamhet enligt utlännings- och medborgarskapslagstiftning- en. I 1 § anges att med sådan verksamhet avses

218

SOU 2015:73

En ny lag om behandling av personuppgifter…

1.verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2.verksamhet som gäller utlänningars rätt att arbeta i landet,

3.mottagande av asylsökande och vissa andra utlänningar,

4.verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,

5.verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och

6.verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrations- verket.

Som framgår av avsnitt 4.3 och 4.4. avses med verksamhet enligt ut- lännings- och medborgarskapslagstiftningen främst den verksamhet som myndigheterna bedriver med stöd av utlänningslagen och med- borgarskapslagen. Migrationsverket, utlandsmyndigheterna, Polis- myndigheten och Säkerhetspolisen utför därutöver vissa uppgifter på utlännings- och medborgarskapsområdet som inte regleras i nyss nämnda författningar (se avsnitt 4.5 och 4.6). I förtydligande syfte bör det därför även i den nya lagen finnas en specificering av vilken verksamhet som omfattas av lagens tillämpningsområde. Nedan följer en närmare beskrivning av den verksamhet som enligt utredningens mening bör omfattas av den föreslagna lagen. Av tydlighetsskäl bör en uppdelning göras mellan å ena sidan Migrationsverkets och ut- landsmyndigheternas verksamhet och å andra sidan Polismyndig- hetens och Säkerhetspolisens verksamhet.

Migrationsverket och utlandsmyndigheterna

Lagen bör vara tillämplig vid Migrationsverkets och utlandsmyn- digheternas verksamhet som beskrivs under nedan angivna rubriker. Viss verksamhet kan falla under flera rubriker.

219

En ny lag om behandling av personuppgifter…

SOU 2015:73

Utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige

Med denna verksamhet avses främst Migrationsverkets och utlands- myndigheternas verksamhet enligt utlänningslagen och utlännings- förordningen (2006:97, UtlF), dvs. verksamhet som rör visering, uppehållstillstånd, arbetstillstånd, avvisning, utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskaps- ärenden med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen avses. Vidare faller Migrationsverkets be- handling av personuppgifter i ärenden om utvisning, förvar m.m. av utlänningar enligt lagen om särskild utlänningskontroll under denna rubrik.

Statusförklaring

Under denna rubrik faller Migrationsverkets behandling av person- uppgifter i anledning av beslut om eller återkallelse av statusförkla- ring enligt 4 kap. 33 c och 5 b5 c §§ UtlL. En utlänning som med åberopande av skyddsskäl ansökt om uppehållstillstånd ska förklaras vara flykting (flyktingstatusförklaring), om han eller hon uppfyller definitionen för flykting och inte är utesluten från att anses som flykting av de skäl som anges i 4 kap. 2 § UtlL (exempelvis om han eller hon har gjort sig skyldig till brott mot freden eller krigsför- brytelser). En utlänning kan också förklaras vara alternativt skydds- behövande (alternativ skyddsstatusförklaring) eller övrig skydds- behövande (övrig skyddsstatusförklaring) om utlänningslagens krav för det är uppfyllda. Frågan om statusförklaring prövas van- ligtvis samtidigt med frågan om uppehållstillstånd. Frågan ska tas upp till prövning utan särskilt yrkande.

220

SOU 2015:73

En ny lag om behandling av personuppgifter…

Mottagande av asylsökande och andra utlänningar

Med mottagande av asylsökande och andra utlänningar avses Migra- tionsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Verk- samhet som avser ekonomiskt bistånd eller stöd behandlas under en egen rubrik, se nedan. Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar faller också under denna rubrik.

Bistånd och stöd till utlänningar

Här avses Migrationsverkets verksamhet som gäller ekonomiskt bistånd enligt lagen om mottagande av asylsökande m.fl. och anslu- tande förordning. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlän- ningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses. Migrationsverkets personuppgifts- behandling som föranleds av bidragsbrottslagen (2007:612) och lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetal- ningar från välfärdssystemen omfattas också.

Svenskt medborgarskap

Här avses Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen om svenskt medborgarskap och medborgarskapsför- ordningen (2001:218).

Statlig ersättning för kostnader för utlänningar

I förordningen (1990:927) om statlig ersättning för flyktingmot- tagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. finns bestäm-

221

En ny lag om behandling av personuppgifter…

SOU 2015:73

melser om statlig ersättning till kommuner, landsting, kommunal- förbund och öppenvårdsapotek för vissa kostnader för utlänningar. Det är Migrationsverket som beslutar om sådan ersättning. Migra- tionsverkets personuppgiftsbehandling i samband med denna hand- läggning bör också höra till den nya lagens tillämpningsområde.

Bosättning av utlänningar

Härmed avses Migrationsverkets ansvar för bosättning av vissa ut- länningar enligt lagen om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare avses.

Polismyndigheten och Säkerhetspolisen

Polismyndigheten

Som framgår av redogörelsen i kapitel 4 utför Polismyndigheten vissa uppgifter enligt utlännings- och medborgarskapslagstiftningen. Polis- myndigheten har huvudansvaret för personkontroller vid yttre gräns i samband med inresa och utresa samt för inre utlänningskontroll. Polismyndigheten har behörighet att handlägga och besluta i viseringsärenden. Polismyndigheten får, vid sidan av Migrations- verket, i vissa fall besluta om avvisning. Myndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvis- ning på grund av brott. Vidare verkställer Polismyndigheten beslut om utvisning och avvisning som har lämnats över från Migrations- verket. Det gäller ärenden som rör personer som håller sig undan eller sådana fall där Migrationsverket bedömer att tvång är nödvändigt för att verkställa beslutet. Det är också Polismyndigheten som verk- ställer utlämningar och överlämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

När det gäller Polismyndighetens verksamhet på utlännings- och medborgarskapsområdet finns en annan närliggande lagstiftning som

222

SOU 2015:73

En ny lag om behandling av personuppgifter…

bör beaktas. Polismyndighetens personuppgiftsbehandling i den brottsbekämpande verksamheten regleras i polisdatalagen, som trädde i kraft den 1 mars 2012. Polisdatalagen gäller från och med den 1 januari 2015 vid behandling av personuppgifter i

1.brottsbekämpande verksamhet vid Polismyndigheten, i Nationellt forensiskt centrum dock endast vid behandling av personupp- gifter i vissa särskilda register,

2.brottsbekämpande verksamhet vid Säkerhetspolisen i den utsträck- ning som anges i lagen och

3.polisiär verksamhet vid Ekobrottsmyndigheten.

Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Polismyndighetens personupp- giftsbehandling i den brottsbekämpande verksamheten bör således falla utanför den föreslagna lagens tillämpningsområde. Frågan är vad som närmare avses med brottsbekämpande verksamhet.

Med brottsbekämpande verksamhet avses enligt förarbetena till polisdatalagen verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott (se prop. 2009/10:85 s. 74). I propositionen diskuteras vilka polisuppgifter som ryms inom dessa ändamål och därmed bör anses utgöra brottsbekämpande verksamhet. När denna bedömning görs finns det enligt propositionen skäl att utgå från beskrivningen av polisens uppgifter i 2 § polislagen (1984:387), trots att polisen numera tillämpar en något annan indelning av arbetsuppgifterna. Till Polis- myndighetens uppgifter hör enligt 2 § polislagen att

1.förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten,

2.övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat,

3.utreda och beivra brott som hör under allmänt åtal,

4.lämna allmänheten skydd, upplysningar och annan hjälp, när så- dant bistånd lämpligen kan ges av polisen och

223

En ny lag om behandling av personuppgifter…

SOU 2015:73

5.fullgöra den verksamhet som ankommer på Polismyndigheten enligt särskilda bestämmelser.

Den verksamhet som beskrivs i punkterna 13 avser som huvud- regel brottsbekämpande verksamhet som faller under polisdatalagens tillämpningsområde. Den verksamhet som beskrivs i punkten 4, som brukar kallas polisens serviceverksamhet, och i punkten 5, den s.k. polismyndighetsverksamheten, faller generellt sett utanför polis- datalagens tillämpningsområde. Till polismyndighetsverksamheten räknas till exempel biträde åt andra myndigheter vid tvångsingripan- den.

Till de uppgifter som faller utanför den brottsbekämpande verk- samheten, och därmed inte omfattas av polisdatalagens tillämpnings- område, hör enligt propositionen bland annat hjälpåtgärder inom trafiken, medverkan vid katastrofer och liknande händelser samt åligganden av skilda slag inom området för offentlig förvaltning, till exempel tillstånds- och tillsynsärenden av olika slag (exempelvis av- seende vapen, sprängämnen, offentliga tillställningar och nyttjande av offentlig plats), passärenden och ärenden om delgivning eller annan handräckning. Hit räknas även vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. I propositionen kon- stateras att begreppet allmän ordning och säkerhet under punkten 1 är vittomfattande och svårdefinierat. Den allmänna ordningen och säkerheten kan störas både genom brott och på andra sätt. Sådana polisuppgifter som innebär att polisen förebygger, hindrar och in- griper mot andra störningar av den allmänna ordningen och säker- heten än som innefattar brott kan enligt propositionen inte anses utgöra brottsbekämpande verksamhet i det här sammanhanget. Detsamma gäller övervakning av den allmänna ordningen och säker- heten som inte syftar till att förebygga brott. Den mer renodlade övervakningen och ordningshållande verksamhet som polisen be- driver ska inte betraktas som brottsbekämpande och faller därmed utanför polisdatalagens tillämpningsområde. I propositionen konsta- teras således att vissa uppgifter som omfattas av 2 § 1–3 polislagen inte kan anses utgöra brottsbekämpande verksamhet och därmed inte bör omfattas av polisdatalagens tillämpningsområde.

Som framgår av redogörelsen ovan är gränsen mellan Polismyn- dighetens olika uppgifter inte alltid tydlig. Det medför vissa svårig- heter att avgöra vilken verksamhet på utlännings- och medborgar-

224

SOU 2015:73

En ny lag om behandling av personuppgifter…

skapsområdet som utgör brottsbekämpande verksamhet och därmed faller under polisdatalagens tillämpningsområde och vilken verk- samhet som i stället bör regleras av utlänningsdatalagen.

Polismyndigheten har huvudansvaret för den yttre och inre ut- länningskontrollen. Sveriges fullvärdiga deltagande i Schengensam- arbetet innebar att kontrollen vid s.k. inre gräns, dvs. gräns mot andra Schengenstater som exempelvis Danmark och Norge, i princip upphörde, medan utlänningslagens bestämmelser om kontroll vid yttre gräns, dvs. gräns mot icke-Schengenstat, skärptes bland annat genom att obligatorisk utresekontroll infördes.

När det gäller den yttre utlänningskontrollen anges i en kommentar till polislagen att den övervakning som avses i 2 § 2 polislagen om- fattar bland annat gränsövervakning (Berggren, N. m.fl., Polislagen. En kommentar. 1 april 2014 Zeteo, kommentaren till 2 § polis- lagen). Detta ger intryck av att den personuppgiftsbehandling som utförs i samband med den yttre utlänningskontrollen regleras av polisdatalagen. I sammanhanget bör dock beaktas att den yttre utlän- ningskontrollen har flera syften. Ett av dem är den traditionella gränskontrollen, dvs. att kontrollera den inresandes identitet och att denne uppfyller de krav som ställs för att få resa in i Sverige och vistas här, dvs. att kontrollera att en utlänning uppfyller de formella och materiella kraven enligt utlänningslagen för rätt till inresa och vistelse i Sverige (se SOU 2004:110 s. 126 f.). Här avses framför allt kontroll av att de i utlänningslagen angivna avvisnings- eller utvis- ningsgrunderna inte föreligger (se 8 kap. UtlL).

Ett annat syfte med den yttre utlänningskontrollen är att före- bygga, förhindra och upptäcka brottslig verksamhet, framför allt gränsöverskridande brottslighet, till exempel människohandel. Kon- trollen syftar till att undersöka om utlänningen har eller kan förväntas begå brott, och på så sätt förhindra och bekämpa brottsligheten i Sverige och inom hela Schengenområdet. Kontrollens syfte är också att avvärja hot mot allmän ordning och säkerhet.

Även utresekontrollen har flera syften. Ett av dem är att fast- ställa utlänningens identitet och att kontrollera att utlänningen har giltiga resehandlingar. Kontrollen omfattar en undersökning av att en utlänning inte vistas längre i Sverige eller Schengenområdet än vad han eller hon haft tillstånd till. Ett annat är att fånga upp efter- spanade brottslingar som försöker lämna landet och att hitta efterlyst egendom.

225

En ny lag om behandling av personuppgifter…

SOU 2015:73

Det kan således konstateras att den yttre utlänningskontrollen innehåller moment av olika karaktär. Som ovan anförs är ett av syftena med verksamheten att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten. Den personuppgiftsbehandling som utförs i sådan verk- samhet torde falla under polisdatalagens tillämpningsområde. Den yttre gränskontrollen har emellertid också som ändamål att se till att den som reser in i landet uppfyller villkoren för att få vistas här och att den som begär asyl får sin sak prövad på ett korrekt sätt. Denna typ av verksamhet kan inte sägas utgöra brottsbekämpande verksamhet. Den personuppgiftsbehandling som utförs vid denna typ av kontroll bör i stället falla under utlänningsdatalagens tillämp- ningsområde. En insats kan även innehålla moment av både brotts- bekämpning och utlänningskontroll. Då får polisdatalagen och utlänningsdatalagen tillämpas på respektive verksamhet. Avgörande för gränsdragningen är om det rör sig om brottsbekämpande verk- samhet eller inte.

Enligt 1 § Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre utlänningskontroll en åtgärd som vidtas med stöd av 9 kap. 9 § UtlL. Bestämmelsen föreskriver bland annat en skyldighet för en utlänning att på begäran till en polisman överlämna pass och andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige samt att på kallelse från Polismyndigheten komma till myndigheten och lämna uppgifter. I de allmänna råden i anslutning till 1 § anges att med inre utlänningskontroll avses alla handlingar som syftar till att kontrollera om en utlänning har rätt att uppehålla sig i landet. Därigenom inbegrips inte enbart en uppmaning till utlänningen att visa upp pass eller andra handlingar, utan även till exempel frågor till utlänningen och kontroller i dataregister. I 3 § anges att den inre utlänningskontrollen ska inriktas mot att över- vaka att utlänningar inte vistas eller arbetar här i landet utan att uppfylla föreskrivna villkor och att efterspana utlänningar för vilka det finns ett beslut om avvisning eller utvisning som ska verkställas. Av 4 § följer att kontrollen ska bedrivas över hela det svenska terri- toriet och vara en integrerad del av Polismyndighetens olika verk- samhetsgrenar. Det bör i sammanhanget uppmärksammas att inre utlänningskontroll enligt 9 kap. 9 § tredje stycket UtlL endast får ske om det finns grundad anledning att anta att utlänningen saknar

226

SOU 2015:73

En ny lag om behandling av personuppgifter…

rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll. Avslutningsvis anges i föreskrifterna, under rubriken Övrigt, att utöver inre utlänningskontroll bör Polismyn- dighetens uppgift att utreda brott, inklusive brott mot utlännings- lagen, beaktas. Denna arbetsuppgift kan utföras både vid in- och utresa över yttre gräns och i anslutning till inre gräns likväl som på det svenska territoriet i övrigt. En kontroll av en misstänkt person under en förundersökning görs ytterst i syfte att lagföra den miss- tänkte för brottet. Om en kontroll görs eller straffprocessuella tvångsmedel enligt 24–28 kap. rättegångsbalken används under en förundersökning med anledning av misstanke om brott, är det inte att betrakta som en inre utlänningskontroll och inte heller som per- sonkontroll vid in- och utresa över svensk gräns.

Enligt ovan angivna föreskrifter är syftet med den inre utlän- ningskontrollen att kontrollera om en utlänning har rätt att uppe- hålla sig i landet. Den inre utlänningskontrollen kan emellertid också ha ett brottsbekämpande syfte. Schengensamarbetet innebär att de inre gränskontrollerna i princip har avskaffats. Människosmuggling och annan gränsöverskridande brottslighet ska i stället förhindras genom kompensatoriska åtgärder. Med sådana åtgärder avses bland annat den inre utlänningskontrollen (se SOU 2004:110 s. 62). I de ovan angivna föreskrifterna anges i de allmänna råden i anslutning till 4 § att den inre utlänningskontrollen är en viktig kompensa- torisk åtgärd för avskaffandet av gränskontrollen mellan de länder som deltar i det operativa Schengensamarbetet.

Av redogörelsen ovan framgår att det även när det gäller den inre utlänningskontrollen är svårt att dra en tydlig gräns mellan den brottsbekämpande verksamheten och Polismyndighetens utlännings- verksamhet. Den inre utlänningskontrollen innefattar olika typer av verksamhet. Polismyndigheten genomför personkontroller för att hitta personer som saknar rätt att vistas i landet på grund av att er- forderliga tillstånd enligt utlänningslagen saknas, personer som har begått brott eller personer som håller sig undan verkställighet av avvisnings- eller utvisningsbeslut. Polismyndigheten utför arbets- platskontroller i samverkan med Skatteverket och ibland även med Försäkringskassan för att motverka illegalt arbete. Inre utlännings- kontroll sker också till exempel i samband med en trafikkontroll, i samband med ett ingripande eller i samband med en brottsutredning.

227

En ny lag om behandling av personuppgifter…

SOU 2015:73

Även den inre utlänningskontrollen kan således ha flera ändamål. Ett är att kontrollera invandringen. Detta sker bland annat genom kontroll av att en utlänning innehar de tillstånd, dvs. visering, uppe- hållstillstånd eller arbetstillstånd, som krävs och efterspaning av utlänningar för vilka det finns ett avvisnings- eller utvisningsbeslut. Sådan verksamhet torde inte utgöra gränsövervakning som innebär polisverksamhet enligt 2 § 2 polislagen. Personuppgiftsbehandling som sker inom denna verksamhet bör i stället regleras av utlännings- datalagen. En annan del av den inre utlänningskontrollen är att före- bygga, förhindra och upptäcka brottslig verksamhet, dvs. brotts- bekämpande verksamhet. Personuppgiftsbehandling som förekommer i sådan verksamhet omfattas av polisdatalagen. En polisinsats kan även innehålla moment av både utlänningskontroll och brottsbe- kämpning. Det medför att de båda lagarna får tillämpas parallellt.

Polismyndigheten utför vidare personuppgiftsbehandling inom verksamhet som avser verkställighet av beslut om förvar, avvisning, utvisning, utlämning eller överföring enligt utlänningslagstiftningen. När Polismyndigheten är handläggande myndighet enligt utlän- ningslagen får myndigheten fatta beslut om förvar och uppsikt.

I gränspolisverksamheten förs en särskild förteckning, s.k. för- varsliggare, över de personer som sitter frihetsberövade till följd av ett förvarsbeslut. En förvarsliggare innehåller olika uppgifter som till exempel namn, medborgarskap och till vilket land ett visst beslut ska verkställas. Men liggaren kan även innehålla känsliga person- uppgifter som exempelvis uppgifter om en persons hälsotillstånd. Syftet med förvarsliggare är bland annat att bevaka olika tidsgränser som kan gälla för förvarsbeslut, ge information om vilket offentligt biträde som har utsetts för den förvarstagne personen eller i övrigt informera om ärendets handläggning (exempelvis om en resa är be- ställd eller om beslutet är överklagat).

Ett annat exempel på när Polismyndigheten själv behandlar och även lämnar ut uppgifter till andra myndigheter är när myndigheten beställer resor för utlänningar, vanligtvis från Kriminalvårdens Natio- nella transportenhet (NTE). NTE (och det företag som NTE upp- handlat för medicinsk vård) informeras då i vissa fall om den en- skildes hälsotillstånd. Informationen syftar till att säkerställa att den enskilde får adekvat medicinsk vård både på resan och efter hemkomsten. I vissa fall kräver även utländska myndigheter att

228

SOU 2015:73

En ny lag om behandling av personuppgifter…

Polismyndigheten informerar om hälsotillståndet hos de personer som ska återvända till ett särskilt land.

Polismyndighetens ovan nämnda åligganden i form av verkställig- het av beslut utgör en del av polismyndighetsverksamheten enligt 2 § 5 polislagen som faller utanför polisdatalagens tillämpningsom- råde. Personuppgiftsbehandling som utförs inom denna verksamhet bör därför regleras av utlänningsdatalagen.

Säkerhetspolisen

Även Säkerhetspolisen utför vissa uppgifter som regleras i utlännings- lagstiftningen. I huvudsak finns bestämmelser härom i utlännings- lagen, lagen om särskild utlänningskontroll och lagen om svenskt medborgarskap.

Av 1 kap. 7 § UtlL framgår vilka ärenden som utgör s.k. säker- hetsärenden enligt den lagen. Det är ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlännings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en ut- länning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas.

Av 12 kap. 14 § UtlL följer vidare att Säkerhetspolisen ska verk- ställa beslut om avvisning eller utvisning i säkerhetsärenden. När Säkerhetspolisen fullgör en sådan uppgift är myndigheten handläg- gande myndighet enligt 10 kap. 13 § andra stycket UtlL från det att myndigheten tar emot ett beslut om avvisning eller utvisning för verkställighet till dess beslutet har verkställts. Det innebär att Säker- hetspolisen kan fatta beslut om till exempel omhändertagande av pass enligt 9 kap. 5 § UtlL samt om förvar och uppsikt enligt 10 kap. UtlL.

Enligt 14 kap. 11 § UtlL får Säkerhetspolisen vidare överklaga Migrationsverkets beslut i fråga om avvisning, utvisning, uppehålls- tillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende.

229

En ny lag om behandling av personuppgifter…

SOU 2015:73

Säkerhetspolisen kan även fatta andra beslut eller vidta andra åt- gärder enligt utlänningslagen när Säkerhetspolisen leder polisverk- samhet, se 3 § andra stycket polislagen.

Säkerhetspolisen får enligt 2 § lagen om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket. Säkerhetspolisen är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande. Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, av- visning eller utvisning i säkerhetsärenden (8 a §, 9 § och 13 § lagen om särskild utlänningskontroll). Även andra bestämmelser i lagen kan bli tillämpliga för Säkerhetspolisen.

När det till sist gäller medborgarskap kan Säkerhetspolisen föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet, se 27 § lagen om svenskt medborgar- skap. Migrationsverkets beslut i ett sådant säkerhetsärende får över- klagas av Säkerhetspolisen.

En mycket stor del av den ovan beskrivna verksamheten får enligt utredningens bedömning anses höra till Säkerhetspolisens brotts- bekämpande verksamhet, som regleras av polisdatalagen. Som fram- går av 5 kap 1 § PDL får således personuppgifter behandlas i Säker- hetspolisens brottsbekämpande verksamhet om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar a) brott mot rikets säkerhet, b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall eller d) tryckfrihetsbrott och yttrande- frihetsbrott med rasistiska eller främlingsfientliga motiv,

2.utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3.fullgöra uppgifter i samband med personskydd,

4.fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5.fullgöra förpliktelser som följer av internationella åtaganden eller

6.lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndig- heten, Åklagarmyndigheten eller Tullverket.

230

SOU 2015:73

En ny lag om behandling av personuppgifter…

Regleringen i polisdatalagen av primära ändamål för personupp- giftsbehandling skiljer sig mellan Polismyndigheten och Säkerhets- polisen (se prop. 2014/15:94 s. 83 f.). För Säkerhetspolisens del är uppräkningen av primära ändamål mera detaljerad och omfattar även uppgifter som bara är brottsbekämpande i vid mening. Med brotts- bekämpande verksamhet i polisdatalagen avses som tidigare nämnts sådan verksamhet som syftar till att förebygga, förhindra eller upp- täcka brottslig verksamhet eller till att utreda eller beivra brott. Enligt förarbetena i samband med polisens omorganisation anses all verksamhet hos Säkerhetspolisen i någon mening vara brottsbekäm- pande (se prop. 2013/14:110 s 480 f.)

Även om de områden där Säkerhetspolisen bedriver verksamhet enligt 3 § polislagen torde omfattas av ändamålsbestämmelserna i 5 kap. PDL anser utredningen att det inte kan uteslutas att Säker- hetspolisen även utför viss verksamhet där något brottsbekämpan- de inslag inte finns. Exempel på sådana situationer kan vara vissa verkställighetsärenden av Migrationsverkets beslut om avvisning eller utvisning. Den personuppgiftsbehandling som förekommer i samband torde därmed inte regleras polisdatalagen. För dessa fall bör den nya utlänningsdatalagen vara tillämplig. I annat fall skulle personuppgiftslagen bli tillämplig, vilket skulle försvåra behand- lingen av känsliga personuppgifter.

I avsnitt 7.15 tar utredningen upp frågan om bland annat Säker- hetspolisens direktåtkomst till Migrationsverkets personuppgifter.

Sammanfattning

Sammanfattningsvis bör utlänningsdatalagen vara tillämplig vid be- handling av personuppgifter i Polismyndighetens och Säkerhets- polisens verksamhet som inte är hänförlig till brottsbekämpning och som rör kontroll av utlänningar i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Detta överensstämmer med den reglering som gäller i dag.

231

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.3.5Vilken personuppgiftsbehandling faller utanför lagens tillämpningsområde?

Viss personuppgiftsbehandling som Migrationsverket, utlandsmyn- digheterna, Polismyndigheten och Säkerhetspolisen utför på utlän- nings- och medborgarskapsområdet regleras av annan lagstiftning. Det gäller bland annat den personuppgiftsbehandling som sker med stöd av lagen (2000:344) om Schengens informationssystem och EU-förordningar. Dessa undantag kommer att utvecklas närmare i avsnitt 7.4.

Som beskrivs närmare i avsnitt 7.3.4 faller även Polismyndig- hetens och Säkerhetspolisens personuppgiftsbehandling i den brotts- bekämpande verksamheten utanför den föreslagna lagens tillämp- ningsområde. Se vidare även härom i avsnitt 7.4.

Vidare bör nämnas att personuppgiftsbehandling i samband med de ovan nämnda myndigheternas interna administration inte bör reg- leras av utlänningsdatalagen. Hos myndigheter finns behov av att behandla uppgifter för rent administrativa ändamål, som inte har samband med något enskilt ärende eller annan sådan verksamhet som avses enligt föregående avsnitt. Det kan röra sig om behandling av personuppgifter om anställda och arbetssökande, men även till exem- pel uppdragstagare eller leverantörer. Enligt utredningens bedöm- ning kräver denna verksamhet ingen särreglering utan personupp- giftslagens bestämmelser ger ett tillräckligt skydd och en tillräcklig möjlighet att behandla personuppgifter på ett ändamålsenligt sätt.

232

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.4Undantag från lagens tillämpningsområde

Utredningens förslag: Lagen ska inte tillämpas när personupp- gifter behandlas med stöd av

1.lagen (2000:344) om Schengens informationssystem,

2.Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om vise- ringar för kortare vistelse (VIS-förordningen)(1),

3.Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),

4.polisdatalagen (2010:361) eller

5.Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ända- mål, samt om ändring av förordning (EU) nr 1077/2011 om in- rättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ PUL om rättelse m.m. och skade- stånd i den mån inte annat följer av den förordningen.

De länder som deltar i Schengensamarbetet har ett gemensamt in- formationssystem, Schengens informationssystem (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. SIS II är en ny version av det

233

En ny lag om behandling av personuppgifter…

SOU 2015:73

ursprungliga SIS som tog i bruk den 9 april 2013. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll. Den svenska enheten av Schengens infor- mationssystem regleras i lagen (2000:344) om Schengens informa- tionssystem och förordningen (2000:836) om Schengens informa- tionssystem. Polismyndigheten ska med hjälp av automatiserad behandling föra ett register som ska vara den svenska delen av SIS (1 § lagen om Schengens informationssystem). I lagen regleras bland annat bestämmelser om för vilka ändamål uppgifter i registret får behandlas, vilka uppgifter som får registreras och förbud mot registre- ring av känsliga personuppgifter. Syftet med SIS II är att främja samarbete som avser polisära och rättsliga frågor, men också som hjälpmedel för att avgöra om en person ska nekas tillträde till eller uppehållstillstånd i Schengenstaterna (2 §). Den personuppgifts- behandling som Polismyndigheten utför med stöd av lagen träffas av beskrivningen av utlänningsdatalagens tillämpningsområde. I utlän- ningsdatalagen bör det därför införas en reglering som anger att lagen om Schengens informationssystem har företräde i händelse av en kollision.

Det finns vidare ett antal EU-förordningar som reglerar sådan verksamhet som i och för sig motsvarar den verksamhet som faller under utlänningsdatalagens tillämpningsområde.

VIS är EU:s gemensamma informationssystem för viseringar. Användningen av VIS regleras i Europaparlamentets och rådets för- ordning (EG) nr 767/2008 av den 9 juli 2008 om informations- systemet för viseringar och utbytet mellan medlemsstaterna av upp- gifter om viseringar för kortare vistelse, (VIS-förordningen)(1). Migrationsverket är registeransvarigt och har centralt ansvar för Sveriges behandling av personuppgifter i VIS enligt artikel 41.4 VIS- förordningen.

Sedan införandet av Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemensam viseringskodex (viseringskodexen) handläggs viseringsansökningar som huvudregel av utlandsmyndigheterna. Även Polismyndigheten får med stöd av viseringskodexen handlägga vissa viseringsansökningar.

De ovan nämnda myndigheternas behandling av personuppgifter i VIS regleras i princip uteslutande genom viseringskodexen och VIS-förordningen. Undantagen behandlas nedan.

234

SOU 2015:73

En ny lag om behandling av personuppgifter…

Migrationsverket är vidare kontaktmyndighet i frågor som rör EU:s databas för identifiering av fingeravtryck, Eurodac. Syftet med Eurodac är att fastställa vilken medlemsstat som ska vara ansvarig för att pröva en ansökan om internationellt skydd som en tredje- landsmedborgare eller statslös person lämnar in i en medlemsstat. Varje medlemsstat är skyldig att ta fingeravtryck av en person som ansöker om internationellt skydd och som är 14 år eller äldre och överföra uppgifterna tillsammans med vissa andra uppgifter till EU:s centrala system. Behandlingen av uppgifter i Eurodacsystemet regleras fram till den 20 juli 2015 av Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen och därefter av Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jäm- förelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om inter- nationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlems- staternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom om- rådet frihet, säkerhet och rättvisa (omarbetning).

Den behandling av personuppgifter som ovan nämnda myndig- heter utför enligt viseringskodexen, VIS-förordningen och Eurodac- förordningen hade i och för sig kunnat falla inom utlänningsdata- lagens tillämpningsområde. Som framgår av avsnitt 6.5 blir en EU- förordning, när den trätt i kraft, automatiskt en del av medlems- statens nationella rättssystem. Medlemsstaterna får inte vidta några implementeringsåtgärder, utan förordningen ska tillämpas i sin ursprungliga form. De ovan nämnda förordningarnas bestämmelser om behandling av personuppgifter har därför inte införlivats i den nuvarande utlänningsdataförordningen, och får således inte heller införlivas i den nya utlänningsdatalagen. Behandling av personupp- gifter med stöd av förordningarna bör därför, med undantag för vad som anges nedan, inte omfattas av utlänningsdatalagens tillämp- ningsområde.

235

En ny lag om behandling av personuppgifter…

SOU 2015:73

Av EU-domstolens praxis följer att EU-rätten har företräde fram- för nationell rätt (se avsnitt 6.5). I de fall det finns bestämmelser om personuppgiftsbehandling i en EU-förordning ska dessa be- stämmelser således ha företräde framför bestämmelser i svensk lag eller förordning. Någon uttrycklig bestämmelse om det i utlän- ningsdatalagen krävs egentligen inte. I förtydligande syfte bör dock i lagen uttryckligen anges att personuppgiftsbehandling enligt VIS- förordningen, viseringskodexen och Eurodac-förordningen faller utanför den föreslagna lagens tillämpningsområde.

Polismyndighetens och Säkerhetspolisens personuppgiftsbehand- ling i brottsbekämpande verksamhet regleras av polisdatalagen. Gräns- dragningen mellan brottsbekämpande verksamhet och Polismyndig- hetens och Säkerhetspolisens verksamhet enligt utlännings- och med- borgarskapslagstiftningen behandlas i avsnitt 7.3.4. För att undvika överlappande lagstiftning bör det i utlänningslagen införas en bestäm- melse som tydliggör att behandling av personuppgifter som regleras av polisdatalagen faller utanför utlänningsdatalagens tillämpnings- område.

Enligt 15 § andra meningen nuvarande utlänningsdataförordning ska bestämmelserna i 28 § och 48 § PUL om rättelse och skadestånd tillämpas vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.

Artikel 38.2 i VIS-förordningen reglerar korrigering och radering av uppgifter. Enligt bestämmelsen får var och en begära att oriktiga uppgifter om honom eller henne korrigeras och att uppgifter som har registrerats på olagligt sätt raderas. Denna korrigering eller rade- ring ska utföras utan dröjsmål av den ansvariga medlemsstaten i enlighet med dess författningar. I svensk rätt finns allmänna bestäm- melser om rättelse, blockering och utplåning av personuppgifter i 28 § PUL. Där föreskrivs att den personuppgiftsansvarige är skyl- dig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I lagtexten anges inte vilken av de alternativa metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Av detta följer att det i princip är den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som själv får välja vilken av metoderna som ska tillämpas i det enskilda fallet (se prop. 1997/98:44 s. 86). I 28 § PUL föreskrivs vidare att den person-

236

SOU 2015:73

En ny lag om behandling av personuppgifter…

uppgiftsansvarige ska underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller då mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon underrättelse be- höver emellertid inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Enligt VIS-förordningens bestämmelser ska korrigering och radering av personuppgifter utföras i enlighet med nationella bestäm- melser. Personuppgiftslagens bestämmelse om rättelse gäller enligt sin ordalydelse endast vid behandling som skett i strid mot person- uppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I utlänningsdatalagen bör därför införas en uttrycklig hänvis- ning till 28 § PUL.

Det följer av artikel 33 i VIS-förordningen att de nationella bestämmelserna om skadestånd är tillämpliga när det gäller skade- ståndsanspråk mot en medlemsstat för skada till följd av otillåten behandling eller av något annat handlande som är oförenligt med bestämmelserna i förordningen. Eftersom skadeståndsbestämmelsen i personuppgiftslagen enligt sin ordalydelse endast gäller vid behand- ling av personuppgifter i strid mot bestämmelserna i den lagen, bör det i utlänningsdatalagen även införas en bestämmelse som hänvisar till personuppgiftslagens bestämmelse om skadestånd. Personupp- giftslagens bestämmelse avser endast skadestånd till den registrerade, medan VIS-förordningens krets av skadeståndsberättigade är betyd- ligt vidare och omfattar bland annat varje person och medlemsstat. Om en ersättningsfråga inte berörs i personuppgiftslagen bör i stället allmänna skadeståndsrättsliga regler i skadeståndslagen (1972:207) tillämpas.

7.5Den registrerades inställning

Utredningens förslag: Behandling av personuppgifter som är tillåten enligt utlänningsdatalagen ska få utföras även om den enskilde motsätter sig den.

Enligt 1 § tredje stycket nuvarande utlänningsdataförordning har en registrerad inte rätt att motsätta sig behandling av personuppgifter enligt förordningen. Bestämmelsen ska ses mot bakgrund av arti-

237

En ny lag om behandling av personuppgifter…

SOU 2015:73

kel 14 a Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som föreskriver att den enskilde i vissa fall ska garanteras en rätt att motsätta sig en personuppgifts- behandling, om inte annat föreskrivs i nationell lagstiftning. I verk- samhet enligt utlännings- och medborgarskapslagstiftningen finns behov av att behandla personuppgifter även om den enskilde mot- sätter sig sådan behandling. I utlänningsdatalagen bör det därför införas en bestämmelse av vilken det framgår att personuppgifts- behandling som är tillåten enligt lagen får utföras även om den en- skilde motsätter sig den.

7.6Förhållandet till personuppgiftslagen

Utredningens förslag: Utlänningsdatalagen ska gälla i stället för personuppgiftslagen inom sitt tillämpningsområde. I lagen hän- visas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter enligt lagen.

Personuppgiftslagen är generellt tillämplig på all behandling av per- sonuppgifter. Av 2 § PUL följer dock att om det i annan lag eller förordning finns bestämmelser som avviker från lagen ska de bestäm- melserna gälla. Bestämmelserna i den nya lagen kommer således som huvudregel att ha företräde framför personuppgiftslagens bestäm- melser. Finns inga särskilda bestämmelser i lagen ska dock person- uppgiftslagens bestämmelser gälla. Frågan är hur de bestämmelser i personuppgiftslagen som ska gälla även för personuppgiftsbehand- ling i verksamhet enligt utlännings- och medborgarskapslagstift- ningen ska infogas i den nya lagen. I tidigare lagstiftning har olika lösningar valts.

En modell är att ange att den särskilda författningen gäller utöver personuppgiftslagen eller att inte över huvud taget nämna person- uppgiftslagen i särlagstiftningen. Det innebär att personuppgifts- lagens bestämmelser automatiskt blir tillämpliga när den särskilda författningen inte innehåller någon särbestämmelse. Metoden har använts i bland annat i patientdatalagen och studiestödsdatalagen (2009:287). Metoden har kritiserats, eftersom det anses vara svårt

238

SOU 2015:73

En ny lag om behandling av personuppgifter…

för den som ska tillämpa lagen att klart och tydligt se vilka bestäm- melser i personuppgiftslagen som är tillämpliga.

En annan modell är en heltäckande modell som innebär att de bestämmelser i personuppgiftslagen som ska vara tillämpliga anges uttryckligen i registerförfattningen. Denna typ av reglering har till exempel valts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Fördelen med denna modell är att alla relevanta bestämmelser framgår direkt av lagen. Nackdelen är att identiska bestämmelser upprepas i flera olika författningar och att lagtexten blir omfattande.

Ett tredje sätt är att utöver de bestämmelser som avviker från personuppgiftslagen hänvisa till de lagrum i personuppgiftslagen som är tillämpliga.

I förarbetena till polisdatalagen anges att fördelen med den hel- täckande modellen är att tillämparen snabbt kan få klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen (se prop. 2009/10:85 s. 80). Problemet är att det i viss mån blir dubbelreglering, eftersom personuppgiftslagen ändå gäller och att lagstiftningen blir omfattande. Som ett alternativ föreslogs i polis- datapropositionen den modell som finns i lagen om Tullverkets brottsbekämpande verksamhet, nämligen reglering genom hänvis- ningar till de lagrum i personuppgiftslagen som är tillämpliga. Det konstaterades i propositionen att Lagrådet inte hade några invänd- ningar mot den valda metoden samt att samma lösning nyligen också har föreslagits för Kustbevakningens personuppgiftsbehandling och för åklagarväsendets personuppgiftsbehandling (se SOU 2006:18 och SOU 2008:87). Fördelarna med en sådan lösning är enligt pro- positionen att lagstiftningen blir mer överskådlig, tydlig och lättilläm- pad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering. För denna modell talar också, enligt propositionen, att det ligger ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet.

Samma argument som anförs ovan rörande polisdatalagen är giltiga även när det gäller utformningen av bestämmelserna i en ny utlänningsdatalag. I den nya lagen bör därför hänvisning göras till

239

En ny lag om behandling av personuppgifter…

SOU 2015:73

de bestämmelser i personuppgiftslagen som är tillämpliga utöver utlänningsdatalagens bestämmelser.

7.7Tillämpliga bestämmelser i personuppgiftslagen

Utredningens förslag: Följande bestämmelser i personuppgifts- lagen ska tillämpas på motsvarande sätt vid behandling av person- uppgifter enligt utlänningsdatalagen eller enligt föreskrifter som meddelats i anslutning till lagen:

1.definitioner (3 §),

2.förhållandet till offentlighetsprincipen (8 §),

3.grundläggande krav på behandlingen av personuppgifter (9 §),

4.behandling av uppgifter om personnummer (22 §),

5.information till den registrerade (23 och 25–27 §§),

6.rättelse (28 §),

7.säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket),

8.överföring av personuppgifter till tredjeland (33–35 §§),

9.personuppgiftsombudets uppgifter m.m. (38–41 §§),

10.upplysningar till allmänheten om vissa behandlingar (42 §),

11.tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket och 47 §),

12.skadestånd (48 §) och

13.överklagande (51 § första stycket, 52 § första stycket och 53 §).

Om personuppgifter ska gallras enligt utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Datainspektionen ska inte kunna förena ett förbud att utföra viss behandling med vite.

240

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.7.1Definitioner

I 3 § PUL finns definitioner av vissa för personuppgiftsbehandling grundläggande begrepp, bland annat behandling, personuppgift, personuppgiftsansvarig, den registrerade och samtycke. Med behand- ling (av personuppgifter) avses till exempel varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Exempel på detta är insamling, registre- ring, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, sprid- ning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Definitionerna i 3 § PUL gäller vid personuppgiftsbehandling med stöd av nuvarande utlän- ningsdataförordning. Det har inte framkommit skäl att ändra på denna ordning. Vidare är det lämpligt att de begrepp som används i den nya lagen har samma innebörd som i personuppgiftslagen. En hänvisning till 3 § PUL bör därför tas in i den nya lagen.

7.7.2Förhållande till offentlighetsprincipen

Av 8 § första stycket PUL följer att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyl- dighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsför- ordningen (TF). I 2 kap. TF finns bestämmelser om allmänna hand- lingars offentlighet. Även om grundlagens bestämmelser alltid har företräde framför bestämmelser i vanlig lag, anfördes i förarbetena till personuppgiftslagen att det i klargörande syfte bör tas in en bestämmelse som uttryckligen anger detta förhållande i lagen (se prop. 1997/98:44 s. 46). För tydlighetens skull bör en hänvisning till 8 § första stycket PUL göras i den nya lagen. En myndighet är således alltid skyldig att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser. Tryckfrihetsförord- ningen innebär dock ingen skyldighet för en myndighet att lämna ut uppgifter i elektronisk form.

I 8 § andra stycket PUL anges att bestämmelserna i personupp- giftslagen inte hindrar att en myndighet arkiverar och bevarar allmän- na handlingar eller att arkivmaterial tas om hand av en arkivmyndig-

241

En ny lag om behandling av personuppgifter…

SOU 2015:73

het. I förarbetena till personuppgiftslagen anges att bestämmelsen rör det bevarande av allmänna handlingar som utgör en förutsätt- ning för att offentlighetsprincipen i 2 kap. TF ska kunna uppfylla sina syften (se prop. 1997/98:44 s. 118).

Som ovan angetts finns det i nuvarande utlänningsdataförord- ning med undantag för en särbestämmelse avseende fingeravtrycks- registret inga bestämmelser om gallring. Utgångspunkten är således att allmänna handlingar i verksamhet enligt utlännings- och med- borgarskapslagstiftningen som omfattas av utlänningsdataförord- ningen ska bevaras. Utredningen gör i avsnitt 7.16.2 därför bedöm- ningen att utgångspunkten även fortsättningsvis bör vara att arkiv- lagens (1990:782) bestämmelser om bevarande ska gälla i den nya utlänningsdatalagen. Om det i särförfattningar för myndigheters behandling av personuppgifter saknas gallringsbestämmelser, tilläm- pas arkivlagens bestämmelser om bevarande som huvudprincip och gallring som undantag. Någon särskild bestämmelse om bevarande behövs således egentligen inte i utlänningsdatalagen. I klargörande syfte bör dock en hänvisning till bestämmelserna i 8 § andra stycket PUL tas in i den nya lagen.

Utredningen anser dock att det i den nya lagstiftningen finns behov av gallringsföreskrifter på vissa områden. Som framgår av av- snitt 7.10.3 föreslår utredningen att det även i fortsättningen ska gälla särskilda regler för gallring av uppgifter i Migrationsverkets fingeravtrycks- och fotografiregister. Vidare anser utredningen att särskilda gallringsbestämmelser ska gälla för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämp- lig för framtida uppdrag, se kapitel 8. Utredningen anser också att särskilda bestämmelser om gallring ska gälla för känsliga person- uppgifter som har behandlats för ändamålen tillsyn, kontroll, uppfölj- ning, planering av verksamheten, framställning av statistik eller test- verksamhet, se avsnitt 7.16.2 och 7.17. Av den nya utlännings- datalagen bör det således framgå att 8 § andra stycket PUL inte ska tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

242

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.7.3Grundläggande krav på behandlingen av personuppgifter

I 9 § PUL föreskrivs vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att person- uppgifter behandlas bara om det är lagligt och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed (a och b). Vad som är god sed vid behandling av personuppgifter får enligt förarbetena till personuppgiftslagen avgöras i rättstillämp- ningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisa- tioner eller andra representativa sammanslutningar och hur ansvars- fulla personuppgiftsansvariga som regel beter sig (se prop. 1997/98:44 s. 143). Den nya lagen bör hänvisa till 9 § första stycket a) och b) PUL.

Personuppgifter får bara samlas in för särskilda, uttryckligt an- givna och berättigade ändamål (c). Bestämmelsen innebär att ända- målen med en behandling måste bestämmas redan när uppgifterna samlas in (se SOU 1997:39 s. 350, prop. 1997/98:44 s 120 f.) Det bör göras en hänvisning även till denna bestämmelse i personupp- giftslagen.

Efter insamlingen får uppgifterna inte behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in (d). I denna bestämmelse kommer den s.k. finalitetsprincipen till uttryck. Bestämmelsen är av central betydelse vid behandling av personupp- gifter. Den innebär att vidarebehandling av redan insamlade person- uppgifter inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Utredningen kommer att i av- snitt 7.9 föreslå att den nya lagen bör ange vissa primära och sekun- dära ändamål, att de primära ändamålen ska vara uttömmande samt att vidarebehandling ska vara tillåten förutsatt att behandlingen inte är oförenlig med insamlingsändamålet. Vad som är oförenligt med de ursprungliga ändamålen får enligt förarbetena till personuppgifts- lagen bestämmas genom praxis och kompletterande föreskrifter (se SOU 1997:39 s. 351). Det bör finnas en hänvisning även till 9 § första stycket d PUL.

Personuppgifterna ska vidare vara adekvata och relevanta i för- hållande till ändamålen med behandlingen (e). Den personuppgifts-

243

En ny lag om behandling av personuppgifter…

SOU 2015:73

ansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (h). Enligt utred- ningen bör den nya lagen hänvisa även till dessa bestämmelser i personuppgiftslagen.

Av 9 § första stycket i PUL följer slutligen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Denna bestämmelse har betydelse för hur personuppgifter som behandlas elektroniskt ska arkiveras och gallras. Personuppgiftslagen innehåller två undantag från bestämmelsen. För det första hindrar personuppgiftslagens be- stämmelser aldrig att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket PUL). För det andra följer det av 9 § tredje stycket PUL att personuppgifter får bevaras under längre tid än som anges i punkten i, om bevarandet sker för historiska, statistiska eller veten- skapliga ändamål. Detta undantag gäller för alla personuppgifter, oavsett om det rör sig om uppgifter i en allmän handling eller inte.

Som utredningen närmare kommer att utveckla i avsnitt 7.16 gäller för närvarande arkivlagens regler om bevarande och gallring för personuppgifter på det aktuella verksamhetsområdet, både de som behandlas helt eller delvis automatiserat och de som behandlas manuellt. Utgångspunkten är således att allmänna handlingar ska bevaras. För personuppgifter som inte är allmänna handlingar gäller däremot bestämmelserna i 9 § första stycket i och tredje stycket PUL, dvs. de ska som huvudregel förstöras om de inte längre är nödvändiga för det ändamål de behandlas för. Av skäl som redo- visas närmare i avsnitt 7.16.2 anser utredningen att den nuvarande ordningen bör upprätthållas även i den nya lagen. Utredningen före- slår dock särskilda bestämmelser om avskiljande av personuppgifter som inte längre behövs i den löpande verksamheten (se avsnitt 7.16.2). Avskiljande får inte innebära att uppgifterna gallras.

En stor del av den personuppgiftsbehandling som den nya lagen ska reglera torde avse uppgifter i allmänna handlingar. Det enklaste sättet att reglera frågan om bevarande och gallring skulle därför eventuellt vara att i utlänningsdatalagen bara hänvisa till 8 § andra

244

SOU 2015:73

En ny lag om behandling av personuppgifter…

stycket PUL. En hänvisning till den bestämmelsen innebär att person- uppgifter i allmänna handlingar kan bevaras elektroniskt och be- handlas för arkivering utan hinder av personuppgiftslagen. Det kan dock förekomma fall av automatiserad personuppgiftsbehandling som inte rör uppgifter i allmänna handlingar. För att regleringen ska bli heltäckande bör därför en hänvisning till bestämmelserna i 9 § första stycket i) och tredje stycket PUL också göras. Det inne- bär att personuppgifter som inte finns i en allmän handling kan bevaras elektroniskt så länge det är nödvändigt med hänsyn till ända- målen med behandlingen eller om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål. Därefter ska uppgiften för- störas.

Av 9 § andra stycket PUL följer att senare behandling som sker för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Som anges ovan får enligt tredje stycket sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Fjärde stycket föreskriver att personuppgifter som behandlas för histo- riska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. En hänvisning bör finnas i den nya lagen även till dessa bestämmelser i personuppgiftslagen.

7.7.4Behandling av personnummer

Enligt 22 § PUL får uppgifter om personnummer eller samordnings- nummer behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får dock fritt besluta hur de materiella regler- na ska utformas. Bestämmelsen i personuppgiftslagen har utformats med motsvarande bestämmelse i den tidigare datalagen (1973:289) som förebild.

Uppgift om personnummer eller samordningsnummer utgör inte en känslig personuppgift enligt personuppgiftslagens definition,

245

En ny lag om behandling av personuppgifter…

SOU 2015:73

men är ändå en typ av uppgift som bör behandlas med försiktighet. Bestämmelsen i 22 § PUL ger uttryck för att behandlingen av person- nummer och samordningsnummer bör vara restriktiv och föregås av en avvägning mellan behovet och de integritetsrisker som behand- lingen innebär.

I nuvarande utlänningsdataförordning finns inga särskilda bestäm- melser som rör personnummer och samordningsnummer. Person- uppgiftslagens bestämmelser är således tillämpliga i verksamhet inom utlännings- och medborgarskapslagstiftningen. Vikten av en säker identifiering medför att personnummer och samordningsnummer ofta måste behandlas i den verksamhet som omfattas av utlännings- datalagen. Utredningen bedömer därför att det inte bör införas några inskränkningar i rätten att behandla personnummer eller samord- ningsnummer i förhållande till personuppgiftslagens bestämmelse. Den nya lagen bör därför hänvisa till 22 § PUL.

7.7.5Information till den registrerade

Information till den registrerade regleras i 23−27 §§ PUL.

Enligt 23 § PUL ska den personuppgiftsansvarige självmant in- formera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § PUL uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § PUL, lämnas på begäran av den registrerade. Om uppgifter behandlas, ska information lämnas till sökanden om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Sådan infor- mation ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information be- höver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes- anteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart

246

SOU 2015:73

En ny lag om behandling av personuppgifter…

för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om upp- gifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten föreligger enligt 27 § PUL vid sekretess och tystnadsplikt.

Bestämmelserna i 23 och 2527 §§ PUL är redan i dag tillämpliga vid myndigheternas behandling av personuppgifter inom utlännings- och medborgarskapsverksamheten. Annat har inte framkommit än att bestämmelserna bör tillämpas även vid en lagreglering av person- uppgiftsbehandlingen på utlännings- och medborgarskapsområdet. En hänvisning till bestämmelserna bör därför införas i den nya lagen.

Någon hänvisning till 24 § PUL är emellertid inte nödvändig enligt utredningen, eftersom personuppgiftsbehandlingen i den nya lagen är reglerad på sätt som artikel 11 i dataskyddsdirektivet föreskriver, se vidare härom i SOU 2015:39 s. 494 f.

7.7.6Rättelse

Den personuppgiftsansvarige är enligt 28 § PUL skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana person- uppgifter som inte har behandlats i enlighet med lagen eller före- skrifter som har utfärdats med stöd av lagen. Den personuppgifts- ansvarige ska vidare underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade därigenom kan undvikas. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en opropor- tionerligt stor arbetsinsats.

I förarbetena till personuppgiftslagen konstateras att redan bestämmelserna i 9 § första punkten e och g PUL medför en skyl- dighet för den personansvariga myndigheten att vara aktiv för att se till att de behandlade uppgifterna är korrekta (se prop. 1997/98:44 s. 87). Bestämmelsen i 28 § PUL ger dock den registrerade rätt att påkalla den personuppgiftsanvariges aktivitet för att korrigera upp- gifter, som gäller utöver de grundläggande kraven i 9 § PUL. I person- uppgiftslagen anges inte vilken av metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Det är enligt för-

247

En ny lag om behandling av personuppgifter…

SOU 2015:73

arbetena den personuppgiftsansvarige som avgör vilken åtgärd som är lämpligast i varje enskilt fall (se prop. 1997/98:44 s. 87).

Bestämmelsen i 28 § PUL gäller i nuläget vid behandling av person- uppgifter i verksamhet enligt utlännings- och medborgarskapslag- stiftningen. Det är viktigt att det även i fortsättningen finns en möjlig- het för enskilda att se till att personuppgifter som behandlas felak- tigt rättas, blockeras eller utplånas. En hänvisning till 28 § PUL bör därför göras i den nya utlänningsdatalagen. En sådan hänvisning är även nödvändig med hänsyn till dataskyddsdirektivet.

7.7.7Säkerhet vid behandlingen

I 30–32 §§ PUL finns bestämmelser om hur den personuppgifts- ansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Av 30 § följer bland annat att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, ska de bestämmelserna dock ha företräde (30 § tredje stycket). Här avses särskilt bestämmelser om tystnadsplikt och sekre- tess (se prop. 1997/98:44 s. 136). Enligt 30 § andra stycket PUL ska det i fråga om personuppgiftsbiträden finnas ett skriftligt avtal om biträdets behandling för den personuppgiftsansvariges räkning. Det ska i avtalet särskilt föreskrivas att biträdet får behandla person- uppgifter bara i enlighet med instruktioner från den personupp- giftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket PUL. Av 31 § PUL följer bland annat att den personuppgiftsansvarige ska vidta lämpliga tekniska och orga- nisatoriska åtgärder för att skydda behandlade personuppgifter. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behand- lingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Enligt 32 § första stycket PUL får Data- inspektionen i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §.

248

SOU 2015:73

En ny lag om behandling av personuppgifter…

Säkerhetsbestämmelserna är redan tillämpliga vid personuppgifts- behandling i här aktuell verksamhet och de bör gälla även fort- sättningsvis. En hänvisning till bestämmelserna bör alltså föras in i den nya lagen. Undantag bör dock göras för 32 § andra stycket PUL i vilket hänvisas till tillsynsmyndighetens möjlighet att förena förbud med vite. Regler om vite bör enligt allmänna rättsgrundsatser inte tillämpas i förhållandet mellan statliga myndigheter (se prop. 2004/05:164 s. 54, prop. 2006/07:46 s. 105 och 2009/10:85 s. 90). Någon hänvisning till 32 § andra stycket PUL bör därför inte göras i den nya lagen.

7.7.8Överföring av personuppgifter till tredjeland

Allmänt om överföring av personuppgifter till tredjeland

Överföring av personuppgifter till tredjeland regleras i 3335 §§ PUL. Regleringen grundas på bestämmelserna i artikel 25 och 26 i dataskyddsdirektivet och ingresspunkt 5660 till direktivet.

I 33 § PUL finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av person- uppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Med tredjeland avses en stat som inte ingår i EU eller är ansluten till EES, se 3 § PUL.

Från förbudet finns vissa undantag, se 34 § PUL. Av den bestäm- melsen följer att det trots förbudet är tillåtet att föra över person- uppgifter till tredjeland om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig bland annat för rättsliga anspråk ska kunna fastställas, göras gällande eller för- svaras eller vitala intressen för den registrerade ska kunna skyddas. Av bestämmelsen följer vidare att det även är tillåtet att föra över personuppgifter för användning i ett land som har anslutit sig till dataskyddskonventionen.

Enligt 35 § PUL har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bland annat om det behövs med hänsyn till ett viktigt allmänt intresse.

I 8 § andra stycket nuvarande utlänningsdataförordning finns en särskild bestämmelse om överföring av uppgifter till tredjeland. Enligt den bestämmelsen får de personuppgifter som finns i ett rättsfalls-

249

En ny lag om behandling av personuppgifter…

SOU 2015:73

register föras över till en stat som inte ingår i EU eller är ansluten till EES. I övrigt gäller de ovan nämnda bestämmelserna i 3335 §§ PUL vid behandling av personuppgifter inom utlännings- och med- borgarskapsområdet.

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är i dag till betydande del av internationell karaktär och överföring av uppgifter till andra EU- länder eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete och uppfyllande av myndighetsuppdrag.

Det bör inledningsvis anmärkas att informationsutbyten genom direktåtkomst till Migrationsverkets datasystem eller som sker på annat sätt med svenska utlandsmyndigheter belägna i tredjeland enligt utredningens uppfattning inte innebär att personsuppgifter förs över till tredjeland (se artikel 4 i dataskyddsdirektivet som bland annat stadgar att en medlemsstats nationella rätt ska tillämpas även om den registeransvarige inte är etablerad inom medlemsstatens terri- torium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten).

Däremot är det fråga om överföring av uppgifter till ett annat land då utlandsmyndigheten i sin tur i olika situationer lämnar ut personuppgifter till mottagare i tredjeland. Exempel på sådan över- föring är när utlandsmyndigheten begär biträde av lokala s.k. för- troendeadvokater eller andra utomstående. Sådant biträde kan till exempel begäras för att på ort och ställe kontrollera äktheten av vissa handlingar. Ytterligare exempel på överföring av uppgifter till tredjeland är när Migrationsverket i ärenden om återvändande be- höver ordna resehandlingar och mottagande i mottagarlandet. Ett vanligt fall när personuppgifter överförs till tredjeland är vidare när polisen ska verkställa beslut om avvisningar eller utvisningar. Polisen kan då behöva kontakta utländska beskickningar för att kunna fastställa en persons identitet och för att få ut resehandlingar för personen. Olika uppgifter, exempelvis om familjeförhållanden och adresser i utlandet, skickas då över till den utländska beskickningen för att möjliggöra utredningen av identiteten, se bland annat 7 kap. 20 § UtlF. Överföring av personuppgifter till tredjeland sker i sist- nämnda fall normalt utan den enskildes samtycke. Vidare kan polis- en behöva få uppgifter verifierade hos myndigheter i det land där en utlandsmyndighet finns.

250

SOU 2015:73

En ny lag om behandling av personuppgifter…

Utredningens övervägande

Utredningens förslag: Förutom med den registrerades samtycke bör överföring av personuppgifter till tredjeland få ske om det är absolut nödvändig för

1.handläggning av ärenden eller biträde i sådana ärenden,

2.kontroll av utlänning och

3.återsökning av rättslig information.

När det gäller tillhandahållande av information till en utländsk myndighet i tredjeland, se avsnitt 7.9.3.

Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om i vilken utsträckning per- sonuppgifter får överföras till tredjeland.

Internationellt samarbete och informationsutbyte har, som tidigare nämnts, en stor betydelse i verksamhet enligt utlännings- och med- borgarskapslagstiftningen. Det är därför av allmänt intresse att personuppgifter som behandlas enligt utlänningslagstiftningen bör kunna föras över till tredjeland när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt och rimligt sätt. Förslaget till en ny utlänningsdatalagstiftning bör där- för enligt utredningen utformas på ett sådant sätt att den inte hindrar överföring till tredjeland som är befogad utifrån detta allmän- intresse.

Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredjeland, om den registrerade samtycker till det. Om en registrerad i tredjeland exempelvis ansöker om visum vid en utlandsmyndighet, får han eller hon anses ha samtyckt till den över- föring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredjeland som inleder en elektronisk kommunikation med en myndighet i Sverige, exempelvis via e-post eller via ett sär- skilt inrättat elektroniskt ansökningsförfarande, anses ha samtyckt till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredjeland.

I bland finns det även, som ovan nämnts, behov för aktuella myndigheter att överföra personuppgifter till tredjeland oavsett om samtycke till detta föreligger. Så kan exempelvis vara fallet vid

251

En ny lag om behandling av personuppgifter…

SOU 2015:73

utlämnande av personuppgifter till förtroendeadvokater eller andra personer när utlandsmyndigheter i tredjeland biträder svenska myn- digheter med utredning i enskilda ärenden, men även vid återvän- dandeärenden och verkställighetsärenden avseende avvisningar eller utvisningar.

Personuppgifter överförs ibland även till andra EU-länder vid s.k. Joint Return Operations (JRO), dvs. gemensamma återvändar- operationer koordinerade och finansierade genom EU:s gräns- kontrollbyrå Frontex. Anledningen till överföringen av uppgifter är att en medlemsstat som organiserar en insats behöver information om de som ska återvända för att kunna organisera och möjliggöra ett återvändande hos destinationslandet.

Vidare deltar Migrationsverket, Polismyndigheten och de andra myndigheterna som utför verksamhet enligt utlännings- och med- borgarskapslagstiftningen i olika samarbetsorgan rörande asyl- och migrationsfrågor där även tredjeländer medverkar. I dessa fall lämnas dock aldrig några personuppgifter ut. Det rör sig i huvudsak om uppgifter som finns i Migrationsverkets informationssamling Lifos.

Vad nu anförts leder utredningen till slutsatsen att de undan- tagen från förbudet mot överföring av personuppgifter till tredje- land i 34 § PUL och undantaget i utlänningsdataförordningen inte är tillräckliga för att tillgodose all sådan överföring av personupp- gifter som är befogad utifrån ovan nämnda allmänna intressen. Ytterligare undantag behövs alltså i den nya utlänningsdatalagen.

Förutom med den registrerades samtycke anser utredningen att överföring av personuppgifter till tredjeland ska få ske om det är absolut nödvändigt för 1) den överförande myndighetens handlägg- ning av ärende eller biträde i sådana ärenden, 2) kontroll av utlän- ning i samband med inresa och utresa samt kontroll under vistelsen i Sverige och 3) sådan behandling som sker för ändamålet för åter- sökning av avgöranden, rättsutredningar och annan rättslig infor- mation.

Det kompletterande undantaget är enligt utredningens bedöm- ning förenligt med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse, se artikel 26 i dataskyddsdirektivet.

Ett av de sekundära ändamålen i den nya lagstiftningen är tillhanda- hållande av information till en utländsk myndighet, se avsnitt 7.9.3. Den myndigheten kan finnas i tredjeland. Att sådan överföring får

252

SOU 2015:73

En ny lag om behandling av personuppgifter…

ske under vissa förutsättningar följer redan av ändamålsbestäm- melsen. Möjligheten behöver därför inte anges som ett särskilt undantag från förbudet för överföring av personuppgifter till tredje- land.

En fråga som har diskuterats är om personuppgifter kan anses överföras till tredjeland även om de fortsätter att vara under den personuppgiftsansvariges kontroll. Ett exempel på detta är om den personuppgiftsansvarige på en tillfällig resa till tredjeland tar med sig en bärbar dator i vilken personuppgifter dessförinnan lagrats (se SOU 2003:40 s. 247). Enligt utredningen finns det inget stöd för att tolka dataskyddsdirektivet på detta sätt. Utredningen föreslår därför inga undantag från förbudet mot överföring av person- uppgifter till tredjeland som tar sikte på situationer som den nu beskrivna.

Av hänsyn till integritetsintresset bör regeringen eller den myn- dighet som regeringen bestämmer med stöd av 8 kap. 7 § regerings- formen kunna meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.

Eventuella sekretesshinder måste dock alltid övervägas innan per- sonuppgifter lämnas ut till tredjeland, se bland annat SOU 2001:160 s. 66 f. och JO 2012/13 s. 265. I beslutet uttalade JO kritik mot Utrikesdepartementet för brister vid äkthetskontrollen av hand- lingar i ett asylärende. När det gäller sekretess och överföring av personuppgifter till tredjeland, se även SOU 2015:39 s. 483 f.

7.7.9Anmälningsskyldighet och personuppgiftsombud

I 36 § första stycket PUL föreskrivs att behandling som är helt eller delvis automatiserad ska anmälas till tillsynsmyndigheten. Regeln bygger på artikel 18.1 i dataskyddsdirektivet. Artikeln är emellertid bara en huvudregel. Undantag är i viss utsträckning tillåtna. Enligt utredningen finns förutsättningar för att undanta personuppgifts- behandlingen på utlännings- och medborgarskapsområdet från anmälningsskyldighet. Någon hänvisning till 36 § PUL behövs där- för inte.

I avsnitt 7.8 föreslås en särskild bestämmelse med skyldighet för Migrationsverket, Polismyndigheten och Säkerhetspolisen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett

253

En ny lag om behandling av personuppgifter…

SOU 2015:73

sådant ombud utses och entledigas. Den nya lagen bör hänvisa till 38–40 §§ PUL om personuppgiftsombudets uppgifter.

Ett personuppgiftsombud ska enligt 38 § PUL självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister. Har ett personuppgiftsombud anledning att miss- tänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgifts- ombudet anmäla förhållandet till Datainspektionen. Även i övrigt ska personuppgiftsombud samråda med Datainspektionen vid tvek- samhet rörande tillämpningen av utlänningsdatalagen eller de bestäm- melser i personuppgiftslagen som lagen hänvisar till. Av 39 § PUL följer att personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Slutligen har personuppgiftsombuden också till uppgift att hjälpa registrerade att få rättelse när det finns anledning att miss- tänka att behandlade personuppgifter är felaktiga eller ofullstän- diga, se 40 § PUL.

I 41 § PUL anges att regeringen har möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna ordning bör gälla även fortsättningsvis vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Den nya lagen bör därför innehålla en hänvisning till 41 § PUL.

7.7.10Upplysningar till allmänheten

Den personuppgiftsansvarige ska enligt 42 § PUL till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personupp- gifter som inte har anmälts till tillsynsmyndigheten. Upplysningar- na ska omfatta det som en anmälan enligt 36 § första stycket PUL skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyl- dig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

254

SOU 2015:73

En ny lag om behandling av personuppgifter…

Den enskilde bör på ett snabbt och enkelt sätt kunna få besked om vilka behandlingar som utförs i den här aktuella verksamheten även i de fall den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § PUL bör därför tas in i den nya lagen.

7.7.11Tillsynsmyndighetens befogenheter

Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Om Data- inspektionen inte efter en begäran enligt 43 § PUL kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. I tidigare lagstiftning har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. Någon sådan möjlighet finns exempelvis inte i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt polisdatalagen.

Bestämmelserna om Datainspektionens befogenheter är i dag tillämpliga vid personuppgiftsbehandling i här aktuell verksamhet. Enligt gällande rätt finns det således redan en möjlighet för Data- inspektionen att förbjuda myndigheternas personuppgiftsbehand- ling. Denna möjlighet bör finnas även fortsättningsvis. En hänvis- ning bör därför göras också till 43 och 44 §§ PUL.

En annan fråga är om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. Som ovan anförts är huvud- principen att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter. Ett förbud enligt 44 § PUL bör således inte kunna förenas med vite.

Av 45 § första stycket PUL framgår att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse eller om saken är brådskan-

255

En ny lag om behandling av personuppgifter…

SOU 2015:73

de, får Datainspektionen förbjuda behandlingen. Bestämmelsen gäller redan inom verksamheten och bör gälla även fortsättningsvis. En hänvisning till 45 § första stycket bör således göras. Däremot bör den nya lagen inte hänvisa till paragrafens andra stycke eller till 46 §. Dessa båda bestämmelser rör vite.

Enligt 47 § PUL har Datainspektionen rätt att hos allmän för- valtningsdomstol ansöka om att sådana uppgifter som har behand- lats på ett olagligt sätt ska utplånas. Bestämmelsen har sitt ursprung i dataskyddsdirektivet, som anger att varje nationell tillsynsmyn- dighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Av förarbetena till personuppgiftslagen framgår att vid bedömningen kan beaktas om utplånandet skulle innebära stora praktiska svårigheter för den personuppgiftsansvarige eller ett svårt ekonomiskt avbräck (se prop.1997/98:44 s. 142). När det gäller personuppgifter hos myndigheter är det i praktiken inte möjligt att utplåna uppgifter som behövs för handläggningen av ärenden eller som på grund av grundlagsbestämmelser eller lag ska bevaras.

Bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

7.7.12Skadestånd och straff

I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integri- teten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen tillämpas vid behandling enligt nuvarande utlänningsdataförordning och bör gälla även fortsättningsvis. En hänvisning till 48 § PUL bör därför tas in i den nya lagen.

I kapitel 11 behandlar utredningen skadeståndsskyldighet efter kontroll vid Schengenviseringar.

I 49 § PUL föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Behandlingen av personupp- gifter enligt den nya lagen kommer att utföras av personer som är anställda vid statliga myndigheter. De omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Eftersom det är myndigheter som

256

SOU 2015:73

En ny lag om behandling av personuppgifter…

kommer att utföra personuppgiftsbehandlingen, torde det inte bli aktuellt att tillämpa straffbestämmelsen (se prop. 1997/98:97 s. 109). Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i den nya lagen.

7.7.13Överklagande

I 51 § första stycket PUL föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän för- valtningsdomstol. Som anges ovan föreslås Datainspektionen kunna meddela förbud enligt 44 § eller 45 § första stycket PUL. Därmed bör även en hänvisning till 51 § första stycket PUL göras.

Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Datainspektionen bör ges möjlighet att meddela interimistiska beslut i här aktuella fall. Hänvisning i den nya lagen bör därför göras även till 51 § andra stycket PUL.

En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket PUL, överklagas hos allmän förvaltnings- domstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammar- rätten. I förarbetena till dessa bestämmelser anges att det efter in- förandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i sär- skilda registerförfattningar, som hänvisar till personuppgiftslagen (se prop. 2005/06:173 s. 53). Den nya lagen bör således inte inne- hålla någon särskild bestämmelse om överklagande, endast en hän- visning till personuppgiftslagens bestämmelser om överklagande.

7.8Personuppgiftsansvar

7.8.1Allmänt om personuppgiftsansvar

Enligt 3 § PUL är personuppgiftsansvarig den som ensam eller till- sammans med andra bestämmer ändamålet och medlen för behand- lingen av personuppgifter. I registerförfattningar är det vanligt att

257

En ny lag om behandling av personuppgifter…

SOU 2015:73

det anges vem som är personuppgiftsansvarig för den personupp- giftsbehandling som regleras.

I 2 § nuvarande utlänningsdataförordning anges att Migrations- verket är personuppgiftsansvarigt för den behandling av person- uppgifter som verket utför. Verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför. Polismyndig- heten är personuppgiftsansvarig för den behandling som myndigheten utför och Säkerhetspolisen för den behandling som den utför.

7.8.2Utredningens överväganden

Utredningens förslag: Den myndighet som utför en behandling eller som det åligger att utföra en behandling ska vara person- uppgiftsansvarig för behandlingen. Migrationsverket bör även vara personuppgiftsansvarigt för utlandsmyndigheternas automatise- rade personuppgiftsbehandling.

Migrationsverket, Polismyndigheten och Säkerhetspolisen ska vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.

Den personuppgiftsansvarige ska anmäla till Datainspek- tionen när ett personuppgiftsombud utses eller entledigas.

I den nya lagen bör som huvudregel gälla att den som utför själva behandlingen också ska ha personuppgiftsansvaret. Således bör Migrationsverket, Polismyndigheten och Säkerhetspolisen vara per- sonuppgiftsansvariga för den behandling som respektive myndighet utför.

Som framgår ovan gäller för närvarande särskilda regler för utlands- myndigheternas personuppgiftsbehandling. Det kan diskuteras om Migrationsverket även i fortsättningen bör ha personuppgiftsansva- ret för utlandsmyndigheterna. Vid denna bedömning bör beaktas vilken möjlighet Migrationsverket har att utöva kontroll och in- flytande över utlandsmyndigheternas personuppgiftsbehandling, till exempel vilken kontroll verket har över säkerheten vid person- uppgiftsbehandlingen på utlandsmyndigheterna.

De argument som kan framföras mot nuvarande ordning är att det är Utrikesdepartementet som äger och är anvarigt för utlands-

258

SOU 2015:73

En ny lag om behandling av personuppgifter…

myndigheternas lokaler och har ansvar för deras externa avtal. Migrationsverket och utlandsmyndigheterna ingår inte i någon gemensam myndighetsorganisation och Migrationsverket har inte en överordnad roll i förhållande till utlandsmyndigheterna. Efter- som utlandsmyndigheterna är underställda Utrikesdepartementet torde departementet ha bättre möjligheter än Migrationsverket till faktisk kontroll och inflytande över verksamheten.

Det som ändå talar för att nuvarande ordning ska bestå är att det är Migrationsverket som är tekniskt ansvarigt för de datasystem som utlandsmyndigheterna använder vid handläggning av sina vise- ringsärenden och olika tillståndsärenden. Behörigheten till data- systemen Wilma och W2 styrs av Migrationsverket. Uppgifterna hämtas från CUD. Det talar för att ansvaret bör ligga på Migrations- verket. Inget annat har heller framkommit än att nuvarande ordning har fungerat relativt väl. Vidare underlättar det för den enskilde om personuppgiftsansvaret är samlat hos en myndighet. Migrations- verket bör således även i fortsättningen ansvara för utlandsmyndig- heternas behandling av personuppgiftsbehandling enligt utlännings- och medborgarskapslagstiftningen. Ansvaret bör begränsas till ut- landsmyndigheternas automatiserade behandling, eftersom det är sådan behandling som Migrationsverket har möjlighet att utöva kon- troll över. Personuppgiftsansvaret för manuell behandling av person- uppgifter i register bör i stället ligga på utlandsmyndigheterna.

En myndighet har enligt 36 § PUL möjlighet att välja om ett personuppgiftsombud ska utses eller inte. Med hänsyn till omfatt- ningen av personuppgiftsbehandlingen och typen av uppgifter som behandlas inom verksamhet på utlännings- och medborgarskaps- området anser utredningen att det vore lämpligt att de personuppgifts- ansvariga myndigheterna var skyldiga att utse personuppgiftsom- bud. Att en myndighet utser ett personuppgiftsombud innebär att det finns en person som har ansvar för granskning och kontroll av den egna myndighetens verksamhet och för att behandlingen är laglig och korrekt. Det underlättar vidare för de enskilda som vill kontakta myndigheten i frågor som rör personuppgiftsbehandling att ha en särskild person att vända sig till. Migrationsverket, Polis- myndigheten och Säkerhetspolisen bör därför enligt utredningen vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det

259

En ny lag om behandling av personuppgifter…

SOU 2015:73

åligger myndigheten att utföra och anmäla dessa till Datainspek- tionen.

Utredningen har övervägt om även utlandsmyndigheterna bör vara skyldiga att utse personuppgiftsombud. Med tanke på att dessa myndigheter ser ganska olika ut och ofta är små har utredningen dock kommit till slutsatsen att det bör vara frivilligt för dessa myn- digheter om de vill ha ett personuppgiftsombud. I en del fall kan det säkert vara lämpligt.

7.9Ändamål

7.9.1Allmänt om ändamål

Personuppgiftslagens regelverk har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I 9 § PUL anges vissa grundläggande krav som den personuppgiftsansvarige måste leva upp till vid behandling av personuppgifter. Enligt punkten c får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. I punk- ten d anges den s.k. finalitetsprincipen enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Bestämmelserna innebär bland annat att den personuppgiftsansvariga redan vid insamlingen av upp- gifterna måste bestämma för vilket eller vilka ändamål insamlingen sker. De innebär också att vidarelämning av uppgifter måste föregås av en prövning av om mottagarens ändamål är oförenligt med de ursprungliga ändamålen eller inte.

Vid behandling av personuppgifter är ändamålsbestämmelsen således av central betydelse för skyddet för den personliga integri- teten. Ändamålet definierar vilka uppgifter som får behandlas och hur uppgifterna får behandlas. Ändamålet reglerar också hur länge uppgifterna får bevaras. Ändamålsbestämmelsen är den yttre ram som ska garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt. Bestämda ändamål begränsar den person- uppgiftsansvariges handlingsfrihet, vilket ska ge ett skydd för den enskildes personliga integritet.

260

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.9.2Primära och sekundära ändamål

Registerlagar innehåller normalt dels ändamål som avser den berörda myndighetens eget behov av att behandla personuppgifter, dels ända- mål som reglerar i vilken utsträckning uppgifter som samlats in för myndighetens egen verksamhet får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. De förstnämnda ändamålen brukar kallas för primära och de sist- nämnda för sekundära. I registerförfattningar är det också vanligt att man i författningen redovisar de primära och sekundära ända- målen var för sig, se till exempel polisdatalagen (2010:361) och kust- bevakningsdatalagen (2012:145).

Det finns vidare olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilka behandling får ske, både primära och sekundära. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in i enlighet med finalitetsprin- cipen.

Det finns exempel på båda metoderna i senare lagstiftning. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verk- samhet anges uttömmande samtliga de ändamål för vilka behandling får ske, både de som gäller insamling av uppgifter och efterföljande behandling. I polisdatalagen och kustbevakningsdatalagen har i stället den andra metoden valts. I dessa lagar anges att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet. Valet av metod diskuteras bland annat i förarbetena till polisdatalagen och kustbevakningsdatalagen (se prop. 2009/10:85 s. 98 f. och prop. 2011/12:45 s. 101 f.). I propositionerna anförs att de primära ändamålen bör anges uttömmande. En annan fråga en- ligt propositionerna är om även de sekundära ändamålen bör anges uttömmande. Den fördel som ses med en sådan reglering är att lag- stiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förut- sättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart för både tillämpare och andra vilken person- uppgiftsbehandling som får förekomma med stöd av den aktuella lagen. Det anförs vidare i propositionerna att man i förarbetena till

261

En ny lag om behandling av personuppgifter…

SOU 2015:73

flera registerlagar dock har gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Att bedöma nuvarande och förutse framtida behov av att kunna utlämna uppgifter är särskilt svårt i en sådan varierad och omfattande verksamhet som polisens brottsbekämpande verk- samhet. Det konstateras att de sekundära ändamålen bör uttryckas så preciserat och fullständigt som möjligt men att vidarebehandling därutöver bör vara möjlig om den är förenlig med finalitetsprin- cipen. För andra sekundära ändamål än de som anges i lagen bör utlämnande alltså tillåtas under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet att lämna ut uppgifterna.

7.9.3Utredningens överväganden

Utredningens förslag: Personuppgifter får behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen ska anges i lagen. Utöver de ändamål som anges i lagen får insamlade personupp- gifter även behandlas för att tillhandahålla andra information, om tillhandahållandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Särskilda ändamål

I nuvarande utlänningsdataförordning finns vissa särskilda bestäm- melser om ändamål. Enligt 3 § utlänningsdataförordningen får personuppgifter behandlas i verksamhetsregister för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller författning, fullgörande av underrättelseskyldighet som följer av lag eller annan författning samt för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt test- verksamhet. Av 8 § framgår att Migrationsverket får föra automa- tiserade register för återsökning av vägledande avgöranden, rätts- utredningar och liknande rättslig information. Vidare anges i 9 § att Migrationsverket får föra ett fingeravtrycksregister som får användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl

262

SOU 2015:73

En ny lag om behandling av personuppgifter…

åberopats, i ärenden om avvisning och utvisning samt i testverk- samhet. Ändamålet testverksamhet tillkom genom en ändring i utlän- ningsdataförordningen som träder i kraft den 15 juli 2015 (SFS 2015:310).

På senare tid har frågan huruvida ändamål bör regleras på det sätt som i dag är brukligt i registerlagar diskuterats. Exempelvis menar Informationshanteringsutredningen att huvudregeln bör vara att det är den personuppgiftsansvariga myndigheten själv som, inom ramen för sitt uppdrag, närmare specificerar för vilket eller vilka ändamål personuppgifter behandlas i verksamheten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen, se SOU 2015:39 s. 277 f. Även om det finns skäl för Informationshanteringsutredningens överväganden i frågan anser utredningen att samma princip för ändamålsreglering som finns i dagens reglering på utlännings- och medborgarskapsområdet bör finnas i den nya lagstiftningen. Utgångs- punkten bör alltså vara att den nya lagen ska innehålla ändamåls- bestämmelser.

Frågan är då hur ändamålsbestämmelserna ska formuleras. Som ovan anges ska ändamålsbestämmelserna definiera gränserna för den tillåtna personuppgiftsbehandlingen. Bestämmelserna bör därför vara så tydliga och specificerade som möjligt. Enligt 9 § första stycket c PUL får personuppgifter endast samlas in för särskilda ändamål. Av denna bestämmelse följer enligt förarbetena till personuppgifts- lagen att en alltför allmänt hållen ändamålsangivelse inte kan godtas (se SOU 1997:39 s. 350 och prop. 1997/98:44 s. 120). Hur detal- jerad ändamålsangivelsen ska vara för att uppfylla lagens krav får dock enligt förarbetena avgöras i praxis och genom kompletterande föreskrifter. När det gäller hur ändamålen i en registerförfattning ska formuleras har regeringen emellertid uttalat att syftet med ändamålen i en registerförfattning är att ange en yttersta ram inom vilken personuppgifter får behandlas och att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt (se prop. 1997/98:97 s. 121).

Den verksamhet som ska regleras i den nya lagen är både om- fattande och mångskiftande och utförs av flera myndigheter. Följden blir att ändamålsbestämmelserna måste formuleras tämligen generellt. Samtidigt ska bestämmelserna uppfylla personuppgiftslagens krav på särskilda ändamål. Ändamålen måste vara tillräckligt preciserade

263

En ny lag om behandling av personuppgifter…

SOU 2015:73

för att det ska gå att kontrollera att personuppgifter endast behand- las för avsedda ändamål.

Vid den kartläggning som utredningen gjort av användningen av personuppgifter i verksamhet enligt utlännings- och medborgarskaps- lagstiftningen har framkommit att ändamålsregleringen i nuvarande utlänningsdataförordning stämmer väl överens med Migrations- verkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndig- heternas behov. Det är därför lämpligt att ändamålsbestämmelserna i den nya lagen har sin utgångspunkt i dessa bestämmelser. Behand- ling av personuppgifter bör således vara tillåtet för ändamålen hand- läggning av ärenden i enlighet med vad som följer av lag och förordning, fullgörande av underrättelseskyldighet som följer av lag och förordning samt för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet. Be- handling bör också vara tillåten för ändamålen återsökning av avgöranden, rättsutredningar och annan information samt informa- tion rörande förhållanden i andra länder. Men även ändamålet att lämna ut insamlade uppgifter till enskilda och andra myndigheter bör regleras.

Utredningen konstaterar i avsnitt 7.11.2 att lagen inte bör inne- hålla någon uppräkning av vilka uppgifter som får behandlas i verk- samheten motsvarande den som i dag finns i 4 § utlänningsdataför- ordningen. Det ska i stället bestämmas av ändamålet. Endast sådana uppgifter som är nödvändiga för ett i lagen angivet ändamål får behandlas. Det innebär att det är ännu viktigare att ändamålsbestäm- melserna är tydliga och inte alltför vida. En ytterligare specificering i förhållande till vad som gäller enligt utlänningsdataförordningen är därför lämpligt. Utredningens förslag på ändamålsbestämmelser beskrivs närmare nedan.

Utöver de i utlänningsdatalagen angivna särskilda ändamålen kommer personuppgiftsbehandlingen styras av de bestämmelser i personuppgiftslagen som ska gälla utöver utlänningsdatalagen. Det innebär att de grundläggande kraven på personuppgiftsbehand- lingen i 9 § PUL kommer att gälla även vid personuppgiftsbehand- ling enligt den nya lagen. Av denna bestämmelse följer bland annat att den personuppgiftsansvarige har ansvar för att de personupp- gifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter än

264

SOU 2015:73

En ny lag om behandling av personuppgifter…

nödvändigt behandlas. Även denna reglering begränsar således person- uppgiftsbehandlingen.

Den nya lagens ändamålsreglering och finalitetsprincipen

I den nya lagen kommer det, som närmare kommer att utvecklas nedan, att finnas både primära och sekundära ändamål. När det gäller innebörden av begreppen primära och sekundära ändamål, se av- snitt 7.9.2. Även i den nuvarande utlänningsdataförordningen finns båda slagen av ändamålsbestämmelser. Frågan är då om ändamålen i den nya lagen ska regleras uttömmande eller om myndigheterna ska ha möjlighet att behandla personuppgifter för något annat ändamål under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet.

Ändamålsregleringens utformning har tagits upp i utredningens direktiv. Där anges att det, som bland annat Integritetsskydds- kommittén har uppmärksammat i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22), numera förekommer att ut- tömmande ändamålsreglering leder till att ett utlämnande av upp- gifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (se SOU 2007:22 s. 464 f.). Utredaren ska därför enligt utredningens direktiv se till att föreslagen reglering inte innehåller några uttömmande ändamålsregleringar. Det finns olika möjligheter att utforma ända- målsregleringen. Det verkar, som har berörts ovan, finnas i princip två olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med de i lagen angivna ändamålet (jfr finalitetsprincipen). Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling får ske, vare sig det är fråga insamling av uppgifter eller efterföljande behandling.

En utgångspunkt för den nya lagen bör enligt utredningen vara att tillåtna ändamål ska anges så tydligt och fullständigt som möjligt. Särskilt viktigt är detta när det gäller de primära ändamålen. Det får således inte råda någon tvekan om vilken personuppgiftsbehandling som är tillåten i kärnverksamheten. Detta talar för att i vart fall de primära ändamålen bör anges uttömmande. Mot en sådan reglering

265

En ny lag om behandling av personuppgifter…

SOU 2015:73

talar att den nuvarande utlänningsdataförordningen inte är uttöm- mande i fråga om tillåtna ändamål. Senare behandling får således i dag ske för något annat ändamål än de som anges i förordningen förutsatt att ändamålet inte är oförenligt med det i förordningen angivna ändamålet. Såvitt är känt har denna möjlighet inte föranlett några olägenheter när det enskildas integritetsskydd. Utredningen har ändå stannat för slutsatsen att ett fullgott integritetsskydd kräver att regleringen av de primära ändamålen är uttömmande. En annan ordning skulle kunna leda till otydlighet och oförutsebarhet. De primära ändamålen bör således redovisas uttömmande i lagen. Uttalandet i utredningens direktiv avser rimligen inte de primära ändamålen utan tar sikte på hur de sekundära ändamålen bör ut- formas.

Vad därefter gäller de sekundära ändamålen finns det förstås för- delar om den regleringen också är uttömmande. Med en uttömmande reglering bestämmer man en gång för alla i vilken utsträckning upp- gifter ska få behandlas för att spridas till andra. En sådan reglering blir både tydlig och förutsebar. Det finns emellertid vissa nackdelar med att reglera de sekundära ändamålen uttömmande. Det är näm- ligen, som har berörts ovan, knappast möjligt att i en lag som den nu aktuella på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Mot den bakgrunden föreslår utredningen i enlighet med direktiven till ut- redningen att de sekundära ändamålen i den nya lagen inte ska anges uttömmande. Det ska alltså vara möjligt att i vissa fall kunna be- handla information för andra sekundära ändamål än de som anges i förslaget under förutsättning att det i det enskilda fallet inte kan anses vara oförenligt med insamlingsändamålet att lämna ut upp- gifterna.

Denna möjlighet bör alltså ses som en ventil, eftersom det inte går att förutse alla de fall då uppgifter bör kunna lämnas ut.

I den nya lagen kommer det således att finnas både primära och sekundära ändamål. De förstnämnda, alltså de ändamål som avser den berörda myndighetens eget behov av att behandla person- uppgifter, kommer att vara uttömmande. Uppgifter kan alltså inte behandlas för några andra primära ändamål än de särskilt angivna. Däremot kommer myndigheterna att ha möjlighet att lämna ut upp- gifter i enlighet med finalitetsprincipen.

266

SOU 2015:73

En ny lag om behandling av personuppgifter…

Nödvändighetskravet

Många registerförfattningar innehåller ändamålsbestämmelser som anger att en behandling av personuppgifter ska behövas eller vara nödvändig för de ändamål som anges i författningen (se till exem- pel 2 kap. 4 § patientdatalagen). Kravet att behandlingen ska vara nödvändig följer av dataskyddsdirektivets artikel 7. I bestämmelsen anges de principer som gör att personuppgiftsbehandling kan tillåtas. Av artikeln framgår att personuppgifter endast får behandlas om det är nödvändigt för vissa i artikeln angivna syften, såvida inte den registrerade otvetydigt lämnat sitt samtycke till behandlingen. Arti- kel 7 har genomförts i svensk rätt genom 10 § PUL och genom särskilda ändamålsbestämmelser i registerförfattningar.

I en kommentar till personuppgiftslagen anförs att nödvändig- hetskravets närmare innebörd inte är helt klart (Öman. S. m.fl., Personuppgiftslagen. En kommentar, 30 september 2014, Zeteo, kommentaren till 10 § ). Enligt Datalagskommittén, som bland annat hade till uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter i anledning av EU:s dataskyddsdirektiv, kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av per- sonuppgifter som omfattas av lagen. De flesta arbetsuppgifter kan rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt (se SOU 1997:39 s. 359). I senare förarbeten har det konstaterats att nödvändighets- kravet inte rimligen kan innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nöd- vändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg. En person- uppgift torde vara nödvändig att behandla för ett visst ändamål, om ändamålet inte kan realiseras om inte personuppgiften får användas (se SOU 1999:109 s. 156).

Prövning av om en behandling är nödvändig ska göras inte bara då en personuppgift samlas in och registreras utan även vid senare

267

En ny lag om behandling av personuppgifter…

SOU 2015:73

behandling av uppgiften, såsom vid fortsatt lagring, behandling för framställning av statistik eller utlämnande.

Som framgår ovan är nödvändighetskravet svårt att närmare defi- niera. Det kan framstå som olämpligt att i lagen införa ett begrepp som har en oklar betydelse. Utredningen bedömer ändå att det är lämpligt att införa ett krav på att personuppgifter får behandlas en- dast om det är nödvändigt för de i lagen angivna ändamålen. Enligt 4 § nuvarande utlänningsdataförordning får de personuppgifter som anges i paragrafen behandlas i den mån det är nödvändigt för det ändamål för vilket behandlingen utförs. Ett nödvändighetskrav gäller således redan i dag för behandling av personuppgifter i verk- samhetsregister i här aktuell verksamhet. Genom nödvändighets- kravet betonas att behandling av uppgifter inte ska ske slentrian- mässigt och att en bedömning av nödvändigheten måste göras innan en behandling påbörjas. Eftersom begreppet är hämtat från data- skyddsdirektivet och personuppgiftslagen, har viss praxis utvecklats på området. Utredningen anser därför att det är lämpligt att införa ett krav på att behandlingen ska vara nödvändig för de i lagen angivna ändamålen för att vara tillåten.

För vilka ändamål ska personuppgifter få behandlas?

Handläggning av ärenden eller en myndighets biträde i sådana ärenden

En stor del av den personuppgiftsbehandling som sker i dag utförs i samband med de olika myndigheternas handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen. Myndigheterna måste naturligtvis kunna inhämta, ta emot, lagra och på andra sätt behandla personuppgifter i samband med att myndigheten fullgör sina uppgifter enligt lag och förordning.

Begreppet handläggning bör i sammanhanget tolkas ganska vid- sträckt och innefatta alla moment som kan bli aktuella vid handlägg- ning av ett ärende. Bestämmelsen ger till exempel stöd åt Migrations- verkets behandling av personuppgifter i samband med mottagande, registrering och beredning av ärenden, förordnande av offentligt biträde, kommunikation med parter, kommunikation med andra tjänstemän inom samma myndighet i anledning av ärendet och upp- rättande och meddelande av beslut. Under denna punkt faller även

268

SOU 2015:73

En ny lag om behandling av personuppgifter…

Polismyndighetens personuppgiftsbehandling i kontroll- och verk- ställighetsärenden. Till sådan verksamhet räknas också till exempel att Polismyndigheten på elektronisk väg får tips om var personer som ska utvisas befinner sig eller att myndigheten själv använder sig av automatiserad behandling i syfte att identifiera och hitta personer vars beslut om avlägsnande ankommer på Polismyndigheten att verkställa. Därutöver ger bestämmelsen stöd för utlandsmyndighets personuppgiftsbehandling i den medverkan med utredning i Migra- tionsverkets, Polismyndighetens och Säkerhetspolisens handläggning av utlännings- och medborgarskapsärenden som sker med stöd av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepre- sentationen. Även den personuppgiftsbehandling som utförs i sam- band med Polismyndighetens och Säkerhetspolisens verkställande av Migrationsverket beslut om förvar faller under denna punkt.

Bestämmelsen ger också stöd åt att personuppgifter som samlats in för ett visst ärende behandlas i ett senare ärende som rör samma person eller i ett ärende som rör en annan person men där den registrerade förekommer som till exempel anhörig.

Den förslagna bestämmelsen avser endast behandling av person- uppgifter som behövs för den egna myndighetens handläggning. Utlämnande av uppgifter till andra myndigheter för deras handlägg- ning regleras på annat sätt, se nedan.

Kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige

Polismyndigheten utför personuppgiftsbehandling i samband med den yttre och inre utlänningskontrollen. Migrationsverket kan också medverka vid sådan kontrollverksamhet. Den yttre och inre utlän- ningskontrollen kan ha brottsbekämpande syfte, till exempel att upptäcka gränsöverskridande brottslighet. I sådana fall regleras per- sonuppgiftsbehandlingen av polisdatalagen. I andra fall är ända- målet med kontrollen att kontrollera den inresandes identitet och att kontrollera att han eller hon uppfyller de formella och materiella kraven enligt utlänningslagen, för rätt till inresa och vistelse i Sverige. I sådana fall bör personuppgiftsbehandlingen regleras av utlännings- datalagen. Den personuppgiftsbehandling som Migrationsverket utför i samband med kontrollverksamheten omfattas inte av någon annan särlagstiftning. Det bör således finnas en bestämmelse av

269

En ny lag om behandling av personuppgifter…

SOU 2015:73

vilken det framgår att behandling av personuppgifter är tillåten för ändamålet yttre och inre utlänningskontroll, dvs. kontroll av utlän- ning i samband med inresa, utresa och kontroll under vistelsen i Sverige.

Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar

Migrationsverket har ett omfattande ansvar när det gäller mot- tagande och bosättning av och sysselsättning för asylsökande och andra utlänningar. Särskilda bestämmelser om detta finns bland annat i lagen om mottagande av asylsökande m.fl. Bestämmelsen möjliggör personuppgiftsbehandling hos Migrationsverket som avser om- besörjandet av boende och sysselsättning för asylsökande och andra utlänningar, men som inte direkt utförs inom ramen för ett enskilt ärende. Som exempel kan anges myndighetens kontakter med arbets- givare och andra myndigheter för att ordna praktikplats åt en asyl- sökande. Inom detta område faller också myndighetens arbete med att ta emot kvotflyktingar. Kvotflyktingar är de flyktingar som FN:s flyktingorgan UNHCR beviljat flyktingstatus och som kommer till Sverige från något av FN:s flyktingläger. Migrationsverket har ansvar för att välja vilka personer som ska väljas ut. Denna verk- samhet innefattar praktiskt arbete med mottagande och bosättning i vilken en stor mängd personuppgifter behandlas. En särskild be- stämmelse som tillåter behandling av uppgifter för mottagande och bosättning av asylsökande och andra utlänningar bör därför införas. Det torde sällan bli aktuellt för polisen att behandla personupp- gifter för detta ändamål. Det kan dock enligt utredningen inte uteslutas att det någon gång skulle kunna bli aktuellt. Även polisen bör därför omfattas av bestämmelsen.

Tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet

Myndigheter har ett behov av att behandla uppgifter inom verksam- heten för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet. Med testverksamhet avses användning av personuppgifter, exempelvis fingeravtryck, för

270

SOU 2015:73

En ny lag om behandling av personuppgifter…

att kunna genomföra olika tester av ny utrustning och teknik. Detta behov finns även hos myndigheter inom verksamhet på ut- lännings- och medborgarskapsområdet. En myndighet kan till exem- pel behöva behandla personuppgifter för tillsyn av handläggningen av enskilda ärenden eller kontroll av delar av eller hela verksamheten. Behov finns också av personuppgiftsbehandling för utvärdering och planering av verksamheten på olika nivåer. Det kan till exempel röra sig om utvärdering av en viss del av verksamheten genom fram- ställning av statistik med hjälp av uppgifter från ärendehante- ringssystemet. Enligt förordningen (2007:996) med instruktion för Migrationsverket ska verket föra register och statistik över utlän- ningar i landet i den utsträckning som behövs för verksamheten. Migrationsverket framställer även statistik till externa mottagare såsom riksdagen, Justitiedepartementet, fackförbund, Eurostat och UNHCR. Ytterligare ett exempel då Migrationsverket kan behöva behandla personuppgifter för tillsyn m.m. är när verket registrerar kvalitetsomdömen om offentliga biträden, tolkar, översättare och språkanalytiker, se vidare kapitel 8.

I lagrådsremissen Behandling av uppgifter i Tullverkets brottsbe- kämpande verksamhet från år 2005 föreslog regeringen en uttrycklig bestämmelse om att uppgifter som behandlas för något av de enligt lagförslaget tillåtna primära ändamålen även skulle få behandlas för att planera, följa upp och utvärdera verksamheten. Lagrådet uttalade att en sådan bestämmelse är obehövlig (se prop. 2004/05:164 s. 179). Planering, uppföljning och utvärdering är en integrerad del av själva verksamheten och enligt Lagrådet var det självklart att uppgifter som får användas i verksamheten också får användas för planering m.m. Regeringen delade Lagrådets bedömning (se prop. 2004/05:164 s. 66 f. och 162 samt prop. 2009/10:85 s. 116). Av ovan angivna skäl avstod regeringen från att föreslå en motsvarande bestämmelse i polisdatalagen (se prop. 2009/10:85 s. 116) och kustbevaknings- datalagen (se prop. 2011/12:45 s. 111).

Datainspektionen har emellertid i sitt yttrande över departe- mentspromemorian Domstolsdatalag (Ds 2013:10) (Datainspek- tionens yttrande 2013-05-31, Diarienr 361-2013) anfört att det bör övervägas att i lagtexten tydliggöra att de primära ändamålen även omfattar vidarebehandling av personuppgifter för planering, upp- följning och utvärdering hos de enskilda myndigheterna. Detta trots Lagrådets uttalande att planering, uppföljning och utvärdering

271

En ny lag om behandling av personuppgifter…

SOU 2015:73

kan ses som en integrerad del av själva verksamheten. Som den aktuella bestämmelsen var utformad ansåg inspektionen att det för- hållandet var alltför otydligt för den enskilde. Ur ett integritetsper- spektiv bör det enligt Datainspektionen vara tydligt för den enskilde för vilka ändamål som dennes personuppgifter får behandlas.

Av 9 § andra stycket PUL följer att behandling av personupp- gifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med det ändamål för vilket uppgifterna samlades in. Som framgår av avsnitt 7.7.3 föreslår utredningen att bestäm- melsen ska vara tillämplig vid behandling av personuppgifter med stöd av utlänningsdatalagen. Det innebär att behandling av person- uppgifter för statistiska ändamål alltid är tillåtet, oavsett för vilket ändamål det samlades in. Någon särskild bestämmelse om att upp- gifter får behandlas för statistikändamål krävs således egentligen inte i lagen.

Datainspektionens ovan redovisade synpunkter framstår som välgrundade. Det är viktigt att lagens ändamålsbestämmelser är så tydliga som möjligt, inte bara för de myndigheter som ska tillämpa dem utan även för dem vars uppgifter behandlas. Lagen bör därför enligt utredningen innehålla en uttrycklig bestämmelse om att upp- gifter i verksamheten även får behandlas för tillsyn, kontroll, upp- följning och planering av verksamheten, framställning av statistik samt testverksamhet.

När det gäller behandling för ändamålet tillsyn etc. torde det normalt vara aktuellt att bara behandla uppgifter som redan har in- samlats för något annat ändamål. Det kan dock inte uteslutas att det någon gång kan bli aktuellt att samla in uppgifter som inte finns i verksamheten för tillsyn etc. Ett exempel på detta kan vara om Migrationsverket vill genomföra ett bemötandeprojekt och därför måste ta in uppgifter från utomstående aktörer.

Registrering och annan dokumentationsskyldighet

Viss personuppgiftsbehandling är nödvändig utan att den kan sägas direkt röra verksamheten enligt utlännings- och medborgarskaps- lagstiftningen. Till myndigheter lämnas av olika anledningar upp- gifter, däribland personuppgifter, som inte har betydelse för myndig- hetens handläggning eller bedömning av ett visst ärende. Det finns

272

SOU 2015:73

En ny lag om behandling av personuppgifter…

bestämmelser som medför skyldighet för den mottagande myndig- heten att behandla inkommande personuppgifter, oavsett om de är nödvändiga för myndighetens verksamhet eller inte. De inkomna uppgifterna kan till exempel utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § OSL gäller som huvudregel att allmänna handlingar som kommit in till en myndig- het ska registreras, dvs. diarieföras, så snart som möjligt. I 5 kap. 2 § OSL uppställs vissa minimikrav beträffande uppgifterna i ett sådant register. Av registret ska bland annat framgå uppgifter om handlingens avsändare eller mottagare och i korthet vad handlingen rör. I förvaltningslagen (1986:223, FL) finns vissa regler om anteck- ningsskyldighet, parts rätt att ta del av det som tillförts ärendet och kommunikationsplikt. Vidare är en myndighet enligt 5 § andra stycket FL skyldig att se till att det är möjligt för enskilda att kontakta myn- digheten med hjälp av bland annat e-post och att svar kan lämnas på samma sätt. Dessa bestämmelser kan innebära att personuppgifter måste behandlas.

I 2 kap. 9 § PDL finns en bestämmelse som tillåter personupp- giftsbehandling för bland annat diarieföring. En motsvarande ända- målsbestämmelse behövs i den nya lagstiftningen.

Återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder

Enligt gällande utlänningsdataförordning har Migrationsverket rätt att föra automatiserade register för återsökning av vägledande av- göranden, rättsutredningar och liknande rättslig information. Verket får vidare föra ett register för återsökning av information som läm- nats rörande förhållanden i andra länder. Inom främst Migrations- verket är tillgången till aktuell rättspraxis och uppdaterad informa- tion om länder nödvändig för att myndigheten ska kunna fatta korrekta beslut i enlighet med gällande praxis och i övrigt bedriva verksamheten så effektivt och rättssäkert som möjligt. Tjänstemän och beslutsfattare på Migrationsverket bör även i fortsättningen ha möjlighet att behandla personuppgifter för ändamålet att söka av- göranden, rättsutredningar, annan rättslig information samt infor- mation rörande förhållanden i andra länder.

I gällande utlänningsdataförordning finns en bestämmelse om att ett rättsfallsregister inte får innehålla personuppgifter som direkt

273

En ny lag om behandling av personuppgifter…

SOU 2015:73

pekar ut den registrerade (8 § första stycket). Enligt utredningen finns det inget behov av att ha kvar denna begränsning. Kravet på att behandlingen ska vara nödvändig och bestämmelserna i 9 § första stycket e) och f) PUL bör innebära att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt ut- pekar en individ utelämnas. I enlighet med kravet att behandlingen ska vara nödvändig följer att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas. I rättsfallssamlingar är identiteten på en person oftast oväsentlig för informationsvärdet. Något förbud av det slag som finns i dag behövs därför inte. Titlar på domar från exempelvis EU-domstolen och Europadomstolen får anses nödvändiga att be- handla även om de innehåller något namn på en person.

Uppgiftsutlämnande till andra med stöd av bland annat lag

Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna behandlar inte enbart uppgifter för egen del utan även genom utlämnande till andra. Uppgiftsutlämnande kan ske av olika anledningar.

Det finns en rad olika författningar som föreskriver en uppgifts- skyldighet för myndigheterna, dvs. att myndigheterna ska lämna ut uppgifter i vissa angivna situationer. För det första är myndigheterna i vissa fall skyldiga att lämna ut uppgifter till vissa utpekade myndig- heter. Till exempel har enligt 17 kap. 3 § UtlL Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Ett annat exempel är att Migrationsverket ska lämna vissa uppgifter om utlänningar till Centrala studiestöds- nämnden enligt 30 § förordningen (1990:1361) för prövning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiftsskyldighet följer av lag eller förordning.

Myndigheter är i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är till exem- pel skyldig att lämna ut personuppgifter som är allmänna hand- lingar, om inte sekretess gäller för uppgifterna. Det följer av 2 kap. TF och 8 § PUL. Uppgiftsskyldighet kan även följa av bestäm-

274

SOU 2015:73

En ny lag om behandling av personuppgifter…

melser i offentlighets- och sekretesslagen. Enligt 6 kap. 5 § OSL ska således en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. I tidigare lagstiftningsärenden har denna bestämmelse inte ansetts innebära någon uppgiftsskyldighet i nu aktuellt hänseende. I flera senare lagstiftningsärenden har dock en motsatt bedömning gjorts (se till exempel prop. 2008/09:96 s. 80). Mot den bakgrunden får 6 kap. 5 § OSL anses innefatta en sådan skyldighet att lämna uppgifter som kommer att innefattas i ändamålet uppgiftslämnande med stöd av lag.

Vidare finns det ett antal författningar med bestämmelser som medför att uppgifter får lämnas ut. Bestämmelserna innebär således inte, som de ovan beskrivna, en uppgiftsskyldighet utan att utläm- nande är tillåtet. Ett exempel på en sådan bestämmelse är 10 kap. 15 § OSL. I bestämmelsen anges att sekretess inte hindrar att upp- gift lämnas till regeringen eller riksdagen. Vidare finns i 10 kap. 27 § samma lag en generalklausul som innebär att en sekretessbelagd upp- gift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.

Myndigheterna lämnar inte enbart ut uppgifter för att tillgodose andras behov. En myndighet kan även lämna ut uppgifter på eget initiativ, till exempel för att kunna utföra en uppgift i den egna verk- samheten. Det kan till exempel ske med stöd av 10 kap. 2 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Ett annat exempel är 10 kap. 18 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiften behövas där för förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat rättsligt förfarande vid myn- dighet mot någon rörande hans eller hennes deltagande i verksam- heten vid den myndighet där uppgiften förekommer.

Gemensamt för de uppgiftslämnande som behandlats i det före- gående är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När bestämmelser om sådant uppgiftslämnande har införts, får det förutsättas att det gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda

275

En ny lag om behandling av personuppgifter…

SOU 2015:73

enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i en integ- ritetsskyddslagstiftning, som den nu föreslagna, förhindra att person- uppgifter som finns i verksamheten enligt utlännings- och med- borgarskapslagstiftningen lämnas ut i dessa fall. Det här beskrivna ändamålet torde i huvudsak motsvara ändamålsbestämmelsen i 3 § nuvarande utlänningsdataförordning.

I avsnitt 4.3.3 redogörs för den utveckling som skett på migra- tionsområdet inom EU under senare år. Även det internationella sam- arbetet på detta område blir alltmer omfattande. Samverkan över gränserna innebär att svenska myndigheter i allt högre utsträckning behandlar uppgifter genom utlämnande till myndigheter i andra länder. När det gäller EU-samarbetet är mycket av den personupp- giftshantering som sker reglerad i särskilda förordningar som gäller som svensk lag här i Sverige. För det fall sådana bestämmelser sak- nas krävs det i den nya lagen en särskild ändamålsbestämmelse som tillåter att uppgifter behandlas genom att lämnas ut enligt bestämmel- ser som följer av Sveriges medlemskap i EU. En sådan bestämmelse bör också införas när det gäller utlämnande av uppgift som sker på grund av förpliktelser i konventioner eller av riksdagen godkända avtal med främmande stat eller mellanfolkliga organisationer. Denna ändamålsbestämmelse kan även bli tillämplig då information tillhandahålls en utländsk myndighet i tredjeland, se avsnitt 7.7.8.

Utredningen föreslår således bestämmelser som specificerar för vilka ändamål personuppgiftsbehandling är tillåten. Insamlade person- uppgifter ska även få behandlas för att tillhandahålla information för något annat ändamål än som framgår av lagen under förutsätt- ning att ändamålet inte är oförenligt med det ändamål som upp- gifterna samlades in för.

Som redovisats i avsnitt 7.3.5 ska den nya lagen inte tillämpas på myndigheternas interna administration, till exempel personaladmi- nistration.

276

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.10Migrationsverkets register över fingeravtryck och fotografier

7.10.1Allmänt om fingeravtrycksregistret m.m.

Enligt 9 § nuvarande utlänningsdataförordningen får Migrations- verket föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § UtlL. Registret, som brukar benämnas finger- avtrycksregistret, får föras med hjälp av automatisk databehandling och får endast användas vid prövning av ansökningar om uppe- hållstillstånd där skyddsskäl åberopats, i ärenden om avvisning och utvisning samt i testverksamhet. Registret får endast innehålla finger- avtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift, se 10 § nuvarande utlänningsdata- förordningen. Uppgifter från registret får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förord- ning. En uppgift i fingeravtrycksregistret ska gallras när den registre- rade blir svensk medborgare, dock senast tio år efter det att upp- giften registrerades.

I praktiken för Migrationsverket ett särskilt register över finger- avtryck, medan verket registrerar och lagrar fotografierna i den centrala utlänningsdatabasen (CUD) som ägs av och finns hos Migrationsverket. Även verkets samlade fotografier kan ses som ett register.

Nedan kommer utredningen relativt utförligt att redovisa de spe- ciella rutiner som gäller för Migrationsverkets register över finger- avtryck och den konstruktion som valts för registerföringen. Systemet är ganska komplicerat och inte helt lätt att genomskåda. Den valda konstruktionen har inte bara betydelse för Migrationsverkets regi- strering av uppgifter i registret. Den används också när Migrations- verket genom Polismyndighetens försorg kontrollerar fingeravtryck som Migrationsverket har tagit mot det fingeravtrycksregister som Polismyndigheten för enligt polisdatalagen. Sistnämnda fråga behand- lar utredningen i kapitel 10.

Migrationsverkets önskan om att kunna jämföra fotografier vid registrering av inkomna fotografier tas upp i avsnitten 7.10.2 och 7.10.3.

277

En ny lag om behandling av personuppgifter…

SOU 2015:73

Migrationsverkets register över fingeravtryck utgör tillsammans med Polismyndighetens fingeravtrycksregister det nationella finger- avtrycksregistret.

Migrationsverkets register över fingeravtryck innehåller finger- avtryck som samlats in av Migrationsverket i utlänningsärenden, se nedan. Detta register benämns vanligtvis B-filen.

Polismyndighetens fingeravtrycksregister innehåller fingeravtryck som samlats in med stöd av 4 kap. PDL. Som följer av 4 kap. 1112 a §§ PDL får det registret innehålla fingeravtryck från en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken eller som har lämnat fingeravtryck enligt 19 § lagen om särskild utlänningskontroll. Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden. Detta register benämns van- ligtvis A-filen.

Migrationsverkets fingeravtrycksregister (B-filen) och Polis- myndighetens fingeravtrycksregister (A-filen) behandlas och lagras i ett automatiserat fingeravtrycksidentifieringssystem (AFIS), men registren är tekniskt separerade från varandra. Utöver fingeravtryck finns även viss annan information om namn, födelsetid, nationalitet m.m. registrerad i registren.

AFIS är placerat i Polismyndighetens lokaler. Det är endast Polis- myndigheten (i praktiken ett fåtal personer på Nationellt Forensiskt centrum, NFC) som har tillgång till Migrationsverkets fingeravtryck i B-filen. För åtkomst till B-filen krävs det en särskild behörighet och tillgång till särskilt anpassade arbetsstationer och programvaror. I praktiken är det alltså Polismyndigheten som handhar, förvaltar och underhåller B-filen genom en överenskommelse mellan Migra- tionsverket och Polismyndigheten. Verket har alltså ingen möjlighet att registrera, radera eller komma åt uppgifter i sitt eget fingerav- trycksregister utan Polismyndighetens biträde.

Trots det sagda bör Migrationsverket enligt utredningen upp- fattas som personuppgiftsansvarigt för sitt fingeravtrycksregister, eftersom verket får anses utföra behandlingen i det. Frågan om vem som är personuppgiftsansvarig ska nämligen bedömas utifrån de faktiska omständigheterna i det särskilda fallet. En personuppgifts- ansvarig myndighet får anses utföra en behandling även om den faktiska hanteringen av personuppgifter har överlämnats till ett personuppgiftsbiträde, se SOU 2015:39 s. 699. När det gäller B-

278

SOU 2015:73

En ny lag om behandling av personuppgifter…

filen är Polismyndigheten personuppgiftsbiträde för den behand- ling av personuppgifter som utförs i B-filen.

Ett skriftligt personuppgiftsbiträdes- och säkerhetsavtal har ingåtts mellan myndigheterna rörande denna behandling. I avtalet finns bland annat föreskrifter om att Polismyndigheten (dvs. personupp- giftsbiträdet) får behandla personuppgifter bara i enlighet med in- struktioner från Migrationsverket (dvs. den personuppgiftsansvarige). Inget annat har i och för sig framkommit än att parterna rättar sig efter detta avtal. Men det får ändå anses tveksamt hur man rätts- ligen ska se på avtal mellan statliga myndigheter i vilka en statlig myndighet avtalar med en annan statlig myndighet om att den ena myndigheten ska vara personuppgiftsbiträde åt den andra, se SOU 2015:39 s. 359 f. Vilken rättslig betydelse avtalet mellan Migrations- verket och Polismyndigheten har är därför enligt utredningen inte helt klart.

Som följer av 9 kap. 8 § UtlL får Migrationsverket och Polis- myndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige (punkten 1), utlän- ningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande (punkten 2) eller det finns grund för att besluta om förvar (punkten 3). Vad gäller de två sistnämnda punkterna får alltså fingeravtryck tas även om utlänningen kan styrka sin identitet.

Beslut om att Polismyndigheten ska ta aktuella fingeravtryck fattas av den befattningshavare som ansvarar för att utredning genomförs i ett ärende som rör uppehållstillstånd, avvisning eller utvisning eller av den som har till uppgift att fatta beslut om förvar, se 6 kap. 14 § UtlF. Av samma paragraf följer att de fingeravtryck som Polismyndigheten har tagit med stöd av 9 kap. 8 § UtlL härefter ska skickas Migrationsverket. Kravet i bestämmelsen att Polis- myndigheten ska skicka fingeravtryck som myndigheten har tagit till Migrationsverket får anses utgöra en sådan sekretessbrytande uppgiftsskyldighet som avses i 10 kap. 28 § OSL.

I de fall Migrationsverket tar fingeravtryck görs detta vid någon av Migrationsverkets fotostationer. Fingeravtrycken förs sedan auto- matiskt över till en dator som är utrustad med ett slags finger- avtrycksprogram på Migrationsverkets ID-enhet. Fingeravtrycks- programmet möjliggör manuell kontroll av fingeravtrycken och alfanumerisk information. Härefter skickar ID-enheten finger-

279

En ny lag om behandling av personuppgifter…

SOU 2015:73

avtrycken till Polismyndigheten för registrering i B-filen och för sökning i A- och B-filen. Så sker även med de fingeravtryck som Polismyndigheten har tagit med stöd av 9 kap. 8 § UtlL och som skickats till Migrationsverket.

Kommunikationen mellan myndigheterna sker via en krypterad kommunikationslina för myndighetsbruk och inte via internet. Trans- aktionerna sker i form av e-post till vilka en s.k. NIST-fil innehål- lande fingeravtryck och övrig information är bifogad. Transak- tionen inkommer till Polismyndighetens server och omdirigeras till AFIS som automatiskt kodar fingeravtrycken genom en kvalitets- kontrollprocess.

Efter den automatiska kvalitetskontrollen söker AFIS de inkomna fingeravtrycken mot A- och B-filen och levererar sedan en lista över de tidigare registrerade fingeravtrycken som mest liknar det sökta. Denna lista presenteras för de personer på NFC som har åtkomst- behörighet till B-filen. Dessa personer jämför sedan fingeravtrycken och avgör om de sökta fingeravtrycken överensstämmer med något eller några av de tidigare transaktionerna som AFIS presenterat. I och med att fingeravtrycken har kodats i kvalitetskontrollen är de sökbara, men det är först efter att fingeravtrycken har granskats som registreringen slutförs.

Resultatet från Polismyndighetens jämförelser levereras automa- tiskt och elektroniskt till Migrationsverket efter att sökningen är gjord och registreras då i CUD. Resultatet innehåller endast informa- tion om träff eller ej träff skett samt, vid träff, referensnummer på träffen/träffarna. Om träff erhållits mot annan identitet i B-filen eller mot A-filen, upprättar NFC ett skriftligt sakkunnigutlåtande i vilket namn, nationalitet, födelsetid och upptagningsort ingår. Handläggare på Migrationsverket ansvarar för att ta kontakt med Polismyndigheten för närmare uppföljning i ärendet. En sådan kon- takt kan exempelvis innebära att Polismyndigheten informeras om att någon som har återreseförbud förefaller försöka komma in i landet under annan identitet.

Filerna med fingeravtryck sparas i B-filen i AFIS genom Polis- myndighetens biträde.

Fingeravtryck som tas med stöd av 9 kap. 8 § UtlL söks även bland annat mot Eurodac. Eurodac har dock ingen koppling till AFIS utan alla sökningar i Eurodac utförs av ID-enheten på Migrations- verket. Eurodac är ett informationssystem som innehåller finger-

280

SOU 2015:73

En ny lag om behandling av personuppgifter…

avtryck på alla personer över 14 år som sökt asyl i ett EU-land, se Eurodacförordningen ((EU) nr 603/2013) som även behandlas över- siktligt i avsnitten 4.3.3, 6.5 och 7.4.

Syftet med fingeravtryckskontrollerna mot det nationella finger- avtrycksregistret (A- och B-filen) och Eurodac är dels att fastställa ansvarig medlemsstat enligt EU-förordningar, exempelvis Dublin- förordningen ((EU) nr 604/2013), dels att fastställa den sökandes identitet. Fastställande av den sökandes identitet är av betydelse för Migrationsverkets handläggning av ärenden både vad gäller pröv- ningen av asylskäl och för att underlätta vid eventuell återresa eller svenskt medborgarskap. Fingeravtryckskontrollerna görs alltså för att kontrollera om sökanden redan finns registrerad under samma eller annan identitet.

Avslutningsvis kan även nämnas att Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brotts- lighet (Prümrådsbeslutet) innebär att vissa utländska myndigheter ska ges rätt att göra automatiska sökningar i Polismyndighetens fingeravtrycksregister för jämförelse av fingeravtrycksuppgifter i vissa fall. Denna rätt omfattar emellertid inte sökning i Migrations- verkets fingeravtrycksregister och berörs därför inte ytterligare här.

De fingeravtrycksuppgifter som Migrationsverket lämnar till Polis- myndigheten för registrering i Migrationsverkets fingeravtrycks- register (B-filen) torde normalt omfattas av sekretess. Den sekretess- bestämmelse som i första hand är tillämplig är 37 kap. 1 § OSL. Reglerna om sekretess hos Migrationsverket redovisas närmare i avsnitt 7.15.2, varför det hänvisas dit. För att uppgifterna ska kunna lämnas till Polismyndigheten fordras det därför något sekretess- undantag eller någon sekretessbrytande bestämmelse. Det finns inte något undantag från sekretessen eller någon särskilt sekretessbrytan- de bestämmelse som tar sikte på just det här aktuella utlämnandet. Det får därför antas att utlämnandet sker med stöd av general- klausulen i 10 kap. 27 § OSL, som medger att en sekretessbelagd uppgift lämnas till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Eventuellt kan utlämnandet grunda sig på 10 kap. 2 § OSL, som innebär att sekretess inte hindrar att en myndighet lämnar ut uppgifter till bland annat andra myndigheter,

281

En ny lag om behandling av personuppgifter…

SOU 2015:73

om det är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet.

7.10.2Särskilt om jämförelser av fotografier

Migrationsverket får i dag löpande in ett stort antal underrättelser, tips och identitetshandlingar från myndigheter och privatpersoner rörande olika personer, se bland annat Polismyndighetens under- rättelseskyldighet i 6 kap. 14 § och 7 kap. 2 och 3 §§ UtlF. I många av dessa handlingar finns, förutom alfanumeriska data rörande de personer som avses, även ibland kopior på identitetshandlingar med fotografier.

Fotografier utgör personuppgifter, se 1 § nuvarande utlännings- dataförordningen och 3 § PUL.

I 5 kap. 1–4 §§ OSL finns de grundläggande bestämmelserna om myndigheternas skyldighet att registrera allmänna handlingar. Av be- stämmelserna följer bland annat att allmänna handlingar som huvud- regel ska registreras så snart de har kommit in till eller upprättats hos en myndighet.

Registreringsskyldigheten gäller dock inte för handlingar som inte omfattas av sekretess, om de hålls ordnade så att det utan svårighet kan fastställas om de har kommit in eller upprättats. Registrerings- skyldigheten gäller inte heller en allmän handling, om det är uppen- bart att den är av ringa betydelse för myndighetens verksamhet.

Av ovan nämnda bestämmelser i offentlighets- och sekretesslagen följer även att åtminstone följande uppgifter ska antecknas vid registrering av allmänna handlingar, nämligen 1) datum då hand- lingen kom in eller upprättades, 2) diarienummer eller annan beteck- ning handlingen fått vid registreringen, 3) i förekommande fall upp- gifter om handlingens avsändare eller mottagare och 4) i korthet vad handlingen rör.

Myndigheternas skyldighet att registrera allmänna handlingar ska fylla den funktionen att allmänheten därigenom kan få vetskap om vilka handlingar som finns hos en myndighet. Kraven på hur registreringen ska ordnas är dock inte särskilt höga. Myndigheterna har en betydande frihet att ordna registreringen efter vad som är lämpligast för den enskilda myndigheten. Den metod som tillämpas bör dock användas konsekvent.

282

SOU 2015:73

En ny lag om behandling av personuppgifter…

I många fall kan Migrationsverket endast efter mycket arbete eller i vissa fall inte alls koppla inkomna underrättelser, fotografier och tips till någon fysisk person som finns registrerad hos verket med hjälp av tillgänglig alfanumeriska data. Det finns olika förklaringar till detta. Bland annat kan personerna ha använt sig av falska identiteter vid asylansökan eller kan namnet, födelsedata, medborgar- skap m.m. vara felaktigt angivet. I de fall någon koppling inte kan göras läggs handlingarna i det allmänna diariet.

För att öka effektiviteten vid registreringen av aktuella hand- lingar hos Migrationsverket har verket i testmiljö tagit fram ett foto- jämförelseprogram, som är tänkt att användas som ett komplement till de alfanumeriska sökningarna. Det har vid genomförda tester framkommit att träffrekvensen vid de automatiserade fotojämförel- serna är hög, även om de har långt ifrån samma träffsäkerhet som fingeravtryckskontroller. Genom jämförelseprogrammet generas en lista med 20–50 kandidater att välja manuellt ifrån. Vid en eventuell träff görs sedan en fotojämförelse med sakkunnigutlåtande där två identiteter kan kopplas samman. Med hjälp av fotojämförelsepro- grammet kan alltså ytterligare handlingar, till exempel fotografier, kopplas till fysiska personer med befintliga dossier hos verket.

Mot denna bakgrund har Migrationsverket i framställan till Justitiedepartementet i juni 2014, dnr Ju 2014/3918/L7, efterfrågat ett rättsligt stöd i utlänningsdataförordningen för att få göra auto- matiserade jämförelser av foton för att kunna uppfylla skyldigheten att kunna diarieföra en inkommen handling under rätt ärende. Migrationsverket har härvid uppgett att verket anser att använ- dande av fotojämförelser medför att Migrationsverket skulle kunna utföra skyldigheten att diarieföra en inkommen allmän handling på ett bättre sätt än vad verket gör i dag och att identitetsarbetet skulle bli effektivare. Detta medför enligt Migrationsverket även att hand- läggningstiderna i asylprocessen skulle kunna förkortas, eftersom fler uppenbart ogrundade asylansökningar skulle kunna upptäckas, identiteten på fler personer skulle kunna fastställas och arbetet med återresor skulle kunna effektiviseras. Vidare skulle enligt verket färre alias- och dubbeldossier behöva skapas och fler personer skulle även kunna registreras som konstaterat utresta.

Migrationsverket har enligt uppgift inte någon avsikt att lagra de sökta fotografierna i någon särskild databas. Underrättelser med

283

En ny lag om behandling av personuppgifter…

SOU 2015:73

fotografier som inte gett någon träff ska därför precis som i dag registreras i det allmänna diariet efter sökning.

Utredningen har fått i uppdrag att överväga denna fråga.

7.10.3Utredningens överväganden

Utredningens förslag: Migrationsverkets fingeravtrycks- och fotografiregister ska särregleras i förhållande till övrig person- uppgiftsbehandling i lagen. Ändamålet för fingeravtrycks- och fotografiregistren anges i lagen. Regeringen meddelar närmare bestämmelser om registrens innehåll och gallring. Särskilda sek- retessbrytande bestämmelser föreslås i vissa fall.

Migrationsverkets register för fingeravtryck och fotografier

Som framgår av avsnitt 6.4.5 är utgångspunkten att utlänningsdata- lagen ska vara teknikneutral och att lagen ska reglera all helt eller delvis automatiserad behandling av personuppgifter och uppgifter i manuella register. När det gäller behandling av automatiserade upp- gifter är målsättningen således att undvika särreglering av vissa per- sonuppgiftssamlingar eller viss typ av personuppgiftsbehandling. Som anförts kan det trots denna utgångspunkt i vissa fall finnas skäl att införa särbestämmelser för vissa personuppgiftssamlingar.

I förarbetena till polisdatalagen konstateras att det kan finnas viss behandling av personuppgifter som av olika skäl inte bör inord- nas under de generella bestämmelserna och att det är nödvändigt att i några fall ha särskilda bestämmelser om vissa register (se prop. 2009/10:85 s. 229). Detta gäller enligt propositionen dels register över DNA-profiler, dels fingeravtrycks- eller signalementsregister. Detsamma bör enligt propositionen gälla för behandling av uppgifter om misstänkt penningtvätt och misstänkt finansiering av terrorism i penningtvättsregister. Vidare finns det enligt propositionen skäl att särreglera viss behandling av uppgifter i det internationella polis- samarbetet. Vidare bör det allmänna spaningsregistret enligt proposi- tionen regleras för sig i en särskild lag. Skälen till särreglering varierar. När det gäller fingeravtrycks- och signalementsregistret motiveras

284

SOU 2015:73

En ny lag om behandling av personuppgifter…

särregleringen av att det rör sig om ett speciellt slag av uppgifter som kräver teknisk lösning för att kunna behandlas.

Enligt utredningens bedömning finns det skäl som talar för att Migrationsverkets fingeravtrycksregister och fotografiregister bör särregleras även i den nya lagen.

Som framgår ovan registreras de fingeravtryck som samlas in av Migrationsverket i B-filen i det nationella fingeravtrycksregistret. Migrationsverket har personuppgiftsansvaret för den behandling av personuppgifter som utförs i B-filen, men det är Polismyndigheten som handhar, förvaltar och underhåller registret genom en överens- kommelse med Migrationsverket. Det nationella fingeravtrycks- registret, dvs. både A- och B-filen, är placerat i Polismyndighetens lokaler och Migrationsverket har ingen möjlighet att utan biträde från Polismyndigheten komma åt uppgifterna i B-filen. Migrations- verket har inte någon möjlighet att kontrollera vilka uppgifter som tillförs, raderas eller används i registret. Uppgifterna i Migrations- verkets register över fingeravtryck är alltså avskilda från Migrations- verkets ärendehanteringssystem och andra datasystem hos verket. Vidare är fingeravtrycksregistret utformat som ett traditionellt re- gister. Endast vissa i förordningen specificerade uppgifter får föras in i registret och uppgifterna får endast användas för ett avgränsat ändamål. Slutligen gör sig det argument som anförs för särbehand- ling av polisens fingeravtrycks- och signalementsregister gällande även när det gäller Migrationsverkets fingeravtrycksregister. Finger- avtryck utgör ett speciellt slag av uppgifter som kräver teknisk lös- ning för att kunna behandlas.

Sammanfattningsvis bedömer utredningen att övervägande skäl talar för att Migrationsverkets fingeravtrycksregister bör särregle- ras i den utlänningsdatalag som utredningen föreslår. Utredningen gör även motsvarande bedömning av Migrationsverkets fotografi- register, även om detta förs av verket i CUD.

Tillräckliga skäl att i nuläget införa en teknikoberoende benäm- ning, till exempel biometri, i stället för fingeravtryck saknas.

De särskilda bestämmelserna som gäller för Migrationsverkets register över fingeravtryck och fotografier enligt nuvarande utlän- ningsdataförordningen bör alltjämt gälla även i den reglering som utredningen föreslår. I utredningens förslag till utlänningsdatalag bör det alltså anges för vilka ändamål personuppgifter får behandlas i Migrationsverkets register över fingeravtryck och fotografier. Som

285

En ny lag om behandling av personuppgifter…

SOU 2015:73

framgår nedan anser utredningen dock att dessa bör kompletteras bland annat rörande Migrationsverkets önskan att få jämföra foto- grafier vid registrering av inkomna fotografier. Vidare behövs det enligt utredningen inte längre någon föreskrift motsvarande den i nuvarande utlänningsdataförordning att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för auto- matisk databehandling endast om det följer av lag eller förordning, se avsnitt 7.14.2. Regeringen bör ges möjlighet att meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.

Den omständigheten att Migrationsverket får föra ett fingerav- trycksregister och att Polismyndigheten är personuppgiftsbiträde åt verket innebär att utlämnandet av fingeravtrycksuppgifterna till Polismyndigheten för registrering i B-filen är en tillåten behandling. De uppgifter som Migrationsverket lämnar ut torde normalt vara sekretessbelagda hos verket enligt i vart fall 37 kap. 1 § OSL. För att uppgifterna ska få lämnas till Polismyndigheten för registrering måste därför något undantag från huvudregeln om sekretess mellan myndigheter finnas. Enligt utredningen bör ett sådant undantag före- skrivas som en skyldighet för Migrationsverket att lämna uppgifterna till Polismyndigheten, se 10 kap. 28 § OSL. Den sekretessbrytande bestämmelsen kan lämpligen tas in i en ny paragraf i utlänningslagen.

Utredningen vill avslutningsvis ta upp en fråga som visserligen ligger utanför direktiven men som enligt utredningen bör uppmärk- sammas i fortsättningen. Den organisatoriska konstruktionen med att låta Polismyndigheten handha, förvalta och underhålla Migra- tionsverkets fingeravtrycksregister utan att Migrationsverket har någon tillgång till sitt eget register väcker en del frågor. Migrations- verket torde i praktiken inte kunna ha någon insyn i vilka uppgifter som tillförs, raderas eller används i registret. Man kan då fråga sig om det över huvud taget är möjligt för Migrationsverket att kon- trollera att Polismyndigheten följer givna instruktioner från verket och att Polismyndigheten genomför de säkerhetsåtgärder som måste vidtas (30 § andra stycket och 31 § andra stycket PUL). En annan fråga som den organisatoriska konstruktionen reser är hur fram- ställningar hos Migrationsverket enligt tryckfrihetsförordningen om utbekommande av uppgifter ur registret hanteras av verket. Register- uppgifterna torde knappast utgöra allmänna handlingar hos Migrationsverket, eftersom de inte kan anses förvarade hos verket. Man kan enligt utredningen inte heller påstå att Polismyndigheten

286

SOU 2015:73

En ny lag om behandling av personuppgifter…

förvarar uppgifterna endast som ett led i teknisk bearbetning eller teknisk lagring enligt 2 kap. 6 § tredje stycket och 10 § första stycket TF med tanke på det sätt som Polismyndigheten disponerar över uppgifterna. Här kan också tilläggas den ovan beskrivna problema- tiken med avtal mellan statliga myndigheter om personuppgifts- biträde, se SOU 2015:39 s. 359 f. Sannolikt är det tekniska skäl som har föranlett den organisatoriska lösningen, men de rättsliga kon- sekvenserna av den bör enligt utredningen övervägas närmare.

Särskilt om önskade jämförelser av fotografier

Migrationsverket får, som ovan nämnts, regelbundet in allmänna handlingar med fotografier i olika sammanhang, vilka verket har en skyldighet att registrera enligt offentlighets- och sekretesslagen.

I många fall behöver Migrationsverket lägga ner ett omfattande arbete för att handlingarna med hjälp av tillgänglig alfanumeriska data ska kunna registreras och kopplas till en fysisk person som redan är registrerad hos verket. I andra fall kan någon sådan koppling inte göras.

För att öka effektiviteten vid registreringen av aktuella hand- lingar har Migrationsverket, som tidigare nämnts, i testmiljö tagit fram ett fotojämförelseprogram som ett komplement till de alfanume- riska sökningarna.

Om ett fotografi endast registreras i Migrationsverkets allmänna diarium utan någon närmare information om vem fotografiet före- ställer, är det enligt utredningens bedömning tveksamt om fotografiet över huvud taget kan få någon praktisk betydelse i Migrations- verkets verksamhet. Utredningen delar således verkets uppfattning om att det är viktigt att inkomna fotografier om möjligt kan regi- streras och hänföras till en dossier som eventuellt redan finns beträffande den person som fotografiet avser. Ju fler inkomna all- männa handlingar med fotografier som kan hänföras till en befintlig dossier desto effektivare torde identitetsarbetet bli, vilket i sin tur kan leda till en förkortad asylprocess i vissa fall. Utredningen delar därför Migrationsverkets ståndpunkt att en ”korrekt” registrering av inkomna fotografier skulle kunna innebära effektivitetsvinster för verket.

287

En ny lag om behandling av personuppgifter…

SOU 2015:73

Migrationsverkets testverksamhet visar enligt utredningen att fotojämförelserna har förhållandevis hög träffsäkerhet. Fotojäm- förelser kan därmed utgöra ett komplement till andra undersök- ningar när det gäller att knyta en identitet till ett ingivet fotografi. Goda skäl talar därför enligt utredningen för att Migrationsverket bör få kunna jämföra ingivna fotografier med verkets register över fotografier om osäkerhet råder om identiteten på den person som finns på fotografiet. Sådana jämförelser kan Migrationsverket inte utföra enligt dagens reglering.

Frågan är då om det skulle kunna innebära några integritetsrisker för den enskilde om verket i framtiden tillåts att jämföra inkomna fotografier mot verkets fotografiregister. Det är enligt utredningen svårt att se att jämförelserna skulle kunna innebära några kränkningar för den enskilde. I själva verket bör en säkrare identitetsanalys av inkomna fotografier snarast gynna enskildas integritet, genom att risken för oklarheter och missförstånd om enskildas identitet minskar.

Sammanfattningsvis menar utredningen att Migrationsverket bör ges möjlighet att göra fotojämförelser av aktuellt slag, om det är oklart vilken identitet som en person på ett till verket ingivet fotografi har. Ett sådant ändamål bör därför finnas i den nya lagen.

7.11Personuppgifter som får behandlas

7.11.1Allmänt om tillåten behandling av personuppgifter

Vissa registerförfattningar har en eller flera bestämmelser om inne- håll, dvs. en specifikation av vilka kategorier av uppgifter som får behandlas. I 4 § nuvarande utlänningsdataförordning anges vilka uppgifter som får behandlas i ett verksamhetsregister, exempelvis namn, personnummer, kön och vårdnadshavare. Denna teknik har ofta ansetts ha fördelar från integritetssynpunkt, eftersom det tydligt framgår vilka uppgifter som får behandlas. I en verksamhet där be- handlingen är mycket omfattande och varierande kan en sådan regle- ring dock vara begränsande. I många registerlagar från senare år har lagstiftaren därför valt att inte specificera vilka personuppgifter som får eller inte får behandlas i en viss verksamhet. I stället får ändamålsbestämmelserna styra vilka uppgifter som får behandlas. De personuppgifter som är nödvändiga för de ändamål för vilken

288

SOU 2015:73

En ny lag om behandling av personuppgifter…

behandlingen utförs får behandlas. Så är exempelvis fallet i polis- datalagen och kustbevakningsdatalagen.

7.11.2Utredningens överväganden

Utredningens förslag: Alla personuppgifter som är nödvändiga för det ändamål för vilken behandlingen utförs får behandlas.

Känsliga personuppgifter som anges i 13 § PUL får dock enbart behandlas i begränsad omfattning, se avsnitt 7.11.4.

En fråga som utredningen har att ta ställning till är om det i den kommande utlänningsdatalagstiftningen bör specificeras vilka person- uppgifter som ska få behandlas för de i lagen angivna ändamålen eller om lagens ändamålsbestämmelser i stället bör styra vilka upp- gifter som får behandlas.

Från ett integritetsskyddsperspektiv kan det, som ovan nämnts, vara en fördel med en reglering som specificerar de personuppgifter som får behandlas. En innehållsreglering kan fungera särskilt väl när det rör sig om personuppgiftsbehandling av ett register i tradi- tionell mening, dvs. att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt särskilda kriterier och att de är sökbara med särskilda sökord, koder eller liknande. Sådan reglering finns till exempel när det gäller Polismyndighetens fingeravtrycks- och signale- mentsregister, se 4 kap. 13 § PDL. Den ärendehantering som sker hos Migrationsverket är emellertid inte anpassad till register. Verket tillämpar ett dossiersystem, där all information om en person samlas i en dossier. Alla elektroniska dokument som hör till en person skrivs ut och läggs i dossiern. Migrationsverket har för avsikt att övergå till elektroniska personakter, men än så länge sker ingen systematisk registrering av de uppgifter som kommer in om den enskilde på elektronisk väg.

Den behandling av personuppgifter som sker i verksamhet enligt utlännings- och medborgarskapslagstiftningen är även omfattande och mångsidig. Det talar också för att en reglering med hänvisning endast till ändamålsbestämmelserna är att föredra. Att specificera exakt vilken kategori av uppgifter som ska få behandlas kan bli komplicerat, särskilt i en sådan reglering som utredningen förordar som ska omfatta all helt eller delvis automatiserad behandling (dvs.

289

En ny lag om behandling av personuppgifter… SOU 2015:73

inte bara personuppgiftsbehandling i särskilda register). En regle- ring som specificerar vilka uppgifter som får behandlas torde också vara svår att tillämpa och det finns risk för att bestämmelserna behöver ändras ofta.

Ett argument som kan framföras för en bestämmelse som specificerar vilka personuppgifter som får behandlas är att myndig- heternas behandling av personuppgifter annars kan komma att bli alltför vidlyftig. Myndigheternas behandling kommer dock att styras och även begränsas av både de särskilda ändamålen som anges i lagen och de grundläggande kraven på personuppgiftsbe- handling som följer av 9 § PUL, se avsnitt 7.9 och 7.7.3. Av den senare bestämmelsen följer bland annat att endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålet får behandlas. Därutöver gäller även till exempel 30 och 31 §§ samt 32 § första stycket PUL om säkerheten vid behandling, se avsnitt 7.7.7. I sammanhanget bör också beaktas att integritets- känsliga uppgifter i verksamheten skyddas av sekretess, som begränsar möjligheten till insyn och spridning.

Utredningen bedömer således sammanfattningsvis att utlännings- datalagen inte bör innehålla bestämmelser som specificerar vilka personuppgifter som får eller inte får behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I stället bör som ovan nämnts ändamålsbestämmelserna och de grundläggande bestämmel- serna i 9 § PUL som huvudregel styra vilka uppgifter som får be- handlas.

För vissa typer av personuppgifter anser utredningen dock att det finns skäl att införa särskilda begränsande bestämmelser. Det gäller för personuppgifter som direkt pekar ut den registrerade vid behandling för ändamålet återsökning av avgöranden i vissa fall, se avsnitten 7.11.4 och 7.13.2.

Vad gäller behandling av uppgifter om personnummer och sam- ordningsnummer hänvisas till 22 § PUL, se avsnitt 7.7.4.

I sammanhanget bör även noteras att utredningen föreslår sär- bestämmelser för Migrationsverkets fingeravtrycks- och fotografi- register, som ska gälla utöver de allmänna bestämmelserna i den föreslagna lagen, se avsnitt 7.10.

290

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.11.3Särskilt om känsliga personuppgifter

Det är enligt 13 § PUL som huvudregel förbjudet att behandla käns- liga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Det finns dock ett antal undantag från förbudet, se 1420 §§ PUL. Det följer vidare av artikel 8.4 i dataskyddsdirektivet att med- lemsstaterna, under förutsättning att lämpliga skyddsåtgärder vidtas, av hänsyn till ett viktigt allmänt intresse kan besluta om andra undan- tag, antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten. I svensk rätt har en sådan möjlighet införts i 20 § PUL. Enligt den bestämmelsen får regeringen, eller den myn- dighet som regeringen bestämmer, meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I 8 § PUF har regeringen även föreskrivit att känsliga personuppgifter, utöver de undantag som anges i personuppgiftslagen, får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

I registerlagstiftningen är känsliga personuppgifter ofta föremål för särskild reglering. I verksamhet enligt utlännings- och medborgar- skapslagstiftningen förekommer känsliga personuppgifter i stor ut- sträckning och omfattar alla de kategorier av uppgifter som anges i 13 § PUL. De undantag som finns i personuppgiftslagen eller dess förordning är dock inte tillräckliga för att täcka all den behandling som i dag utförs av de myndigheter som omfattas av den föreslagna lagen. En reglering av behandlingen av känsliga personuppgifter krävs således i den kommande utlänningsdatalagen.

Det finns olika möjliga modeller för en sådan reglering. I vissa registerförfattningar har exempelvis lagstiftaren specificerat vilka känsliga personuppgifter som får behandlas och för vilka ändamål behandling får ske. I vissa senare registerlagar, till exempel polisdata- lagen och kustbevakningsdatalagen, är däremot utgångspunkten att känsliga personuppgifter, liksom övriga personuppgifter, får be- handlas om det behövs för de ändamål som anges i lagen. Det finns dock en särskild bestämmelse som anger att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om per-

291

En ny lag om behandling av personuppgifter…

SOU 2015:73

sonens ras eller etniska ursprung, politiska åsikter, religiösa eller filo- sofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund, får de alltså kompletteras med sådana uppgifter som avses ovan när det är absolut nödvändigt för syftet med behandlingen. I polisdatalagen anges också att känsliga personuppgifter får behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I nuvarande utlänningsdataförordning finns vissa särskilda be- stämmelser som rör behandling av känsliga personuppgifter. Enligt 4 § utlänningsdataförordningen får uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet, hälsotillstånd och sexuell lägg- ning behandlas i verksamhetsregister, om uppgifterna är oundgäng- ligen nödvändiga för myndighetens handläggning av ärenden eller fullgörande av underrättelseskyldighet. Vidare får uppgifter om hälsotillstånd och andra personliga förhållanden behandlas, om upp- gifterna är oundgängligen nödvändiga för tagande i förvar eller verk- ställighet enligt utlänningslagen. I 5 § finns en generell bestämmelse som rör behandling av känsliga personuppgifter i verksamhets- register. Enligt bestämmelsen får sådana uppgifter behandlas endast om uppgifterna är oundgängligen nödvändiga för myndigheternas handläggning av ärenden och fullgörande av underrättelseskyldighet. Av 7 § följer vidare att känsliga personuppgifter inte får användas som sökbegrepp i myndigheternas verksamhetsregister. I Migrations- verkets landinformationsregister får känsliga personuppgifter endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra uppgifter i verksamhet inom utlännings- och medborgarskapslagstiftningen, se 12 § nuva- rande utlänningsdataförordningen.

7.11.4Utredningens överväganden

Utredningens förslag: Känsliga personuppgifter som anges i 13 § PUL får, förutom då den registrerade har lämnat sitt samtycke eller offentliggjort uppgifterna, behandlas endast om det är absolut nödvändigt för de ändamål som anges i lagen.

292

SOU 2015:73

En ny lag om behandling av personuppgifter…

Känsliga personuppgifter får dock inte behandlas för åter- sökning av rättslig information. Vid återsökning av information rörande förhållanden i andra länder får känsliga personuppgifter behandlas bara i löpande text.

Som ovan nämnts medför verksamhet på utlännings- och medborgar- skapslagsområdet behandling av känsliga personuppgifter i stor omfattning och behandlingen omfattar alla de kategorier av upp- gifter som anges i 13 § PUL. Till exempel kräver handläggningen av asylärenden hos Migrationsverket behandling av känsliga person- uppgifter, eftersom den asylsökandens hälsotillstånd, etnicitet eller sexuella läggning är uppgifter som kan ha betydelse för en mängd beslut som fattas i asylprocessen. Uppgifterna härrör i sådana fall ofta från vad den sökande själv har uppgett till myndigheten. Ett annat exempel på ärenden som kräver behandling av känsliga person- uppgifter är verkställighetsärenden, där bland annat behandling av uppgifter om den enskildes hälsa kan vara nödvändig. Inte sällan ligger det i den registrerades eget intresse att sådana uppgifter om honom eller henne kan behandlas och beaktas. Myndigheterna måste således kunna behandla känsliga personuppgifter med hjälp av modern informationsteknik.

Annat har inte framkommit än att myndigheternas behov av behandling av känsliga personuppgifter i huvudsak tillgodoses genom de undantag från det generella förbudet att behandla känsliga per- sonuppgifter som följer av nuvarande utlänningsdataförordning. Motsvarande undantag bör därför införas i den nya lagen.

Behandling av känsliga personuppgifter bör alltså vara tillåten om den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Det är troligt att samtycke till behandling av känsliga person- uppgifter på utlännings- och medborgarskapsområdet inte kommer att ha någon större praktisk betydelse. Ett giltigt samtycke förut- sätter nämligen en frivillig, särskild och otvetydig viljeyttring genom vilken de registrerade, efter att ha fått information, godtar behand- ling av personuppgifter som rör honom eller henne (3 § PUL). Det är inte heller så naturligt att tala om samtycke i dessa sammanhang. Det skulle därför kunna övervägas att i den nya lagstiftningen inte ge ett samtycke någon rättsverkan. Regler om samtycke till behand- ling av känsliga personuppgifter finns dock i artikel 8.2 punkt a

293

En ny lag om behandling av personuppgifter…

SOU 2015:73

dataskyddsdirektivet. Dessa regler innebär att behandling av käns- liga personuppgifter är tillåten om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Eftersom ett syfte med data- skyddsdirektivet är att inte hindra det fria flödet av personuppgifter inom unionen, bör enligt utredningen motsvarande regler om sam- tycke gälla i utlänningsdatalagen.

Därutöver bör känsliga personuppgifter endast få behandlas för handläggning av ärenden eller en myndighets biträde i sådana ären- den, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlän- ningar, tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik, testverksamhet samt uppgiftsutlämnande i vissa fall, om uppgifterna är absolut nödvändiga för syftet med behandlingen. Känsliga personuppgifter bör även få behandlas av Migrationsverket i löpande text för återsökning av information röran- de förhållanden i andra länder, om uppgifterna är absolut nöd- vändiga för att fullgöra arbetsuppgifter i Migrationsverkets verk- samhet såsom den anges i 2 § i utredningens förslag till kommande utlänningsdatalag.

Vad gäller regleringen av i vilka fall som känsliga personupp- gifter får behandlas används i nuvarande utlänningsdataförordning rekvisitet om det är oundgängligen nödvändigt. Utredningen föreslår i stället, som ovan nämnts, att det mer moderna begreppet absolut nödvändigt ska används i den nya lagen. Syftet med rekvisiten är dock det samma, det vill säga att markera att behandlingen av käns- liga personuppgifter bör ske med försiktighet och aldrig slentrian- mässigt. Rekvisiten innebär emellertid inte att känsliga personupp- gifter endast får behandlas i undantagsfall. Som ovan anförs kräver verksamheten på utlännings- och medborgarskapsområdet ofta att känsliga personuppgifter behandlas. Genom rekvisitet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det en- skilda ärendet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.

Känsliga personuppgifter får alltså i dag inte behandlas för ända- målen tillsyn, kontroll, uppföljning, planering av verksamheten, fram- ställning av statistik eller testverksamhet, se 5 § nuvarande utlän-

294

SOU 2015:73

En ny lag om behandling av personuppgifter…

ningsdataförordning. Migrationsverket har dock uppgett att det föreligger ett behov av att kunna behandla känsliga personuppgifter även för dessa ändamål för att kunna tillgodose både externa och interna intressen i vissa fall.

Som tidigare nämnts är det nödvändigt i verksamheten på utlän- nings- och medborgarskapsområdet att behandla känsliga person- uppgifter i stor omfattning. Ofta är ärendena hos verket av det slag att känsliga personuppgifter måste behandlas för att verksamheten ska fungera, vilket som ovan nämnts även är tillåtet. Verksamhet som syftar till ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet är starkt integrerad med Migrationsverkets ärendehantering. Verket ska fort- löpande bevaka effektiviteten och kvaliteten i verksamheten. Detta åtagande förutsätter uppföljning och kontroll av olika slag och då kan känsliga personuppgifter många gånger vara relevanta. Migrations- verket har vidare krav på sig att föra statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Vidare kan utländska organ, exempelvis UNCHR, begära viss statistik som bygger på känsliga personuppgifter (exempelvis rörande verkets hand- läggning av asylärenden som rör HBTQ-personer, dvs. homosexuella, bisexuella, trans- och queerpersoner). Rimligen finns det enligt ut- redningens bedömning ett lika stort behov för Migrationsverket att kunna behandla känsliga personuppgifter för tillsyn, kontroll, upp- följning, planering av verksamheten, framställning av statistik eller testverksamhet som för ärendehanteringen. En effektiv hantering av dessa frågor torde därför förutsätta att verket får behandla även känsliga personuppgifter i sådan verksamhet.

Behandlingen av känsliga personuppgifter kan dock även i detta fall medföra integritetsrisker. Utredningen anser emellertid att Migrationsverkets rutiner för dataskydd och säkerhet vid behand- lingen bör kunna utgöra en tillräcklig garanti för att hanteringen av känsliga personuppgifter blir lika god vid aktuella ändamål som vid ärendehanteringen. Migrationsverket bör därför enligt utredningen ges rätt att behandla känsliga personuppgifter även för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställ- ning av statistik eller testverksamhet. Känsliga personuppgifter som behandlas för dessa ändamål bör dock genast gallras när behand- lingen inte längre är nödvändig för ändamålet. En föreskrift om detta bör tas in i den nya utlänningsdataförordningen.

295

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.12Tillgången till personuppgifter

7.12.1Allmänt om behörighetsbegränsningar

Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i den personliga integriteten. Ett sätt att stärka integ- ritetsskyddet är att begränsa antalet personer som har tillgång till uppgifterna samt att begränsa deras hantering av uppgifterna.

Modern teknik har gjort det möjligt att begränsa en enskild tjänste- mans tillgång till personuppgifter som behandlas automatiserat till en viss information så att denne endast har behörighet till de upp- gifter som han eller hon behöver för att utföra sina arbetsuppgifter. I registerförfattningar av senare datum är det vanligt att det finns en särskild bestämmelse som reglerar tillgången till personuppgifter. Exempel på detta är polisdatalagen och kustbevakningsdatalagen i vilka det finns bestämmelser om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna full- göra sina arbetsuppgifter.

Myndigheterna som behandlar personuppgifter på utlännings- och medborgarskapsområdet har redan i dag behörighetssystem som ska reglera de anställdas tillgång till personuppgifter. Behörigheterna kan anpassas till den anställdes behov med hänsyn till tjänstenivå och arbetsuppgifter.

Migrationsverket har till exempel i dag system för autentisering som innebär att det krävs ett ”smartkort” med en tillhörande pinkod för att få tillgång till Migrationsverkets interna datasystem. Vidare finns ett system för auktorisering, genom vilket behörigheten till olika datasystem begränsas till vad varje enskild person behöver med hänsyn till hans eller hennes befattning, vilken uppgift han eller hon utför och var i arbetsprocessen han eller hon befinner sig.

Under år 2009 granskade Datainspektionen hur ett antal stora statliga myndigheter behandlar personuppgifter i sina verksamheter (Datainspektionens åtkomstprojekt). Inom ramen för detta projekt genomförde Datainspektionen i januari 2009 en inspektion av Migrationsverkets personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyr- ning, rutiner för behandlingshistorik (logg) och åtkomstkontroll (logguppföljning) samt omfattningen av anställdas åtkomst till in- skannat material i elektroniska ärendehanteringssystem (ärende dnr

296

SOU 2015:73

En ny lag om behandling av personuppgifter…

1807-2008). Härefter har Datainspektionen gjort uppföljningar (ärende dnr 1601-2011, dnr 1332-2012 och dnr 761-2013). Data- inspektionen har förelagt Migrationsverket att inkomma med skrift- liga åtgärdsplaner avseende bland annat vilka åtgärder myndigheten avser vidta för att begränsa åtkomsten till skyddade personupp- gifter och skriftliga redogörelser för vilka konkreta åtgärder Migra- tionsverket är berett att vidta för att säkerställa verkningsfulla logg- kontroller m.m. Samtliga ärenden har numera avslutats då Data- inspektionen fått in den redovisning som begärts.

7.12.2Utredningens överväganden

Utredningens förslag: Tillgången till personuppgifter ska begrän- sas till vad varje tjänsteman behöver för att fullgöra sina arbets- uppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.

I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas en stor mängd personuppgifter. Många av dessa är känsliga personuppgifter enligt 13 § PUL eller i övrigt av integritetskänslig karaktär. Det är viktigt att så långt som möjligt motverka att upp- gifterna sprids till någon som inte är behörig att ta del av dem. Enligt utredningens bedömning är det lämpligt att en sådan bestämmelse som beskrivs ovan införs även i den nya utlänningsdatalagen. Det är dock svårt att i detalj förutse och reglera vilken information varje anställd bör få tillgång till i olika sammanhang. Bestämmelsen måste därför bli allmänt formulerad. Det bör i stället vara den enskilda myndighetens ansvar att, med utgångspunkt i den egna myndighetens organisation och behov, se till att tillgången till personuppgifter begränsas i enlighet med den föreslagna bestämmelsen. Regeringen eller den myndighet som regeringen bestämmer bör därför ha möjlig- het att meddela närmare föreskrifter om tillgången till person- uppgifter. Migrationsverket, Polismyndigheten och Säkerhetspolisen bör således få möjlighet att meddela närmare föreskrifter om till- gången till personuppgifter för personer som är verksamma inom respektive myndighet. Migrationsverket bör också få meddela sådana föreskrifter för utlandsmyndigheterna när det gäller uppgifter som

297

En ny lag om behandling av personuppgifter…

SOU 2015:73

behandlas automatiserat. Enligt utredningens förslag till förordning ska vid tilldelning av behörighet för åtkomst till personuppgifter särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ansvarar vidare enligt utredningens förslag för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden upp- följning av behörigheter för åtkomst till personuppgifter. Migrations- verket bör vidare ansvara för utlandsmyndigheternas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter vid automatiserad be- handling av personuppgifter.

7.13Sökbegränsningar

7.13.1Allmänt om sökbegränsningar

I nuvarande utlänningsdataförordning finns vissa bestämmelser som rör sökbegrepp. Enligt 7 § får känsliga personuppgifter som anges i 13 § PUL inte användas som sökbegrepp i verksamhetsregister. I fråga om register som förs för ändamålet att återsöka information om förhållanden i andra länder (landinformationsregister) får person- uppgifter som direkt pekar ut den registrerade, till exempel namn, inte användas som sökbegrepp, se 13 § utlänningsdataförordning.

Vid behandling av personuppgifter är det från ett integritets- perspektiv viktigt i vilken utsträckning uppgifter kan sökas och sam- manställas. Generellt kan sägas att ju större möjligheter det finns att på olika sätt sammanställa uppgifter om enskilda, desto större blir riskerna för intrång i enskildas integritet. Ett förbud mot att använda vissa sökbegrepp kan å andra sidan försvåra en myndighets effektiva arbete.

298

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.13.2Utredningens överväganden

Utredningens förslag: Känsliga personuppgifter som anges i 13 § PUL får användas som sökbegrepp vid behandling för ända- målet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.

Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information rörande förhållanden i andra länder. Personuppgifter om lagöverträdelse m.m. får inte användas som sökbegrepp. Uppgift om beslut om förvar enligt utlänningslagen bör dock få användas som sökbegrepp.

Sökningar på känsliga personuppgifter är typiskt sett förknippade med särskilda risker i integritetshänseende. I många registerlagar är det därför förbjudet att använda känsliga personuppgifter som sök- begrepp. Skälet till detta är att det inte helt kan uteslutas att sam- manställningar över känsliga personuppgifter kan komma att miss- brukas med risk för allvarliga intrång i enskildas personliga integritet.

Ett annat viktigare skäl till att vissa sökbegrepp ofta är förbjudna att använda har samband med den s.k. begränsnings- regeln i 2 kap. 3 § tredje stycket TF. Den innebär att en potentiell handling inte är förvarad hos myndigheten, och den är därmed inte en allmän handling, om sammanställningen innehåller personupp- gifter och myndigheten inte enligt lag eller förordning har rättslig befogenhet att göra sammanställningen tillgänglig. Syftet med be- gränsningsregeln är att hindra allmänheten från att göra anspråk på att få del av sammanställningar av uppgifter ur upptagningar hos myndigheten som myndigheten själv, av integritetsskäl, är rättslig- en förhindrad att ta fram i sin egen verksamhet. Integritetsskyddet ska alltså upprätthållas även om 2 kap. TF åberopas (se SOU 2010:4 s. 143 och SOU 2012:90 s. 115).

Inskränkningar i myndigheternas möjligheter att söka i sina upp- giftssamlingar behövs således för att skydda den enskildes integritet. Men följden av sådana inskränkningar blir också att användbar- heten av myndigheternas uppgiftssamlingar begränsas.

Enligt utredningens förslag får känsliga personuppgifter över huvud taget inte behandlas för återsökning av avgöranden, rättsut-

299

En ny lag om behandling av personuppgifter…

SOU 2015:73

redningar och annan rättslig information, se avsnitt 7.11.4. Det innebär att känsliga personuppgifter inte heller kan användas som sökbegrepp för detta ändamål.

Migrationsverket har framhållit att användningen av känsliga personuppgifter som sökbegrepp kan utgöra ett viktigt verktyg för tillsyn, kontroll, uppföljning, planering av verksamheten, framställ- ning av statistik eller testverksamhet. Verket har som exempel pekat på UNCHR:s framställningar om information om verkets hand- läggning av asylärenden som rör HBTQ-personer (se avsnitt 7.11.6). För att tillhandahålla begärd statistik anser sig verket behöva söka på känsliga personuppgifter som rör sexuell läggning av aktuellt slag. Det är enligt verket knappast möjligt att genom manuella sökningar få fram begärd information.

Utredningen har förståelse för att det högst avsevärt skulle under- lätta för verket om det var möjligt att söka på känsliga person- uppgifter vid framställning om statistik av berört slag. Det finns enligt utredningen goda skäl för att verket bör ha möjlighet att söka på beskrivna uppgifter för att kunna efterkomma kraven på stati- stik.

Det finns också andra liknande situationer då det framstår som lika rimligt att Migrationsverket för ändamålet tillsyn, kontroll, upp- följning, planering av verksamheten, framställning av statistik eller testverksamhet bör få behandla känsliga personuppgifter. Verket bör således enligt utredningen ha möjlighet att mäta tendenser som är av betydelse för verksamheten. Det kan till exempel finnas an- ledning att följa upp och planera för flyktingströmmar från en viss etnisk konflikt eller för att kunna bereda verksamheten på att ta emot stora strömmar av asylsökande som är HIV-bärare eller drab- bade av svåra miljökatastrofer.

Sammanfattningsvis menar utredningen att känsliga personupp- gifter bör få användas som sökbegrepp när det gäller personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering, fram- ställning av statistik samt testverksamhet. Med tanke på att person- uppgifterna normalt torde omfattas av sekretess och på att endast ett fåtal anställda är sysselsatta med den verksamhet som det här är fråga om bör detta vara acceptabelt från integritetssynpunkt. Utred- ningen föreslår även att en särskild bestämmelse om gallring ska införas för sådana personuppgifter, se avsnitt 7.11.4.

300

SOU 2015:73

En ny lag om behandling av personuppgifter…

I dag får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information rörande förhållanden i andra länder. Enligt utredningen bör den sökbegränsningen gälla fortfarande.

Enligt utredningen bör vidare sökningar inte få göras på andra personuppgifter om lagöverträdelser m.m. som avses i 21 § PUL än uppgifter som avser beslut om förvar enligt utlänningslagen. Förvar är ett frihetsberövande som vidtas inom det egna verksamhetsområ- det. Det är därför naturligt och acceptabelt utifrån integritetssyn- punkt att uppgifter om förvar får sökas och sammanställas av myn- digheter som är inbegripna i verksamheten.

7.14Annat elektroniskt utlämnande än genom direktåtkomst

7.14.1Allmänt om annat elektroniskt utlämnande än genom direktåtkomst

Personuppgifter som behandlas hos myndigheter kan lämnas ut på olika sätt, till exempel muntligen, på papper eller i elektronisk form. Alla dessa sätt utgör behandling av personuppgifter enligt person- uppgiftslagens definition. Utlämnande i elektronisk form, dvs. på medium för automatiserad behandling, kan innebära att elektronisk information till exempel överförs via e-post, genom utlämnande av uppgifter på cd-rom, DVD, USB-minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. Begreppet utlämnande på medium för automatiserad behandling har dock i takt med att tekniken utvecklats ibland getts en vidare innebörd (se SOU 2012:90 s. 198). I förarbetsuttalanden har som exempel på sådant utlämnande exempelvis framhållits s.k. batch- körningar, ett automatiskt utlämnande efter sökningar och samman- ställningar där svar lämnas med viss tidsfördröjning (se prop. 2000/01:129 s. 76 och prop. 2007/08:160 s. 60). Begreppet utläm- nande på medium för automatiserad behandling får i dag anses som omodernt och bör därför inte användas, se SOU 2015:39 s. 442.

Personuppgiftslagen skiljer inte på elektroniskt utlämnande och utlämnande i annan form och innehåller inga särskilda regler för utlämnande i elektronisk form. Något krav på särskild reglering för utlämnande på medium för automatiserad behandling i författningar

301

En ny lag om behandling av personuppgifter…

SOU 2015:73

som innehåller särreglering i förhållande till personuppgiftslagen finns således egentligen inte heller. Utlämnande av personuppgifter på medium för automatiserad behandling anses emellertid medföra särskilda risker från integritetssynpunkt (se prop. 2009/10:85 s. 184 f. och prop. 20011/12:45 s. 96 f.). Sådant utlämnande medför vanligt- vis att mottagaren på ett enkelt sätt kan bearbeta informationen, till exempel genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det anses öka riskerna för att uppgifterna ska behandlas på ett sätt som innebär att den enskildes integritet kränks.

7.14.2Utredningens överväganden

Utredningens bedömning: Någon regel som tillåter eller för- bjuder att personuppgifter lämnas ut genom annat elektroniskt utlämnande än direktåtkomst behövs inte i lagen.

I nuvarande utlänningsdataförordning finns inga särskilda regler om annat elektroniskt utlämnande än genom direktåtkomst. Ett undan- tag finns dock i bestämmelsen i 10 § andra stycket, av vilken det framgår att uppgifter ur Migrationsverkets fingeravtrycksregister får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning.

I praktiken sker elektroniskt utlämnande på annat sätt än genom direktåtkomst i många olika situationer inom verksamhet för utlän- nings- och medborgarskapslagstiftningen. Uppgifter lämnas ut av exempelvis Migrationsverket på begäran av andra myndigheter för att användas i den mottagande myndighetens verksamhet eller för att verket ska kunna fullgöra sina uppgifter inom utlännings- och medborgarskapsverksamheten. Exempelvis lämnar Migrationsverket personuppgifter till Skatteverket via cd-rom. Utlämnande av upp- gifter på medium för automatiserad behandling sker också till privata bolag. Migrationsverket skickar till exempel filer som innehåller personuppgifter till passleverantören Gemalto AB och till Strålfors svenska AB som skriver ut och kuverterar kallelser, beslut m.m. för myndighetens räkning. Myndigheternas kommunikation med exem- pelvis parter och ombud via e-post kan också innebära utlämnande av personuppgifter.

302

SOU 2015:73

En ny lag om behandling av personuppgifter…

Som anförts anses även annat elektroniskt utlämnande än genom direktåtkomst medföra vissa integritetsrisker. Det är dock från ett effektivitetsperspektiv viktigt att myndigheterna har möjlighet att utnyttja automatiserade förfaranden i sin verksamhet. Om elektro- niskt utlämnande inte får ske, måste den utlämnande myndigheten göra utskrifter på papper och skicka till mottagaren. Mottagaren måste därefter eventuellt vidta åtgärder för att överföra uppgifterna till elektronisk form igen. Denna ordning framstår som onödigt ineffektiv och tidskrävande, särskild som exempelvis myndigheter i allt större utsträckning övergår till helt elektronisk informations- hantering.

Skyddet för den personliga integriteten bör enligt utredningens bedömning kunna upprätthållas på andra sätt än genom begräns- ning av formen för utlämnande. De utlämnande myndigheterna får endast behandla personuppgifter för utlämnande för vissa i lagen angivna ändamål eller för ändamål som inte är oförenliga med dessa ändamål. Även de mottagande myndigheternas behandling av person- uppgifterna styrs vanligtvis av särskilda författningar med ända- målsbestämmelser som reglerar för vilka ändamål behandling får ske. Vidare är den personuppgiftsansvariga myndigheten skyldig att vidta lämpliga tekniska åtgärder för att skydda de uppgifter som behandlas (31 § PUL). Myndigheten ansvarar således för att över- föringen sker på ett säkert sätt, till exempel att uppgifterna kryp- teras innan de överförs till mottagaren. Utlämnande av uppgifter ska också föregås av en sekretessprövning. Det bör därför samman- fattningsvis inte införas någon särskild regel om utlämnande av personuppgifter i annan elektroniskt form än genom direktåtkomst i den nya lagen, se även SOU 2015:39 s. 44 f. Det bör inte heller införas någon motsvarande konstruktion som den som finns i polis- datalagen att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling (se 2 kap. 20 § PDL). En sådan modell skulle enligt utredningen kunna försvåra Migrationsverkets arbete utan att egentligen främja enskildas integritet. Utredningens principiella slutsats när det gäller utlämnande på medium för auto- matiserad behandling innebär också att någon motsvarighet inte behövs till föreskriften i nuvarande utlänningsdataförordning att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning, se avsnitt 7.10.

303

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.15Direktåtkomst

7.15.1Allmänt om direktåtkomst

En typ av utlämnande i elektronisk form som brukar förknippas med särskilda risker är direktåtkomst. Någon legaldefinition av be- greppet direktåtkomst finns inte (se SOU 2012:90 s. 198 och SOU 2015:39 s. 389 f.). Enligt Informationshanteringsutredningen bör begreppet, liksom hittills gjorts, definieras på så sätt att en direkt- åtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF (se SOU 2015:39 s. 390 f.). Utredningen utgår från denna definition i sina fortsatta överväganden.

Ett skäl till att direktåtkomst anses innebära särskilda risker för otillbörligt integritetsintrång är att de upptagningar som direktåt- komsten avser blir allmänna handlingar hos en mottagande myndig- het (se SOU 2012:90 s. 64 f. och 123 f. samt SOU 2015:39 s. 134 f.). Allmänna handlingar är som huvudregel offentliga och rätten att ta del av dem får begränsas endast av de skäl som anges i 2 kap. TF och endast om det anges i lag. Ju fler myndigheter som har direkt- åtkomst till uppgifter i ett datasystem, desto större blir således allmänhetens möjlighet att få tillgång till dessa uppgifter (se SOU 2003:40 s. 201).

Bestämmelser om direktåtkomst är ofta begränsade på så sätt att direktåtkomst bara medges till vissa typer av uppgifter som behövs i en viss typ av ärenden eller verksamhet hos den mottagande myn- digheten. För att den mottagande myndigheten ska kunna utnyttja direktåtkomsten måste myndigheten dock ha teknisk tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas i myndig- hetens verksamhet. Sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten anses förvarade hos myndigheten och utgör således en allmän handling hos den myndigheten, se 2 kap. 3 § andra stycket TF. Detta gäller även om den mottagande myndigheten inte använ- der uppgiften i sin egen verksamhet.

Generellt kan sägas att möjligheten till direktåtkomst ökar riskerna för intrång i den personliga integriteten, eftersom det typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar.

304

SOU 2015:73

En ny lag om behandling av personuppgifter…

I registerförfattningar finns ofta särskilda bestämmelser avseende utlämnande på medium för automatiserad behandling och direkt- åtkomst. Genom informationsteknikens utveckling har emellertid gränserna mellan de olika utlämnandeformerna blivit svårare att dra (se SOU 2012:90 s. 198 f.). Gränsdragningsproblematiken har under senare år behandlats vid ett antal tillfällen i samband med lagstift- ning på registerförfattningsområdet (se prop. 2002/03:135 s. 89, SOU 2006:82 s. 221 f. och prop. 2011/12:45 s. 132 f.). Regeringen har i olika motivuttalanden konstaterat att begreppsbildningen av- seende olika former av elektroniskt utlämnande i registerförfatt- ningar är oklar, att mycket står att vinna med en mer enhetlig och tydlig begreppsbildning, men att frågan inte bör lösas inom ramen för ett enskilt lagstiftningsärende (se prop. 2007/08:160 s. 58). Lagstiftaren har således fortsatt att i de olika registerförfattningar- na göra åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Exempel på en sådan reglering finns i nuvarande utlänningsdataförordningen, lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, polisdata- lagen och kustbevakningsdatalagen.

För att komma tillrätta med bland annat denna problematik till- sattes år 2011 Informationshanteringsutredningen (dir. 2011:86) (se avsnitt 6.9). Utredningen fick enligt tilläggsdirektiv bland annat i uppdrag att utreda förutsättningarna för att skapa en generell, en- hetlig och helt eller i vart fall delvis samlad reglering för myndig- heternas personuppgiftsbehandling (dir. 2014:31). Utredningen fick i samband därmed i uppdrag att behandla frågan om det finns skäl att behålla åtskillnad mellan olika former av elektroniskt utläm- nande (se SOU 2012:90 s. 197 f.). I sitt slutbetänkande Myndighets- datalag gör utredningen bedömningen att det från både principiella och rättsliga synpunkter finns starkt vägande skäl för att behålla en begreppsmässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form (se SOU 2015:39 s. 149 f.). I konsekvens härmed innehåller den av utredningen före- slagna lagstiftningen olika reglering för direktåtkomst respektive annat utlämnande i elektronisk form. När det gäller begreppet direkt- åtkomst anser utredningen att direktåtkomst, liksom i dag, bör som sagts ovan definieras på så sätt att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk till-

305

En ny lag om behandling av personuppgifter…

SOU 2015:73

gång till upptagningar som avses i 2 kap. 3 § andra stycket TF (a.a. s. 390 f.).

Enligt 6 § nuvarande utlänningsdataförordning får Polismyndig- heten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direkt- åtkomst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsupp- gifter i verksamhet enligt utlännings- och medborgarskapslagstift- ningen. Polismyndigheten, Säkerhetspolisen och utlandsmyndig- heterna har för närvarande direktåtkomst till Migrationsverkets centrala utlänningsdatabas, CUD.

Migrationsverket har träffat en överenskommelse, den s.k. Wilma- överenskommelsen (inklusive bilagorna Wilma I-III), med Riks- polisstyrelsen avseende polisverksamheternas åtkomst till CUD. Överenskommelsen innehåller bland annat uppgift om vilka upp- gifter Rikspolisstyrelsen får ta del av genom direktåtkomst, begräns- ning av användningen av uppgifterna och krav på de personer som ska få tillgång till uppgifterna genom direktåtkomst. Med anled- ning av polisens nya organisation från och med den 1 januari 2015 har Migrationsverket och de nya myndigheterna Polismyndigheten och Säkerhetspolisen inlett en dialog avseende ändring av överens- kommelserna.

Utlandsmyndigheternas direktåtkomst är inte reglerad av någon särskild överenskommelse mellan myndigheterna. Tillgången till per- sonuppgifter regleras i stället genom en uppdelning av behörighet på olika grupper, som bestäms av Migrationsverket.

Även Försäkringskassan och Pensionsmyndigheten får i dag ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § nuvarande utlänningsdataförordning. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ären- de om motsvarande stöd. Försäkringskassan och Pensionsmyndig- heten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verk- samhet som avser registrering av enskilda. Vidare får direktåtkom- sten endast avse uppgift om

306

SOU 2015:73

En ny lag om behandling av personuppgifter…

1.namn, personnummer och i förekommande fall samordnings- nummer,

2.bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,

3.dag för beslut om uppehållstillstånd, arbetstillstånd eller utfär- dande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehålls- kort har utfärdats,

4.inresedatum,

5.datum för ansökan om uppehållstillstånd, arbetstillstånd eller uppehållskort,

6.särskilt bevis enligt 5 kap. 4 § tredje stycket UtlF,

7.att uppehållstillstånd har beviljats den enskilde som flykting enligt 4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § UtlL eller motsvarande äldre bestämmelser,

8.att statusförklaring har beviljats enligt 4 kap. 3 c § UtlL eller mot- svarande äldre bestämmelser,

9.att uppehållstillstånd har beviljats den enskilde för studier eller som familjemedlem till en sådan person och

10.beslut om återkallelse av uppehållstillstånd eller arbetstillstånd, uppgift om från och med vilket datum uppehållstillstånd eller arbetstillstånd har återkallats samt uppgift om från och med vilket datum beslut om återkallelse av uppehållstillstånd eller arbets- tillstånd har vunnit laga kraft.

Försäkringskassan och Pensionsmyndigheten har ännu inte någon direktåtkomst till Migrationsverkets verksamhetsregister och det finns inte heller någon överenskommelse mellan myndigheterna härom. För närvarande pågår dock arbetet med att etablera direktåtkomst för Försäkringskassan.

Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 b § nuvarande utlän- ningsdataförordning. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identi-

307

En ny lag om behandling av personuppgifter…

SOU 2015:73

tetskort enligt förordningen (2009:284) om identitetskort för folk- bokförda i Sverige1. Direktåtkomsten får endast avse uppgift om namn och personnummer, längd, fotografi, underskrift, typ av rese- handling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd. Skatteverket har även i praktiken direktåtkomst till Migrationsverkets verksamhetsregister och myndigheterna har träffat en överenskommelse som reglerar direktåtkomsten. I över- enskommelsen specificeras vilka uppgifter som direktåtkomsten avser. I överenskommelsen anges angående säkerhet och spårbarhet att Skatteverket ansvarar för att individer med sekretesskyddade per- sonuppgifter endast handläggs av särskilda sekretesshandläggare. Migrationsverket loggar alla slagningar från Skatteverket. Skatteverket ska vid förfrågan kunna ange vem som utfört en slagning och varför slagning skett.

7.15.2Utredningens överväganden

Utredningens förslag: Polismyndigheten, Säkerhetspolisen, ut- landsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket får för vissa särskilda ändamål medges direkt- åtkomst till Migrationsverkets personuppgifter som behandlas automatiserat. Inhämtade uppgifter får endast behandlas för dessa särskilda ändamål.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåt- komsten samt om behörighet och säkerhet.

I utlänningslagen föreslås en sekretessbrytande bestämmelse enligt vilken Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna har rätt att ta del av uppgifter om enskilda hos Migrationsverket.

1 Behandlingen av uppgifter enligt förordningen kommer sannolikt i framtiden delvis att reg- leras i en särskild lag om identitetskort för folkbokförda i Sverige. Ett förslag till lag bereds för närvarande inom Regeringskansliet. Se promemorian Vissa registerfrågor (Finansdeparte- mentet, april 2015).

308

SOU 2015:73

En ny lag om behandling av personuppgifter…

Enligt utredningen bör utgångspunkten för en kommande reglering vara att terminologin bör överensstämma med den som Informations- hanteringsutredningen har föreslagit. Det innebär att begreppet direktåtkomst bör ges den innebörd som får anses vara den redan etablerade.

Nästa fråga är hur tillgången till uppgifter genom direktåtkomst bör regleras i den nya lagen. Som framgår av föregående avsnitt får enligt nuvarande utlänningsdataförordning Polismyndigheten, Säker- hetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensions- myndigheten och Skatteverket ha direktåtkomst till vissa uppgifter hos Migrationsverket. Frågan om lämpligheten av direktåtkomst för berörda myndigheter har således redan övervägts av regeringen. Utredningen har inte någon anledning att ifrågasätta dessa över- väganden och utgår från att dagens reglering i huvudsak ska bestå. Det innebär att dessa myndigheter bör få ha direktåtkomst för samma ändamål och i samma utsträckning som i dag. Utredningen vill ändå något beröra nuvarande ordning. Som kommer att framgå menar utredningen att det finns anledning till vissa mindre juste- ringar av gällande reglering.

Innan utredningen resonerar kring nuvarande ordning ska dock en annan fråga tas upp. En fråga att överväga är om det finns andra än ovannämnda myndigheter som bör kunna medges direktåtkomst till Migrationsverkets uppgifter. Migrationsverket har upplyst om att verket för närvarande arbetar med en s.k. visningstjänst, som inne- bär att enskilda genom direktåtkomst till Migrationsverket skulle kunna få tillgång till vissa uppgifter om sig själva, framför allt sådana som rör handläggningen av deras ärenden. Verket har dock inte (juni 2015) presenterat något egentligt underlag för hur denna direkt- åtkomst är tänkt att se ut enligt verket. Utredningen anser i och för sig att tanken att enskilda ska kunna få viss direktåtkomst till upp- gifter om sig själva är god. En sådan möjlighet kräver dock åtskilliga rättsliga överväganden. Eftersom Migrationsverkets arbete, som ut- redningen förstår det, med visningstjänsten än så länge inte har kommit så långt, är det inte möjligt att på befintligt underlag göra de överväganden som krävs. Utredningen kan därför inte lägga fram något förslag om direktåtkomst för enskilda. Avslutningsvis i detta avsnitt tar utredningen upp frågan om regleringen i lag av direkt- åtkomst bör vara uttömmande.

309

En ny lag om behandling av personuppgifter…

SOU 2015:73

Modern teknik har medfört att information på ett enkelt sätt kan sökas, sammanställas och överföras mellan myndigheter. Direkt- åtkomst kan innebära effektivitetsvinster för den mottagande myn- digheten, eftersom handläggande tjänstemän inte behöver begära ut de uppgifter som behövs för bedömningen av ett enskilt fall från den utlämnande myndigheten utan själv kan söka den information som krävs i den utlämnande myndighetens personuppgiftssamling. Direktåtkomst kan också innebära fördelar för den utlämnande myndigheten, eftersom den inte behöver avsätta resurser för att hantera de förfrågningar om utlämnande som kommer in från andra myndigheter. Det kan även innebära fördelar från informations- säkerhetssynpunkt, då överföring av information vid direktåtkomst kan ske på ett säkrare sätt än till exempel genom e-post.

Samtidigt anses direktåtkomst, som ovan framförts, typiskt sett innebära att risken för kränkningar av den enskildes integritet blir större. För att intrånget i den personliga integriteten vid direktåt- komst ska bli acceptabelt måste därför vissa krav ställas på denna (se prop. 2007/08:160 s.46 f., s. 56 f., SOU 2012:90 s. 123 f. samt SOU 2015:39 s. 138 f. och 387 f.). Vad det i princip handlar om är att skyddet för personuppgifterna vid direktåtkomst ska säkerställas på olika sätt. Om det skyddet kan garanteras, behöver enligt utred- ningen direktåtkomst inte vara så mycket känsligare än andra former av informationsutbyten. Det finns några aspekter som är särskilt viktiga.

En viktig fråga vid direktåtkomst är hur uppgifterna sprids och används hos den mottagande myndigheten. Om kretsen av personer som har tillgång till uppgifterna kan begränsas, är risken för integ- ritetsintrång generellt sett mindre. Den mottagande myndigheten måste därför begränsa åtkomstmöjligheterna så mycket som möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Anställda inom en myndighet bör endast ha elek- tronisk tillgång till de personuppgifter som de behöver i sitt arbete.

En närliggande fråga rör behovet av risk- och sårbarhetsanalys då direktåtkomst medges. I förarbetena till bestämmelsen om För- säkringskassans direktåtkomst till Migrationsverkets verksamhets- register konstateras att det med dagens teknik är möjligt att utforma system som innebär att det vid direktåtkomst bara är möjligt för handläggarna att söka på uppgifter om en viss person om den per- sonen är aktuell i den verksamhet där direktåtkomst tillåts (se

310

SOU 2015:73

En ny lag om behandling av personuppgifter…

prop. 2007/08:160 s. 97 f). För att säkerställa att sådana tekniska spärrar införs föreskrevs i paragrafen som reglerar Försäkrings- kassans direktåtkomst till Migrationsverkets uppgifter en bestämmel- se som anger att direktåtkomst får medges först sedan Migrations- verket försäkrat sig om att handläggare hos Försäkringskassan bara kan ta del av uppgifter om enskilda som är aktuella i ärenden eller i verksamhet som avser registrering av enskilda hos Försäkringskassan (se 6 a § första stycket nuvarande utlänningsdataförordning). Mot- svarande gäller i dag när Pensionsmyndigheten ska medges direkt- åtkomst till Migrationsverkets personuppgifter. När det gäller kravet på risk- och sårbarhetsanalyser, se också SOU 2015:39 s. 387 f.

Ytterligare en aspekt att beakta vid direktåtkomst är att den mottagande myndigheten endast har direktåtkomst till sådana upp- gifter som myndigheten verkligen kan antas ha behov av. Införan- det av direktåtkomst bör därför föregås av en analys av vilka upp- gifter som är nödvändiga med hänsyn till ändamålen med behand- lingen. Från ett integritetsperspektiv är det också en fördel om det framgår av författningstexten vilka uppgifter som får inhämtas genom direktåtkomst.

En omständighet som också bör beaktas då direktåtkomst över- vägs är, i de fall direktåtkomsten avser sekretessbelagda uppgifter, vilka sekretessbestämmelser som blir tillämpliga hos de mottagande myndigheterna.

När det till en början gäller de anställdas elektroniska tillgång till personuppgifter föreslår utredningen att det i den kommande lagen införs en särskild bestämmelse, 16 §, enligt vilken den personuppgifts- ansvariga myndigheten har ansvar för att begränsa tillgången till personuppgifter till vad varje tjänsteman behöver för att kunna full- göra sina arbetsuppgifter (se avsnitt 7.12). Denna bestämmelse får anses uppfylla kravet på att uppgifterna inte sprids hos mottagar- myndigheterna på ett oacceptabelt sätt. Bestämmelsen kommer att bli tillämplig hos Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna. Den kommer däremot inte att bli tillämplig hos Försäkringskassan, Pensionsmyndigheten och Skatteverket, eftersom den nya lagen inte ska tillämpas av dessa myndigheter. En mot- svarande åtkomstregel bör därför finnas för dessa myndigheter. En sådan regel kan för Försäkringskassan och Pensionsmyndigheten lämpligen tas in i 114 kap. socialförsäkringsbalken (2010:110), som innehåller regler om behandling av personuppgifter hos dessa myndig-

311

En ny lag om behandling av personuppgifter…

SOU 2015:73

heter. I 114 kap. 17 § finns en åtkomstregel, som dock inte är tillämplig på den direktåtkomst som myndigheterna har till Migra- tionsverkets personuppgifter. Utredningen föreslår att regeln ändras så att den blir tillämplig även vid åtkomst av uppgifter från Migra- tionsverket.

När det gäller Skatteverket finns det ingen särskild regel om åt- komstbegränsning. Utredningen föreslår att 16 a § förordningen (2009:284) om identitetskort för folkbokförda i Sverige komplet- teras med ett andra stycke som anger att tillgången till aktuella upp- gifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Innan Migrationsverket medger direktåtkomst till personuppgifter bör verket göra en risk- och sårbarhetsanalys. Migrationsverket ska då kontrollera att mottagande myndigheter har ett tillräckligt skydd för mottagna personuppgifter. En bestämmelse bör därför finnas om att verket inte får medge någon direktåtkomst innan verket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet. En sådan bestämmelse motsvarar i huvud- sak 6 a § första stycket nuvarande utlänningsdataförordning. Vik- tiga instrument för risk- och sårbarhetsanalyserna är också de över- enskommelser som finns mellan Migrationsverket och mottagande myndigheter rörande behörighet och säkerhet vid direktåtkomst.

Migrationsverket bör vidare ha möjlighet att meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att verket ska kunna medge direktåtkomst, jmf. 14 § polisdata- förordningen (2010:1155). Syftet med en sådan bestämmelse är att betona vikten av att verket inte lättvindigt får för sig att medge direkt- åtkomst utan att ha funderat över säkerhetsaspekterna.

Vad sedan avser mottagande myndigheters behov av uppgifter kan det konstateras att det i 6 a och 6 b §§ i nuvarande utlännings- dataförordning specificeras vilka uppgifter som Försäkringskassans, Pensionsmyndighetens och Skatteverkets direktåtkomst får avse. Någon motsvarande begränsning av direktåtkomsten finns inte av- seende Polismyndigheten, Säkerhetspolisen och utlandsmyndig- heterna. Utredningen har övervägt om inte även sistnämnda myndig- heters direktåtkomst borde preciseras genom att i den kommande utlänningsdatalagstiftningen ange vilka slags uppgifter som myndig- heterna får ha direktåtkomst till. Tillgången skulle då inte som i dag

312

SOU 2015:73

En ny lag om behandling av personuppgifter…

begränsas till personuppgifter som är nödvändiga för att en tjänste- man ska fullgöra sina arbetsuppgifter.

Vad som talar för att precisera vilka uppgifter som Polismyndig- heten, Säkerhetspolisen och utlandsmyndigheterna får ha direktåt- komst till är att en sådan reglering bör minska risken för att myndig- heternas direktåtkomst blir alltför vid. Utredningens undersökningar visar dock att myndigheternas direktåtkomst i praktiken har be- gränsats till uppgifter som myndigheterna har behov av i sin verk- samhet. Det är även svårt att säkert förutse vilka slags uppgifter som Polismyndigheten och Säkerhetspolisen kan ha behov av. Utredningen har mot denna bakgrund kommit till slutsatsen att Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till Migrationsverkets personuppgifter bör utformas på i princip samma sätt som i dag, se 6 § nuvarande utlänningsdata- förordning. Inom ramen härför ligger även att Polismyndigheten får medges direktåtkomst till Migrationsverkets fingeravtrycks- register för att biträda verket med att registrera och kontrollera fingeravtryck mot detta register, se närmare härom i avsnitt 7.10.

Sammanfattningsvis bör alltså Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket på motsvarande sätt som gäller i dag få ha direkt- åtkomst till vissa uppgifter som Migrationsverket behandlar i sin verk- samhet. Direktåtkomst får dock inte omfatta avskilda uppgifter, se avsnitt 7.16.2. Myndigheterna får inte använda direktåtkomsten för andra ändamål än de som bestämmelserna tillåter myndigheterna att ha direktåtkomst för. Det innebär till exempel att Polismyndig- heten i brottsutredande syfte inte får använda direktåtkomsten till Migrationsverkets uppgifter för att kontrollera en brottsmisstänkt utlänning. Ibland kan man tänka sig att Polismyndighetens insats har dubbla syften. Om Polismyndigheten exempelvis stoppar en bil med utlänningar, kan omständigheterna vara sådana att det finnas anledning att kontrollera såväl om utlänningarna har rätt att uppe- hålla sig i landet som om bilen är stulen. När det gäller den först- nämnda frågan kan Polismyndigheten utnyttja sin direktåtkomst till Migrationsverkets uppgifter. Den personuppgiftsbehandling som måste utföras därför att bilen kan vara stulen måste dock göras med stöd av polisdatalagen. Polismyndigheten får vägledning i frågor av berört slag i den s.k. Wilmaöverenskommelsen, se avsnitt 7.15.1.

313

En ny lag om behandling av personuppgifter…

SOU 2015:73

En ytterligare fråga som är av betydelse för direktåtkomsten är, som sagts ovan, vad sekretessregleringen innebär för en sådan direkt- åtkomst. Frågan är viktig, eftersom handlingar som är åtkomliga genom direktåtkomst utgör allmänna handlingar även hos den mottagande myndigheten och det gäller alla de handlingar som görs tillgängliga genom direktåtkomsten, även de som utgör överskotts- information. Till en början kan konstateras att sekretess kan gälla hos Migrationsverket för de uppgifter som kommer att vara åtkom- liga för de myndigheter som får direktåtkomst. De sekretessbestäm- melser som i första hand kan vara aktuella hos verket är följande. Enligt 21 kap. 5 § första stycket OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen gäller alltså med s.k. rakt skaderekvisit, dvs. presum- tionen är att uppgifterna är offentliga. Den gäller oavsett i vilket sammanhang uppgiften förekommer.

Enligt 37 kap. 1 § första stycket OSL gäller sekretess i verk- samhet för kontroll över utlänningar och i ärende om svenskt med- borgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller i detta fall med ett omvänt skaderekvisit och presumtionen är att uppgifterna inte är offentliga. Enligt 37 kap. 1 § andra stycket OSL gäller sekretess i verksamhet för kontroll över utlänningar också för uppgift i en anmälan eller utsaga av en enskild, om det kan antas att fara upp- kommer för att den som lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om upp- giften röjs. Sekretessen gäller här med rakt skaderekvisit.

Med ”verksamhet för kontroll över utlänningar” avses ärenden om visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvis- ning, men också kontroll- och verkställighetsåtgärder (se prop. 1979/80:2 del A s. 210).

Beträffande beslut i ärenden gäller sekretessen i 37 kap 1 § första och andra styckena OSL endast för uppgifter i skälen, se 37 kap. 1 § tredje stycket OSL.

Uppgift i ärende om arbetstillstånd för utlänning omfattas av sekretess även enligt 28 kap. 15 § första stycket OSL. Slutligen gäller

314

SOU 2015:73

En ny lag om behandling av personuppgifter…

sekretess enligt 26 kap. 1 § OSL i ärenden om bistånd åt asylsökan- den och andra utlänningar.

Bestämmelserna om sekretess hos Migrationsverket kan innebära att uppgifter inte kan lämnas till de myndigheter som får direktåt- komst. För att uppgifter för vilka sekretess gäller ska kunna bli tillgängliga för dessa myndigheter krävs författningsstöd i någon sekretessbrytande regel, eftersom sekretess även gäller mellan myn- digheter, se 8 kap. 1 § OSL. Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan, se exempelvis prop. 2004/05:164 s. 83. Regler om direktåtkomst brukar därför ofta kom- pletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet, se 10 kap. 28 § OSL. Dessa formuleras ofta som en rätt för mottagande myndighet att ta del av uppgifter, se till exempel 2 kap. 16 § PDL och 4 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.

Informationshanteringsutredningen föreslår i sitt slutbetänkande, Myndighetsdatalag, att det i offentlighets- och sekretesslagen införs en generellt sekretessbrytande bestämmelse som innebär att före- skrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbrytande effekt. Därigenom skulle det inte längre behöva införas särskilda sekretessbrytande bestämmelser för att möjliggöra direktåtkomst, se SOU 2015:39 s. 407 f.

När det gäller Försäkringskassan och Pensionsmyndigheten finns en sekretessbrytande bestämmelse i 17 kap. 3 § UtlL. Enligt bestäm- melsen har Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Om det finns skäl för det, ska Migrationsverket på eget initiativ lämna sådana uppgifter till Försäkringskassan och Pensionsmyndigheten. I 7 kap. 15 a § UtlF specificeras vilka uppgifter som Försäkringskassan och Pensionsmyndigheten har rätt att ta del av genom direktåtkomst.

Enligt 16 a § förordningen om identitetskort för folkbokförda i Sverige ska Migrationsverket på begäran av Skatteverket lämna de uppgifter som anges i 6 b § nuvarande utlänningsdataförordning och som behövs för handläggning av ansökan om identitetskort. I 7 kap. 15 b § UtlF finns också en bestämmelse som föreskriver att Migra- tionsverket på begäran av Skatteverket ska lämna ut vissa uppgifter, om de behövs för Skatteverkets handläggning av ett ärende om folkbokföring. Denna reglering bör i sak vara kvar. I förhållande till

315

En ny lag om behandling av personuppgifter…

SOU 2015:73

Skatteverket kommer det alltså att finnas sekretessbrytande bestäm- melser.

När det gäller Polismyndighetens, Säkerhetspolisens och utlands- myndigheternas direktåtkomst enligt 6 § gällande utlänningsdata- förordning saknas en korresponderande bestämmelse om uppgifts- skyldighet för Migrationsverket till nämnda myndigheter. Utläm- nandet genom direktåtkomst av sekretessbelagda personuppgifter sker i stället med stöd av den sekretessbrytande generalklausulen i 10 kap. 27 § OSL. Generalklausulen föreskriver sekretessgenombrott om det vid en bedömning framstår som uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekre- tessen ska skydda. Sekretessbelagda uppgifter hos Migrationsverket omfattas, som sagts ovan, normalt av sekretess enligt 37 kap. 1 § OSL. Bestämmelsen innehåller ett omvänt skaderekvisit, vilket innebär en presumtion för att uppgifterna omfattas av sekretess. Omfattande utlämnande av sekretessbelagda uppgifter bör enligt utredningens bedömning inte ske enbart med stöd av den sekretessbrytande generalklausulen. Enligt utredningens mening bör därför en sådan sekretessbrytande föreskrift om uppgiftsskyldighet som avses i 10 kap. 28 § OSL införas. Bestämmelsen om uppgiftsskyldighet bör tas in i den författning som reglerar Migrationsverket verksamhet, dvs. i utlänningslagen. Eftersom utredningen inte föreslår någon precisering av vilka uppgifter som Polismyndighetens, Säkerhets- polisens och utlandsmyndigheternas direktåtkomst ska avse, saknas det anledning att i den sekretessbrytande bestämmelsen ge rege- ringen möjlighet att meddela ytterligare föreskrifter om vilka upp- gifter som kan lämnas ut.

En ytterligare förutsättning för att Migrationsverket ska kunna lämna ut uppgifter genom direktåtkomst är att uppgifterna omfattas av ett tillfredsställande sekretesskydd även hos de mottagande myn- digheterna. Med tanke på den starka sekretess som gäller hos Migrationsverket är det viktigt att sekretesskyddet för uppgifterna inte urholkas hos de mottagande myndigheterna.

Bestämmelsen om utlänningssekretess i 21 kap. 5 § OSL gäller hos alla myndigheter för uppgifter som rör utlänningar, således även hos de mottagande myndigheterna.

Sekretessen enligt 37 kap. 1 § OSL gäller generellt i verksamhet för kontroll av utlänningar och i ärenden om svenskt medborgar- skap. Bestämmelsen är tillämplig på en stor del av de uppgifter som

316

SOU 2015:73

En ny lag om behandling av personuppgifter…

Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna behandlar när de handlägger utlännings- och med- borgarskapsärenden eller annars uppfyller åligganden enligt utlän- ningslagen och medborgarskapslagen. Sekretessen gäller enligt fjärde stycket samma bestämmelse också hos myndighet som lämnar biträde i ärende eller verksamhet som avses där. Sekretessen gäller således även när en utlandsmyndighet medverkar i verksamhet för kontroll över utlänningar och i ärenden om svenskt medborgarskap genom att biträda Migrationsverket eller Polismyndigheten med utredning.

Sammanfattningsvis får sekretesskyddet hos Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna anses vara tillräckligt.

För Försäkringskassans och Pensionsmyndighetens del är det dock inte fråga om verksamhet för kontroll av utlänningar (se prop. 2007/08:160 s.93 f.) Utöver utlänningssekretess enligt 21 kap. 5 § OSL omfattas de uppgifter som Migrationsverket kan medge direkt- åtkomst till efter utlämnandet till Försäkringskassan och Pensions- myndigheten av sekretess enligt 28 kap. 1 § OSL. Sekretess gäller enligt den bestämmelsen hos Försäkringskassan, Pensionsmyndig- heten och domstol för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende enligt lagstiftningen om allmän försäkring, allmän pension, arbetsskadeförsäkring, handikappersätt- ning och vårdbidrag, statligt tandvårdsstöd, läkarvårdsersättning, ersättning för fysioterapi, jämställdhetsbonus, annan ekonomisk förmån för enskild eller särskild sjukförsäkringsavgift. Enligt tredje stycket samma bestämmelse gäller sekretess hos Försäkringskassan och Pensionsmyndigheten även i verksamhet som avser registrering av enskilda för uppgift om en enskilds personliga förhållanden som myndigheten fått från Migrationsverket, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.

För uppgift hos Skatteverket gäller, utöver sekretess enligt 21 kap. 5 § OSL, sekretess enligt 22 kap. 1 § OSL, den s.k. folkbokförings- sekretessen. Bestämmelsen föreskriver sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser bland annat folkbokföringen eller annan liknande registrering

317

En ny lag om behandling av personuppgifter…

SOU 2015:73

av befolkningen och, i den utsträckning regeringen meddelar före- skrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Enligt samma paragraf gäller sekretess i sådan verksamhet för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Med stöd av bestämmelsen föreskrivs vidare i 6 § offentlighets- och sekretess- förordningen (2009:641) att sekretess gäller ibland annat Skatte- verkets databas över identitetskort för folkbokförda i Sverige, för uppgift om enskilds personliga förhållanden, om det av särskild an- ledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (p 1), och för uppgift i form av foto- grafisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (p 2). Sekretessen för uppgift om enskilds personliga förhållan- den gäller alltså med ett rakt kvalificerat skaderekvisit, medan det för fotografi gäller ett starkare sekretesskydd i form av ett omvänt skaderekvisit.

Utöver ovan nämnda sekretessbestämmelser som är direkt tillämp- liga hos de mottagande myndigheterna finns i 11 kap. 4 § OSL en särskild bestämmelse om överföring av sekretess vid direktåtkomst. I bestämmelsen anges att om en myndighet hos en annan myndig- het har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna är sekretessreglerad, blir sekretess- bestämmelsen tillämplig även hos den mottagande myndigheten. Undantag gäller dock för uppgift som ingår i ett beslut hos den mottagande myndigheten. Av 11 kap. 8 § OSL följer emellertid att sekretessen inte överförs, om en sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mot- tagande myndigheten. Om den finns en sekretessbestämmelse som är direkt tillämplig hos den mottagande myndigheten, en s.k. primär sekretessbestämmelse, ska således den bestämmelsen tillämpas, oav- sett om den är svagare eller starkare än den överförda sekretessen. Bestämmelsen i 11 kap. 4 § OSL har dock betydelse för sekretesskyd- det för uppgifter som den mottagande myndigheten har teknisk tillgång till men som myndigheten inte för in i den verksamhet som omfattas av den primära sekretessen. Sådana uppgifter skulle annars bli offentliga hos den mottagande myndigheten trots att uppgifter-

318

SOU 2015:73

En ny lag om behandling av personuppgifter…

na inte används i den mottagande myndighetens verksamhet och trots att de är sekretessbelagda hos den utlämnande myndigheten.

Vid införandet av bestämmelserna om direktåtkomst för För- säkringskassan, Pensionsmyndigheten och Skatteverket övervägdes sekretesskyddet för uppgifterna hos de mottagande myndigheterna. Bland annat gjordes en ändring av dåvarande sekretesslagen som nu finns i 28 kap. 1 § tredje stycket OSL (se prop. 2007/08:160 s. 93 f.) Behovet av ändringar med anledning av Skatteverkets direktåtkomst har övervägts i Finansdepartementets promemoria Vissa id-korts- frågor, 2010-04-21, dnr Fi2010/2345. Där gjordes bedömningen att några ändringar inte behövdes i sekretesslagstiftningen med anled- ning av Skatteverkets direktåtkomst.

Utredningen anser sammanfattningsvis att det behövs en särskilt sekretessbrytande föreskrift som tar sikte på Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till Migrationsverkets uppgifter. Utredningen menar vidare att sekre- tesskyddet hos de mottagande myndigheterna är tillfredsställande. Några ytterligare föreskrifter om sekretess behövs därför inte.

En särskild fråga är om regleringen i lagen om när direktåtkomst får förekomma bör vara uttömmande, dvs. om Migrationsverket bör vara förhindrat att medge direktåtkomst i andra fall än som lag- en tillåter. Med tanke på de speciella integritetsrisker som är för- knippade med direktåtkomst anser utredningen att regleringen i lagen bör vara uttömmande. Inte heller bör regeringen kunna före- skriva att Migrationsverket får medge direktåtkomst. Däremot bör regeringen eller den myndighet som regeringen bestämmer kunna meddela närmare föreskrifter om omfattningen av den direkt- åtkomst som medges i lagen samt om behörighet och säkerhet. För att undvika missförstånd bör det av lagen klart framgå att Migra- tionsverket inte kan medge direktåtkomst i andra fall än de som tillåts i lagen (se SOU 2015:39 s. 393 f.).

I kapitel 9 behandlar utredningen frågan om Migrationsverkets direktåtkomst till vissa uppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkrings- databas för handläggning för uppehållstillstånd för arbete och arbets- tillstånd.

319

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.16Bevarande och gallring m.m.

7.16.1Allmänt om bevarande och gallring

Enligt utredningens direktiv ska utredningen uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål.

Varje svensk medborgare har enligt 2 kap. 1 § TF en grundlags- fäst rätt att ta del av allmänna handlingar. En förutsättning för att denna handlingsoffentlighet ska kunna utnyttjas är att handlingar bevaras hos myndigheterna. Redan bestämmelserna i tryckfrihets- förordningen kan således sägas medföra en skyldighet för myndig- heterna att bevara och ordna allmänna handlingar så att det går att hitta bland dem och att vårda dem så att de inte skingras och förstörs. Enligt 2 kap. 18 § TF ska bestämmelser om hur allmänna handlingar ska bevaras och om gallring av sådana handlingar med- delas i lag. Bestämmelser om myndigheternas skyldighet att bevara allmänna handlingar och på vilket sätt det ska ske finns i arkivlagen, arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA- FS och RA-MS). I dessa bestämmelser anges bland annat hur en handling ska framställas, förvaras och skyddas. Där finns också be- stämmelser om gallring och avhändande av allmänna handlingar.

En myndighets arkiv bildas av allmänna handlingar från myndig- hetens verksamhet och sådana handlingar som avses i 2 kap. 9 § TF, (dvs. exempelvis minnesanteckningar och utkast) som myndigheten beslutar ska tas om hand för arkivering.

För vissa elektroniska handlingar gäller en särskild regel. Upptag- ningar för automatisk databehandling som är tillgängliga för flera myndigheter så att de där utgör allmänna handlingar ska bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Om en eller flera stat- liga myndigheter svarar för ungefär lika stora delar av upptagningen, får Riksarkivet meddela föreskrifter om hos vilken myndighet upp- tagningen ska bilda arkiv (4 § arkivförordningen).

Huvudprincipen enligt arkivlagstiftningen är att allmänna hand- lingar ska bevaras. Det kommer till uttryck i 3 § arkivlagen, enligt vilken myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvalt- ningen samt forskningens behov. Det följer dock av 10 § arkivlagen

320

SOU 2015:73

En ny lag om behandling av personuppgifter…

att allmänna handlingar under vissa förutsättningar får gallras. Med gallring avses att en handling förstörs på ett eller annat sätt. Vanliga pappershandlingar förstörs fysiskt. För elektroniska handlingar inne- bär gallring vanligtvis att viss information raderas från databäraren. Med gallring menas inte bara att rent faktiskt förstöra en allmän handling eller uppgifter i en sådan handling. Gallring innebär också att vidta åtgärder med en allmän handling som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att bedöma hand- lingens autenticitet (RA-FS 1997:4 ändrad genom RA-FS 2008:4). Det kan till exempel innebära gallring att skriva ut en elektronisk handling i pappersform och därefter förstöra den elektroniska hand- lingen. Även om informationen finns kvar på papper kan möjlig- heten att få fram informationen ha försämrats.

Vid gallringen ska det beaktas att arkiven utgör en del av kultur- arvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).

Av 14 § arkivförordningen framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.

Grundprincipen i arkivlagstiftningen är således att allmänna hand- lingar ska bevaras. Några särskilda hänsyn till vilken risk bevarandet kan medföra ur integritetshänseende ska inte tas. Bestämmelser om gallring föranleds i stället vanligtvis av kostnads- och utrymmes- skäl.

I personuppgiftslagen är utgångspunkten en annan. Enligt 9 § första stycket i PUL får en personuppgift inte bevaras längre än nödvändigt med hänsyn till ändamålet för vilket personuppgifterna samlades in. Tryckfrihetsförordningens och arkivlagens bestämmel- ser har dock företräde framför personuppgiftslagens bestämmelser.

321

En ny lag om behandling av personuppgifter…

SOU 2015:73

Det följer av 8 § första stycket PUL att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I para- grafens andra stycke anges att bestämmelserna i personuppgifts- lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Personuppgiftslagens bestämmelser medför således inte att person- uppgifter som är allmänna handlingar ska utplånas eller gallras. För personuppgifter som inte är allmänna handlingar gäller emellertid regeln i 9 § första stycket PUL, vilket innebär att personuppgiften inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

När stora mängder uppgifter om enskilda personer samlas och bevaras hos myndigheter uppstår integritetsrisker, särskilt som dagens teknik tillåter att sammanställningar av information görs på ett enkelt sätt. I de författningar som reglerar myndigheternas behand- ling av personuppgifter finns därför ofta särskilda bestämmelser om gallring. Där är principen vanligtvis den motsatta i förhållande till arkivlagen, dvs. att materialet ska förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande i registerförfatt- ningen eller i andra bestämmelser som meddelats med stöd av denna. Denna omvända princip har i förarbetena till arkivlagen ansetts motiverad av integritetsskäl (se prop. 1989/90:72 s. 50 f.). Exempel på sådana bestämmelser finns i polisdatalagen och kustbevaknings- datalagen. Där anges att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Regeringen eller den myndighet som regeringen bestämmer (dvs. Riksarkivet) ges möjlighet att meddela föreskrifter om att uppgifter, trots bestämmelsen om gallring, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

I kapitel 8 föreslår utredningen bestämmelser om gallring av personuppgifter som Migrationsverket behandlar automatiserat där- för att ett offentligt biträde, en tolk, en översättare eller en språk- analytiker kan vara olämplig för framtida uppdrag. Vad gäller frågan om gallring av känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se avsnitt 7.11.4.

322

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.16.2Utredningens överväganden

Utredningens förslag: Personuppgifter i verksamhet enligt utlän- nings- och medborgarskapslagstiftningen ska, med undantag för nedan angivna fall, bevaras eller gallras i enlighet med arkivlagens bestämmelser. Någon särskild bestämmelse om detta behövs inte i utlänningsdatalagen.

Från denna reglering bör undantag göras för 1) Migrations- verkets fingeravtrycks- och fotografiregister (som ska gallras enligt nuvarande ordning), 2) känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet (som ska gallras direkt när behandlingen inte längre är nöd- vändig för något av de angivna ändamålen) och för 3) person- uppgifter som Migrationsverket behandlar automatiskt därför att vissa offentliga biträden, tolkar, översättare eller språkana- lytiker kan vara olämpliga för framtida uppdrag (som ska gallras efter viss tid). Bestämmelser om gallring bör intas i den för- ordning som utfärdas i anslutning till utlänningsdatalagen.

Personuppgifter i automatiserade uppgiftssamlingar som an- vänds i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda upp- gifter ska vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Det finns inte några särbestämmelser om gallring i utlänningslagen eller någon annan författning som reglerar den verksamhet som före- slås omfattas av den nya lagen. I nuvarande utlänningsdataförord- ning finns dock en bestämmelse om gallring. Enligt 11 § ska en uppgift i Migrationsverkets fingeravtrycksregister gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. I övrigt finns inga särskilda bestämmelser om gallring i förordningen. Som huvudregel gäller såldes arkivlagens bestämmelser om bevarande och gallring för verksamhet enligt ut- lännings- och medborgarskapslagstiftningen. Utgångspunkten är därmed att allmänna handlingar inte ska gallras.

Gallring får endast ske i enlighet med föreskrifter eller beslut av Riksarkivet eller, avseende utlandsmyndigheter, av Regeringskansliet.

323

En ny lag om behandling av personuppgifter…

SOU 2015:73

Frågan för utredningen är hur reglerna för bevarande och gall- ring bör utformas i den nya lagen. Ska arkivlagens principer om bevarande gälla eller bör utgångspunkten vara den omvända? Vid denna bedömning ställs olika intressen mot varandra. I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas stora mängder information om ett stort antal individer. Det rör sig i stor utsträckning om uppgifter av integritetskänslig natur. Dessa om- ständigheter talar för en specialreglering med gallring som utgångs- punkt. Å andra sidan finns det skäl, till exempel möjligheten att tillgodose allmänhetens intresse av insyn i verksamheten, som talar för att bevarande bör vara utgångspunkten.

Personuppgifter som inte är allmänna handlingar

Som angetts ovan gäller för personuppgifter som inte är allmänna handlingar för närvarande bestämmelserna i 9 § första stycket i och tredje stycket PUL. Av de bestämmelserna följer att personuppgifter inte får bevaras längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Utredningen anser att det saknas skäl att ändra på denna ordning. Det medför bland annat att personuppgifter i minnesanteckningar eller utkast till beslut eller skrivelse som behandlas av en tjänsteman i ett ordbehandlings- program och som inte har tagits om hand för arkivering ska tas bort ut systemet eller avidentifieras när det inte längre behövs för sitt ändamål.

I avsnitt 7.7.3 föreslår utredningen att det i den nya lagen ska göras en hänvisning till bestämmelserna i 9 § PUL. Någon särskild bestämmelse i detta avseende behövs således inte.

Manuellt behandlade personuppgifter i allmänna handlingar

För personuppgifter i allmänna handlingar som behandlas manuellt gäller i dag att de som huvudregel ska bevaras. Gallring får dock ske om det finns stöd för det i föreskrifter eller beslut av Riksarkivet. För Migrationsverket gäller till exempel Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (RA-FS 1991:6, ändrad 1997:6 och 2012:2) och Riks- arkivets föreskrifter om återlämnande och gallring hos Migrations-

324

SOU 2015:73

En ny lag om behandling av personuppgifter…

verket (RA-MS 2013:45). Enligt utredningens mening finns det inte heller någon anledning att ändra på denna ordning.

Automatiserat behandlade personuppgifter i allmänna handlingar

Dagens teknik medför att en i princip obegränsad mängd person- uppgifter kan bevaras elektroniskt hos myndigheterna. Som framgår ovan ökar ett elektroniskt bevarande möjligheten att på ett enkelt sätt söka och sammanställa uppgifter, något som kan öka risken för integritetsintrång. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs i en myndighets verk- samhet gallras ur myndighetens datasystem. För detta krävs sär- skilda bestämmelser om gallring av uppgifter i myndighetens verksam- het. I registerförfattningar finns ofta sådana gallringsbestämmelser som har till syfte att skydda den personliga integriteten för de per- soner vars uppgifter behandlas automatiserat. I äldre registerför- fattningar utformas gallringsbestämmelserna ofta så att uppgifterna ska gallras efter viss tid om det inte finns några särskilda regler om bevarande. I vissa fall anges att föreskrifter om bevarande får med- delas om personuppgifter ska behandlas för historiska, statistiska eller vetenskapliga ändamål. I registerförfattningar av senare datum anges vanligtvis i en generell bestämmelse att gallring ska ske om personuppgiften inte behövs för något av de ändamål som anges i författningen. En särskild gallringsfrist anges därutöver för vissa typer av uppgifter. Denna metod används till exempel i polisdatalagen.

Som ovan anförts finns det vissa omständigheter som talar för att särskilda bestämmelser om gallring ska införas i den nya lagen. I verksamhet enligt utlännings- och medborgarskapslagen behandlas en stor mängd personuppgifter som avser ett stort antal personer. Behandlingen sker i många fall utan den enskildes samtycke och personuppgifterna används vid myndighetsutövning gentemot en- skilda personer. Många av de personuppgifter som behandlas utgör känsliga personuppgifter enligt 13 § PUL. Det finns också person- uppgifter som inte hör till denna kategori, men ändå kan uppfattas som integritetskänsliga. Dessa omständigheter talar för en ordning där gallring är utgångspunkten.

Det finns emellertid förhållanden som talar i motsatt riktning. Som framgår ovan finns i dag endast en särskild bestämmelse om

325

En ny lag om behandling av personuppgifter…

SOU 2015:73

gallring i utlänningsdataförordningen, avseende uppgifter i finger- avtrycksregistret. I övrigt gäller att automatiserat behandlade person- uppgifter i allmänna handlingar som utgångspunkt ska bevaras. Som framgår ovan finns föreskrifter avseende gallring från Riksarkivet som gäller generellt för alla myndigheter, inklusive de som enligt utredningens förslag ska tillämpa utlänningsdatalagen. Vidare finns myndighetsspecifika föreskrifter avseende gallring för exempelvis Migrationsverket. Dessa föreskrifter gäller även för uppgifter i elektroniska handlingar. Annat har inte framkommit än att denna ordning fungerar väl.

En omständighet som talar för bevarande som huvudregel är att det vid handläggning av ärenden hos Migrationsverket ofta finns ett behov att ta fram uppgifter från tidigare ärenden. Ett exempel är s.k. anknytningsärenden, där personer som begär uppehållstillstånd på grund av anknytning åberopar uppgifter från släktingars ärenden som rör ansökan om uppehållstillstånd. En alltför omfattande gall- ring av myndighetens handlingar skulle minska möjligheterna att använda uppgifter från tidigare ärenden.

Vidare talar allmänhetens intresse av insyn i verksamheten för att bevarande bör vara utgångspunkten. Migrations- och utlän- ningsrätt är ofta omdebatterade områden, och möjligheten till granskning av verksamheten av till exempel forskare eller jour- nalister skulle minska avsevärt om personuppgifter i elektroniska handlingar som utgångspunkt ska gallras. I sammanhanget bör fram- föras att det inte är självklart att integritetsintresset bäst tillgodoses genom att personuppgifter förstörs. I frågan om ersättning till tvångssteriliserade medförde exempelvis bevarade av uppgifter i journaler och sociala myndigheters register att enskilda kunde få ersättning för de handlingar som de en gång i tiden hade utsatts för (se vidare prop. 1998/99:71).

Mot denna bakgrund gör utredningen bedömningen att den nu- varande ordningen bör fortsätta att gälla även här. Någon gallrings- bestämmelse bör således inte föras in i lagen. Undantag bör dock göras när det gäller Migrationsverkets register för fingeravtryck och fotografier bör nuvarande bestämmelse om gallring behållas. Vidare bör en bestämmelse om gallring införas för personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Så- dana personuppgifter ska gallras direkt när behandlingen inte längre

326

SOU 2015:73

En ny lag om behandling av personuppgifter…

är nödvändig för något av de angivna ändamålen. En bestämmelse om gallring bör även införas för personuppgifter som Migrations- verket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämpliga för fram- tida uppdrag, se kapitel 8. Bestämmelserna om gallring bör införas i en till lagen anslutande förordning.

Avskiljande av inaktuella personuppgifter

Utredningen föreslår således att arkivlagens bestämmelser om be- varande och gallring ska gälla för personuppgifter som behandlas automatiserat. Det är dock inte lämpligt att uppgifter som inte längre behövs i verksamheten bevaras i myndigheternas datasystem så att det finns tillgängliga för myndighetens handläggare. Det finns ingen anledning att uppgifter som inte längre behövs för de i lagen angivna ändamålen ska kunna nås av en vidare krets. Uppgifter som behandlas för ändamålen att handlägga ärenden, bedriva utlännings- kontroll och mottagningsverksamhet är ofta av integritetskänslig karaktär och är ofta tillgängliga för många anställda på myndig- heterna. Utredningen föreslår därför att särskilda regler införs för denna typ av uppgifter. De uppgifter som inte längre behövs för den löpande verksamheten ska avskiljas från övriga uppgifter så att de inte längre är tillgängliga för den personal som arbetar i sådan verksamheten. Endast de anställda som är i absolut behov av upp- gifterna ska tillåtas åtkomst till dem. Det kan till exempel gälla verks- arkivarier, men även handläggare och beslutsfattare kan ha behov att vid handläggning av nya ärenden behandla redan avskilda uppgifter. Behörighet till sådana uppgifter ska föregås av en individuell pröv- ning.

Regleringen bör vara relativt allmänt hållen. Hur avskiljandet ska ske bör den personuppgiftsansvarige själv få bestämma. Det får dock inte innebära informationsförlust av något slag. En metod är att uppgifterna avställs till en annan databas som till exempel Migra- tionsverkets e-arkiv. Att i lagen ge någon bestämd tidsfrist för när personuppgifterna ska avskiljas behövs inte heller. Självfallet bör personuppgifter om en utlänning avskiljas när han eller hon har be- viljats svenskt medborgarskap. En stor mängd personuppgifter om utlänningar som inte varit aktuella i något ärende på lång tid, kan

327

En ny lag om behandling av personuppgifter…

SOU 2015:73

inte heller anses behövas i den löpande verksamheten. Det bör över- lämnas till den personuppgiftsansvariga myndigheten att bedöma hur avskiljandet ska utformas, tidsgränser för när detta ska ske och att utarbeta regler och rutiner för detta. Utredningen anser alltså inte att det är nödvändigt att föreslå några närmare föreskrifter i ämnet.

Rättslig information och information rörande förhållanden i andra länder avidentifieras normalt efter kortare tid. Integritetshänsyn talar därför inte för att sådana uppgifter måste avskiljas. När det gäller ändamålen tillsyn, kontroll, uppföljning, planering av verksam- heten, framställning av statistik samt testverksamhet är det endast ganska få personer som har tillgång till personuppgifter som behand- las för dessa ändamål. Något avskiljande behövs därför inte heller när det gäller personuppgifter av nu aktuellt slag. Särskilda gallrings- bestämmelser föreslås däremot gälla för sådana uppgifter i vissa fall, se avsnitt 7.16.2. Inte heller bör det föreskrivas att personuppgifter som behandlas för registrering m.m. ska avskiljas.

Utredningen föreslår att Migrationsverket ska vara personupp- giftsansvarigt även för utlandsmyndigheternas automatiserade be- handling av personuppgifter (se avsnitt 7.8). Med det ansvaret bör följa en möjlighet att meddela föreskrifter om avskiljande. Efter- som utlandsmyndigheterna är fristående myndigheter i förhållande till Migrationsverket bör det finnas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer, i praktiken Migrationsverket, har möjlighet att meddela föreskrifter för utlandsmyndigheterna.

För personuppgifter som behandlas inom den egna myndigheten är den föreslagna regleringen om avskiljande tillräcklig för att ge personuppgiftsansvariga myndigheter befogenhet att närmare besluta i fråga om avskiljande.

Avskilda uppgifter får inte omfattas av direktåtkomst, se av- snitt 7.15.

328

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.17Ytterligare föreskrifter

Utredningens förslag: I lagen ska finnas ska finnas s.k. nödvän- diga upplysningsbestämmelser som klargör att det finns ett ut- rymme för regeringen att meddela föreskrifter i vissa avseenden. Sådana bestämmelser har föreslagits när det gäller Migrations- verkets fingeravtrycks- och fotografiregister, tillgången till person- uppgifter, direktåtkomst, överföring av personuppgifter till tredje- land, avskiljande, gallring och säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Som har redovisats i avsnitt 3.2 innebär bestämmelsen i 2 kap. 6 § andra stycket RF att endast de bestämmelser som innebär bety- dande intrång i den personliga integriteten och som kan innebära kartläggning eller övervakning måste anges i lag. Andra bestämmel- ser kan anges i förordning eller myndighetsföreskrifter. En utgångs- punkt bör därför enligt utredningen vara att detaljfrågor inte bör regleras i den nya utlänningsdatalagen utan i författningar av lägre rang där närmare intresseavvägningar kan göras, se avsnitt 6.4.1.

Registerförfattningar faller under regeringens s.k. restkompetens enligt 8 kap. 7 § RF, dvs. det område där regeringen utan delegering får meddela föreskrifter. Om förhållanden inom regeringens rest- kompetens ändå reglerats genom lag, kan riksdagen inte lämna ett bemyndigande till regeringen att meddela föreskrifter som till exem- pel avviker från lagregleringen. För att regeringen ska kunna meddela sådana föreskrifter, måste det i lagen i stället tas in en upplysnings- bestämmelse som anger vilken kompetens som har lämnats kvar hos regeringen.

Behovet av upplysningsbestämmelser i den nya lagen behandlas i avsnitten 7.7.8, 7.10.3, 7.11.4, 7.12.2, 7.15.2, 7.16.2 och 8.3.7. Ytter- ligare upplysningsbestämmelser behövs dock. Genom hänvisningen till 31 § PUL i den föreslagna lagen gäller personuppgiftslagens bestämmelser om skydd för personuppgifter vid behandling av personuppgifter enligt utlänningsdatalagen. Den personuppgifts- ansvariga myndigheten beslutar om vilka tekniska och organisato- riska åtgärder som ska vidtas för att skydda de personuppgifter som behandlas. För personuppgifter som behandlas av den egna myndigheten följer det av personuppgiftslagens bestämmelser att

329

En ny lag om behandling av personuppgifter…

SOU 2015:73

myndigheten har möjlighet att meddela närmare föreskrifter om säkerheten vid behandlingen. Om detta behövs således ingen sär- skild bestämmelse i utlänningsdatalagen. Enligt utredningens förslag ska Migrationsverket dock vara personuppgiftsansvarigt även för utlandsmyndigheternas automatiserade behandling av personupp- gifter (se avsnitt 7.8). Med det ansvaret bör följa en möjlighet att meddela föreskrifter om säkerhetsåtgärder. Eftersom utlandsmyn- digheterna inte är underställda Migrationsverket, bör det i lagen in- föras en upplysningsbestämmelse av vilken det framgår att rege- ringen eller den myndighet som regeringen bestämmer, i praktiken Migrationsverket, får meddela närmare föreskrifter om säkerhets- åtgärder till skydd för personuppgifter som behandlas av utlands- myndigheterna under Migrationsverkets personuppgiftsansvar.

7.18Ikraftträdande och övergångsbestämmelser

Utredningens förslag: Den föreslagna utlänningsdatalagen ska träda i kraft den 1 januari 2016.

Detta lagförslag föranleds av den ändring av 2 kap. 6 § andra stycket RF som trädde i kraft den 1 januari 2011. I bestämmelsen föreskrivs att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Denna bestämmelse ställer krav på att inskränkningar av integritetsskyddet ska ske genom lag (se avsnitt 6.2). Enligt övergångsbestämmelserna anges att för tiden längst fram till och med den 31 december 2015 behåller äldre föreskrifter, som innebär betydande intrång i den personliga integriteten, sin giltighet utan hinder av 2 kap. 6 § andra stycket RF. För tiden längst fram till och med den 31 december 2015 gäller således föreskrifter som inte uppfyller kravet på lagform utan hinder av den nya bestämmelsen om ett utvidgat integritets- skydd. Den föreslagna utlänningsdatalagen och utlänningsdataför- ordningen bör därför träda i kraft den 1 januari 2016. Även övriga författningsändringar som utredningen föreslår bör av praktiska skäl träda i kraft vid samma tidpunkt.

Utlänningsdatalagen ersätter förordningen (2001:720) om behand- ling av personuppgifter i verksamhet enligt utlännings- och med-

330

SOU 2015:73

En ny lag om behandling av personuppgifter…

borgarskapslagstiftningen, som därför bör upphävas när lagen träder i kraft. Både den nuvarande utlänningsdataförordningen och den förslagna utlänningsdatalagen hänvisar till personuppgiftslagens be- stämmelser om skadestånd. Några särskilda övergångsbestämmelser i detta avseende behövs enligt utredningen således inte. Utredningen bedömer att det inte heller i övrigt finns behov av några särskilda övergångsbestämmelser.

331

NÅGRA SÄRSKILDA FRÅGESTÄLLNINGAR

8Registrering av kvalitetsomdömen

8.1Inledning

Migrationsverket har bland annat i uppdrag att förordna offentliga biträden i ärenden enligt utlänningslagen (2005:716, UtlL), se närmare härom avsnitt 8.2.

Genom både externa utredningar och Migrationsverkets egna granskningar har det enligt verket framkommit att Migrationsverket i vissa ärenden har förordnat offentliga biträden som inte är lämp- liga för sina uppdrag, att Migrationsverkets lämplighetsprövningar i samband med förordnanden av offentliga biträden inte alltid genom- förs enhetligt och att det finns behov av att se över de bestämmelser och rutiner som gäller för såväl lämplighetsprövningar vid förord- nanden som vid uppföljning av dessa. Se vidare härom bland annat

Sekretess och offentliga biträden i utlänningsärenden, SOU 2008:65, Statskontorets rapport En ny modell för Migrationsverkets offentliga biträden (2013:30) och Migrationsverkets framställan till regeringen i juni 2012 om kompletterande bestämmelser i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataför- ordningen) (dnr Ju2012/4733/L7). Av Migrationsverkets framställan framgår att myndigheten anser att den behöver kunna registrera kvalitetsomdömen om offentliga biträden för att kunna tillvarata sökandenas rätt på bästa sätt. Enligt Migrationsverket finns det också ett behov av att registrera kvalitetsomdömen om de tolkar, över- sättare och språkanalytiker som myndigheten anlitar, se bland annat Migrationsverkets kompletterande framställan om författningsänd- ring i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen till Justitie- departementet i november år 2013 (dnr 1.1.2-2013-43361). Sådan

335

Registrering av kvalitetsomdömen

SOU 2015:73

registrering behövs enligt verket för att skydda enskilda sökandes utsatta position och ställning samt för att uppfylla Migrationsverkets ansvar enligt såväl asylprocedurdirektivet som allmänna rättsgrund- satser.

Mot bakgrund av vad som nu anförts har utredningen fått i upp- drag att

analysera förutsättningarna för att ge Migrationsverket en möjlig- het att registrera uppgifter om andra offentliga biträden än advo- kater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker,

för det fall utredaren anser att det finns förutsättningar för en sådan reglering när det gäller en eller flera av dessa grupper, ut- forma ett förslag till sådan reglering i den nya lag som föreslås och även undersöka förutsättningarna för att låta domstolar och andra myndigheter ta del av uppgifterna,

beakta såväl intresset av att Migrationsverket kan förordna eller anlita lämpliga offentliga biträden m.fl. som berörda parters inte- gritetsintressen, och

uppmärksamma frågor om huruvida ett sådant register ska vara offentligt, huruvida den enskilde ska kunna överklaga en registre- ring, hur beslut om registrering av uppgifter ska fattas och när uppgifterna ska gallras.

8.2Allmänt om Migrationsverkets förordnande av offentliga biträden, tolkar, översättare och språkanalytiker

8.2.1Den rättsliga regleringen m.m.

Offentliga biträden

Förordnanden av offentliga biträden m.m.

Migrationsverket har enligt 2 § lagen (1996:1620) om offentligt biträde bland annat till uppgift att förordna offentliga biträden i ärenden enligt utlänningslagen. Av bestämmelserna i 18 kap. UtlL framgår i vilka fall offentligt biträde ska förordnas i mål och ärend-

336

SOU 2015:73

Registrering av kvalitetsomdömen

en enligt utlänningslagen samt i mål om överklagande av Migra- tionsverkets beslut i fråga om statusförklaring. Även i ärenden enligt lagen (1991:572) om särskild utlänningskontroll kan en utlänning ha rätt till offentligt biträde.

Till offentligt biträde får enligt 5 § lagen om offentligt biträde och 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en bi- trädande jurist på en advokatbyrå eller någon annan som är lämplig för uppdraget. Advokat är den som, efter prövning av bland annat lämplighet, har antagits som ledamot i Sveriges advokatsamfund. En biträdande jurist står under tillsyn av en advokat vid den advokat- byrå där han eller hon är anställd. Har den rättssökande själv före- slagit någon som är lämplig, ska denne förordnas, om det inte finns särskilda skäl mot det.

Som framgår av redovisade bestämmelser presumeras alltså advo- kater och biträdande jurister uppfylla lämplighetskravet för offent- ligt biträde. Vad gäller förordnande av andra personer än advokater och biträdande jurister föreskrivs dock uttryckligen att de ska vara lämpliga men inget föreskrivs om hur lämplighetsprövningen ska utföras. Det finns således inga formella behörighetskrav att utgå ifrån vid lämplighetsprövningen då det är aktuellt att förordna en person som inte är advokat eller biträdande jurist. I praktiken ställs i de flesta fall krav på att den som förordnas ska ha en juristexamen. För att någon person utan sådan examen ska anses lämplig krävs att den personen har stora kunskaper inom ett särskilt område som kan medföra att ärendet eller målet behandlas på ett bättre och mer effektivt sätt än vad som annars hade varit fallet (se prop. 1996/97:9 s. 155 f. och 216.). I förarbetena understryks även vikten av att de som förordnar biträden gör en verklig prövning av biträdets kvalifi- kationer och att det är den som vill förordnas som har bevisbördan för att han eller hon uppfyller lämplighetskravet. Som framgår av vad nu redovisats gäller lämplighetskravet för alla som önskar förordnas som offentliga biträden, dvs. oavsett om de är advokater, biträdande jurister på en advokatbyrå eller inte, även om nämnda presumtions- regler finns.

Bestämmelser om byte och entledigande av offentliga biträden finns i 5 § lagen om offentligt biträde och 26 § rättshjälpslagen. Av bestämmelserna följer att byte av biträde bara får ske om det finns särskilda skäl och, om byte redan har skett en gång, att det krävs

337

Registrering av kvalitetsomdömen

SOU 2015:73

synnerliga skäl för ytterligare byte och att ett offentligt biträde bara kan entledigas om skäl föreligger.

Migrationsverkets it-stöd och förteckningen Judith

Migrationsverket har i dag ett särskilt it-stöd för administration av offentliga biträden som utgör ett hjälpmedel när verket förordnar offentliga biträden. It-stödet är knutet till en förteckning som getts namnet Judith och som innehåller namn på alla som anmält intresse för att åta sig uppdrag som offentligt biträde i asylärenden samt en kalenderfunktion (e-tjänsten ”Biträdessidan”). Kalenderfunktionen innebär att de som är intresserade av att åta sig uppdrag som offent- liga biträden även anger för vilka tider detta gäller i en kalender som både de själva och Migrationsverket har tillgång till. Migrationsverket har enbart tillgång till uppgift om specifik ledig tid i biträdets kalen- der. Endast den som anmält intresse för att bli förordnad som offent- ligt biträde i asylärenden (eller den person som biträdet gett behö- righet till) och Migrationsverket har direktåtkomst till uppgifterna.

Judith innehåller uppgifter om ca 2 000 personer, varav 200–300 är vanligt förekommande som offentliga biträden. Antalet ärenden som ett offentligt biträde har per år varierar, men kan uppgå till 30– 40 stycken. Under år 2014 fattade Migrationsverket 17 370 beslut om förordnande av offentliga biträden.

It-stödet, som infördes i november 2013, används för att göra en preliminär fördelning/bokning av de uppdrag som offentligt biträde som görs i ovan nämnda typ av ärenden med utgångspunkt från de tider som de biträden som finns registrerade i Judith har ledigför- klarat i en egen kalender som Migrationsverket har tillgång till i den ovan nämnda omfattningen. Det definitiva beslutet om vem som ska förordnas som offentligt biträde i ett enskilt ärende tas dock alltid av en av verkets tjänstemän, oftast en teamledare, som också gör en bedömning av om den som föreslagits av systemet är lämplig att förordna i det enskilda ärendet eller om han eller hon ska ersättas av någon annan.

Det nuvarande systemet att förordna offentliga biträden ska emellertid ses över med hänsyn till bland annat kritik från JO i december 2014 (se JO:s beslut den 5 december 2014, dnr 5920- 2013). Kritiken från JO gick ut på att den preliminära sökningen i

338

SOU 2015:73

Registrering av kvalitetsomdömen

systemet i dag sker i första hand bland dem som arbetar på en advo- katbyrå (sökning sker på firmanamnet där ”advokat” ingår) och först därefter bland de andra som anmält intresse för uppdrag som offentliga biträden. I praktiken är därför majoriteten av de förord- nade biträdena (uppskattningsvis 70–80 procent) i dag advokater eller biträdande jurister.

I den mån en sökande har ett eget önskemål om vem som ska förordnas som offentligt biträde för honom eller henne, tillgodoses detta om biträdet i fråga bedöms vara lämpligt. Kontroll av lämplig- heten av de som anmält intresse att ta uppdrag som offentliga biträden görs således först om de kommer i fråga för ett förordnande.

I sammanhanget kan nämnas att även vissa domstolar använder sig av olika förteckningar över de som anmält intresse för att åta sig uppdrag för att underlätta förordnandet av lämpliga uppdrags- tagare, exempelvis målsägandebiträde eller särskilda företrädare för barn. Lämplighetsbedömningen av dessa uppdragstagare sker då van- ligtvis, till skillnad från vad som gäller för Migrationsverkets nuva- rande förteckning, av domstolen redan innan uppdragstagarna tas upp i förteckningen i fråga. Förteckningarna innehåller alltså endast förslag på personer som både har anmält intresse för att åta sig visst uppdrag och som i förväg av domstolen även bedömts vara lämpliga härför. Den som inte visat sig lämplig för i frågavarande uppdrag tas således inte upp i förteckningen. Förteckningarna utgör ett hjälp- medel för domstolarna både för att fördela domstolens uppdrag på ett rättvist sätt mellan olika jurister och som underlag vid själva för- ordnadebeslutet eftersom, som ovan nämnts, personerna i förteck- ningen redan bedömts lämpliga för dessa slags uppdrag.

Andra lämpliga uppdragstagare än de som upptagits på förteck- ningarna kan dock förordnas om sökanden önskar det.

De kriterier som ställs upp för att ett biträde kan anses lämpligt för uppdrag och således kan tas upp i förteckningarna måste uppfylla vissa krav, se bland annat JO:s beslut den 19 december 2014, dnr 3586-2013. Exempelvis måste villkoren vara väl kända och objektivt godtagbara. Bedömningen måste även göras på ett tillräckligt kvali- ficerat sätt och, som framgår av 1 kap. 9 § regeringsformen, måste bland annat saklighet och opartiskhet iakttas. Någon omotiverad skillnad mellan personer som vill komma i fråga för uppdragen får alltså inte göras.

339

Registrering av kvalitetsomdömen

SOU 2015:73

Migrationsverkets förteckning över offentliga biträden och ombud vars lämplighet kan ifrågasättas

För att Migrationsverket ska undvika att förordna offentliga biträ- den som inte är lämpliga för sådana uppdrag har myndigheten tagit fram en lista (i Word) över vissa biträden för uppföljning, tillsyn och kontroll. Rutinerna för denna lista framgår av Migrationsverkets dokument Rutiner för förteckning med namn på de offentliga biträ- den och ombud som är uppsatta för uppföljning, tillsyn och kontroll daterat den 25 juni 2012.

Alla tjänstemän som förordnar offentliga biträden ska ha tillgång till denna förteckning.

Förteckningen består av dels namn på de personer som Migrations- verket (genom en utsedd central samordnare i samråd med kontakt- personer i Migrationsverkets centrala organisation för offentliga biträden) ansett att det finns anledning att ifrågasätta lämpligheten för, dels datum då personerna i fråga fördes upp på listan. De bakom- liggande skälen till varför personerna fördes upp på listan finns endast tillgängliga för ett begränsat antal tjänstemän på Migrations- verket (”biträdesgruppen”). Uppgifterna ingår inte i någon struktu- rerad samling av personuppgifter. Tanken är dock att den tjänste- man som har tänkt förordna en person som finns med på listan ska ta kontakt med någon av de personer som har tillgång till skälen och därefter göra en helhetsbedömning av lämpligheten. Att en person finns med på förteckningen i fråga innebär därför inte enligt Migra- tionsverket automatiskt att personen inte blir aktuell för uppdrag, men medför att hanteringen av tidigare ärenden vägs in i lämplighets- bedömningen.

Anledning till att någon förs upp på förteckningen är att upp- gifter från sökanden, beslutsfattare, gode män, massmedier eller från annat håll om hur biträdet agerat kommit till Migrationsverket känne- dom och att Migrationsverket därför ansett att det finns anledning att ifrågasätta personens lämplighet vid kommande förordnanden. Exempel på uppgifter som medför att ett biträde förs upp på listan kan vara att biträdet missat att överklaga beslut, att biträdet begått brott som kan påverka lämpligheten som offentligt biträde, att biträdet vid upprepade tillfällen förhalat processen genom att in- komma med inlagor för sent eller att biträdet försatts i konkurs.

340

SOU 2015:73

Registrering av kvalitetsomdömen

Migrationsverket har inte tillgång till någon uppgift om antalet fall per år då kritik av ovan nämnt slag framförts och då verket även ansett kritiken befogad. Sådana ärenden förekommer dock regelbun- det varje år enligt Migrationsverket. För närvarande finns ca 20 biträ- den registrerade på listan.

Enligt Migrationsverket förekommer kritik mot såväl advokaters, biträdande juristers som andra biträdens agerande, men det finns ingen statistik på hur kritiken fördelar sig på de olika yrkesgrup- perna. Över tid är dock representationen på förteckningen enligt Migrationsverket relativt jämt fördelad mellan de olika yrkesgrup- perna, dvs. ingen grupp utmärker sig i detta avseende. Att advokater och biträdande jurister trots detta presumeras vara lämpliga som offentliga biträden bör enligt Migrationsverket ses i ljuset av Advokat- samfundets tillsyn över advokatväsendet, samfundets möjligheter till disciplinförfarande och reglerna om tystnadsplikt för advokater. Vidare ska advokater och biträdande jurister delta i regelbundna utbildningar. Dessutom har advokatbyråerna ett principalansvar för de anställda på byrån.

Innan en enskild registreras i förteckningen bereds hon eller han tillfälle att yttra sig över skälen till varför Migrationsverket anser att registrering ska ske.

Förteckningen utgör enligt Migrationsverket en allmän handling hos verket och den är även offentlig. Även de bakomliggande skälen till varför personer förts upp på listan utgör allmänna handlingar och är som huvudregel också offentliga. Detsamma gäller Migrations- verkets brev till dem som har registrerats liksom eventuella yttran- den från de enskilda i samband härmed.

En genomgång av de personer som förts upp på listan för eventuell gallring sker regelbundet (var sjätte vecka). Det finns däremot ingen tidsangivelse för när en registrering på listan ska tas bort. Gall- ringen är i stället helt beroende av skälet för registeringen.

Ett beslut om att föra upp någon på listan kan enligt Migrations- verket inte överklagas av denne. Frågan om det ska finnas en sådan möjlighet har aktualiserats. För några år sedan var förteckningen utformad som en förbudslista, vilket kritiserades bland annat av JO som ansåg att listan då var att jämställa med en formlös obehörig- hetsförklaring utan möjlighet att överklaga (se JO 2008/09 s. 36 om Kritik mot en lagman för att tingsrätten formlöst avstår från att förordna en viss advokat som offentlig försvarare och JO 2010/11

341

Registrering av kvalitetsomdömen

SOU 2015:73

s. 308 ”Svartlistning” av offentliga biträden i utlänningsärenden). Att det enligt verket inte går att överklaga ett sådant beslut enligt dagens rutiner har varit uppe vid JO:s granskning. JO gjorde dock inga särskilda uttalande härom (se JO:s beslut den 5 december 2014, dnr 4500-2013). Frågan om möjlighet att överklaga en registrering på listan har prövats av Kammarrätten i Sundsvall genom dom den 8 juli 2014 i mål nr 871-14. I domen kom Kammarrätten fram till att Migrationsverkets uppförande av ett namn i en förteckning över offentliga biträden inte ska betraktas som ett överklagbart beslut. Kammarrättens dom har överklagats, men Högsta förvaltningsdom- stolen beslutade den 14 april 2015 i mål nr 4384-14 att inte meddela prövningstillstånd. Kammarrättens avgörande står därmed fast.

Tolkar

Migrationsverkets skyldighet att anlita tolkar i ärenden där någon inte behärskar svenska språket följer enligt verket av 8 § förvaltnings- lagen (1986:223). Paragrafen har även bedömts uppfylla kraven på tolkhjälp enligt asylprocedurdirektivet (se prop. 2009/10:31 s. 185).

Marknaden för tolkar är i huvudsak oreglerad i dag. Den saknar även en formell legal tillsyn, även om viss reglering finns för de tolkar som Kammarkollegiet har auktoriserat och utövar tillsyn över1.

Migrationsverket har varken något it-stöd (jfr Judith avseende offentliga biträden) eller någon särskild förteckning över tolkar. Verket har inte heller några anställda tolkar utan alla verksamma tolkar beställs av tolkförmedlingar enligt avtal som upphandlats genom offentlig upphandling. Det är således tolkförmedlingarna som sköter grundläggande kontroll av tolkars kompetens och lämplighet. De villkor som gäller och ska upprätthållas finns i de upphandlade av- talen med Migrationsverket. Nästan alla tolkar är uppdragstagare (dvs. saknar fast anställning) och kan vara verksamma vid fler än en tolkförmedling samtidigt. Migrationsverket har avtal med 6–9 tolk- förmedlingar inom olika tolkområden, eftersom ingen enskild för- medling har kapacitet att täcka Migrationsverkets behov i sin helhet.

1 Se bland annat förordningen (1985:613) om auktorisation av tolkar och översättare och Kammarkollegiets skrifter God tolksed och God translatorssed.

342

SOU 2015:73

Registrering av kvalitetsomdömen

Tolkbehovet hos Migrationsverket är omfattande både när det gäller antalet uppdrag (sannolikt över ca 200 000 per år) och när det gäller kunskaper i olika språk (100–120 stycken). Behoven av tolk- ning i visst språk förändras även över tid och tolkbehoven påverkas ständigt av vad som händer i omvärlden. Tolkning förekommer i princip inom samtliga asyl- och anknytningsärenden i Migrations- verkets verksamhet. Även i andra ärendeslag som arbets- och studie- ärenden, medborgarskapsärenden och återvändandeärenden före- kommer tolkning.

Enligt Migrationsverket finns det i dag uppskattningsvis mellan 5 000–6 000 aktiva tolkar i Sverige, varav ca 1 500–3 000 utgörs av heltidsarbetande aktörer. Antalet uppdrag som varje tolk har för Migrationsverket varierar, men kan uppgå till 10–20 stycken per vecka.

Vad gäller kompetensklasser och ersättningsnivåer för tolkar ut- gör Domstolsverkets föreskrifter och domstolstaxa en standard. Enligt Domstolsverkets föreskrifter finns det tre typer av tolknivåer; rättstolkar, auktoriserade tolkar och övriga tolkar. Kammarkollegiet har hand om auktorisationen av tolkar. Auktoriserade tolkar finns för ca 40 olika språk. I Sverige finns i dag ca 1 000 auktoriserade tolkar, varav ca 200 är rättstolkar. Av dessa personer tolkar ca 600 de 100–120 språk som är aktuella hos Migrationsverket. För de ca 75– 80 procent av tolkar i Sverige som tillhör kategorin ”övriga tolkar” finns ingen reglering avseende kunskap etc.

Migrationsverket saknar uppgifter om hur många tolkar som det totala antalet tolktillfällen hos Migrationsverket motsvarar liksom de anlitade tolkarnas kunskapsnivå. Enligt Migrationsverkets upp- fattning motsvarar kunskapsnivån för de anlitade tolkarna den för- delning som finns på tolkmarknaden i stort. Många tolkningsupp- drag utförs därför av ”övriga tolkar”. Tolkningen utförs inte sällan per telefon.

Översättare

Migrationsverkets skyldighet att anlita översättare motsvarar myn- dighetens skyldighet att anlita tolkar, se ovan.

Även marknaden för översättare är i huvudsak oreglerad och okontrollerad i dag, även om Kammarkollegiet prövar auktorisation och utövar tillsyn även för vissa överssättare.

343

Registrering av kvalitetsomdömen

SOU 2015:73

Migrationsverket har inte något it-stöd (jfr Judith avseende offent- liga biträden) eller någon särskild förteckning över översättare. Verket har inte heller några anställda översättare utan använder sig av upp- handlade översättartjänster enligt Kammarkollegiets ramavtal för översättning. Det är privata översättningsbyråer som svarar för över- sättartjänster.

Migrationsverket har behov av översättningar i flera ärendekate- gorier och behovet synes, enligt Migrationsverket, även öka fram- över. Migrationsverket saknar en säkerställd statistik på antalet över- sättningsuppdrag som verket köper in per år, men Migrationsverket uppskattar att de uppgår till åtminstone 12 000–20 000 stycken. Översättningar köps in för olika ändamål, främst för att kunna förmedla information till sökanden med annan språkbakgrund, för att översätta identitetshandlingar och andra formella handlingar som betyg och utbildningsintyg etc. och för att översätta inlagor, brev och andra liknande handlingar som åberopas i enskilda ärenden.

Språkanalytiker

Migrationsverkets stöd för att förordna om språkanalyser och där- med anlita språkanalytiker följer av myndighetens allmänna utred- ningsansvar (dvs. official- eller utredningsprincipen) och av gällande praxis. Språkanalyser är expertisutlåtanden.

Marknaden för språkanalytiker är oreglerad och saknar tillsyn. Migrationsverket har inte heller något it-stöd (jfr Judith avseende offentliga biträden) eller någon särskild förteckning över språk- analytiker.

I likhet med tolk- och översättningstjänsterna saknar Migrations- verket även en egen språkanalysenhet eller funktion. Migrationsverket upphandlar därför språkanalyser med utlåtande angående språk- dräkt och språklig bakgrund via offentligt upphandlade ramavtal. Språkanalyser utförs av språkanalysföretag med den språkliga kom- petens och expertis för sådan analys som Migrationsverket saknar. Det finns endast få språkanalysföretag på marknaden, i Sverige ca 2–3 företag och utanför Sverige ca 7–10 företag. Språkanalyser är inte heller vanligt förekommande i ärenden hos Migrationsverket. Endast några procent av asylärendena innehåller enligt Migrations- verket språkanalyser i dag. Under åren 2012–2014 har antalet

344

SOU 2015:73

Registrering av kvalitetsomdömen

språkanalyser legat relativt fast i antal och rört sig mellan ca 2 500– 3 000 analyser per år.

8.2.2Migrationsverkets uppfattning om behovet att kunna registrera kvalitetsomdömen

Allmänt

Migrationsverket har både i tidigare sammanhang, se avsnitt 8.1, och vid kontakter med utredningen framhållit att verket anser att det föreligger ett stort behov för myndigheten att få möjlighet att regi- strera kvalitetsomdömen för främst offentliga biträden och tolkar, men även för översättare och språkanalytiker. Bakgrunden till detta är att Migrationsverket anser det nödvändigt att, om möjligt, förbättra myndighetens system för dels förordnande av lämpliga offentliga biträden som kan tillvarata sökandenas rätt på bästa sätt i olika ärenden, dels anlitande av tolkar, översättare och språkanalytiker som kan garantera en rättssäker process för sökandena. I avsaknad av författningsstöd för uppföljningsmöjligheter, kvalitetskontroller och avvikelsehantering har Migrationsverket svårigheter att på ett tydligt sätt synliggöra omfattningen av behovet av att få behandla kvalitetsomdöme för aktuella yrkesgrupper. Migrationsverkets upp- fattning är dock att varje fall där biträdens, tolkars, översättares eller språkanalytikers kvalitetsbrist påverkar sökandens ärende är ett allvarligt rättssäkerhetsproblem.

De uppgifter som Migrationsverket anser särskilt betydelsefulla att registrera för de olika yrkesgrupperna är sammanfattningsvis dels kompetens, dels en notering om allvarlig eller upprepad och åter- kommande avvikelse vid utförande av uppdrag. Men även exempel- vis uppgifter om att biträdet begått brott eller försatts i konkurs bör enligt verket kunna registreras.

Registering av kompetens

Vad gäller registrering av kompetens ser behovet lite olika ut för de olika yrkesgrupperna.

För att vara lämplig som offentligt biträde i vissa ärenden (exem- pelvis barnärenden, HBTQ-ärenden, ärenden med utsatta kvinnor

345

Registrering av kvalitetsomdömen

SOU 2015:73

eller personer som utsatts för övergrepp) krävs enligt Migrations- verket förutom grundläggande kunskaper om processrätt, migra- tionsrätt och mänskliga rättigheter även särskilda erfarenheter och kunskaper. För att Migrationsverket ska kunna förordna lämpliga offentliga biträden i alla ärenden är det därför av stor vikt att infor- mation härom finns tillgänglig i Migrationsverkets it-stöd. Detta är särskilt viktigt, eftersom Migrationsverket löpande handlägger ett mycket stort antal ärenden där sökanden biträds av offentliga biträden och det från rättssäkerhetssynpunkt är viktigt att sökanden får lämp- liga biträden.

Migrationsverket anser vidare att det finns ett behov av att kunna registrera även kompetens avseende tolkar, översättare och språk- analytiker. Särskilt stort är detta behov för tolkar. Migrationsverket vill bland annat kunna registrera vilken kompetens tolken har (som vid behov kan jämföras med vad förmedlingen anger). Korrekt an- given kompetens är av stor vikt för att Migrationsverket även ska kunna tillvarata sökandenas intresse av en rättssäker tolkning. Det är också av stor betydelse för möjligheten att granska och kontrollera att rätt fakturering och debitering av utförda tjänster sker till Migra- tionsverket.

I sammanhanget kan nämnas att Migrationsverket anser att myn- digheten redan i dag, mot bakgrund av ändringarna i 4 § nuvarande utlänningsdataförordningen (SFS 2014:1068) som trädde i kraft den 15 oktober 2014, borde ha rättsligt stöd för att registrera kom- petens på de sätt verket efterfrågar. Genom ändringarna i 4 § infördes bland annat bestämmelser om att uppgifter om speciell kompetens får behandlas i ett verksamhetsregister för biträden (p. 11), tolkar (p. 12), språkanalytiker (p. 12)och översättare (p. 13) i den mån det är nödvändigt för det ändamål för vilket behandlingen utförs.

Registrering av avvikelser

Migrationsverket anser också att det är av stor vikt att kunna regi- strera om någon av här aktuella uppdragstagare inte är lämplig för sitt uppdrag. Verket vill kunna göra en notering om det förekom- mer allvarliga eller upprepade och återkommande avvikelser då upp- drag utförs. Enligt Migrationsverket är detta viktigt bland annat för att vid eventuella kommande förordnanden eller uppdrag kunna

346

SOU 2015:73

Registrering av kvalitetsomdömen

beakta denna information. En notering om avvikelse skulle enligt Migrationsverket medföra bland annat en möjlighet till tillsyn, kon- troll, uppföljning och framställning av statistik.

Vad gäller förordnande av offentliga biträden bedriver Migra- tionsverket verksamhet på många orter i Sverige och ett mycket stort antal jurister har anmält intresse för att bli förordnade som offent- ligt biträde hos verket. Vid förordnandet av offentligt biträde är det alltid Migrationsverkets utgångspunkt att sökandena ska få bästa möjliga biträde. Både de tjänstemän hos verket som förordnar offent- liga biträden och de som ansvarar för att kontrollera kvaliteten hos biträdena behöver därför tillgång till samma uppgifter om biträdena när lämplighetsbedömningen görs. I annat fall kan olämpliga biträden fortsätta att äventyra andra sökandes rättssäkerhet. Migrations- verket har därför ett stort behov av ett system för avvikelsehan- tering för att kunna synliggöra de biträden som objektivt sett har uppenbara kvalitetsbrister. Som ovan nämnts har Migrationsverket redan i dag en motsvarande förteckning för avvikelser i Word, men på grund av den stora mängden ärenden som Migrationsverket löpan- de handlägger behövs enligt verket ett tydligt rättsligt stöd för sådan behandling i myndighetens it-stöd. Enligt verkets bedömning om- fattas registreringen i Word enbart av regleringen i personuppgifts- lagen (1998:204, PUL) och inte av utlänningsdataförordningen. Det är även verkets bedömning att behandlingen är tillåten enligt personuppgiftslagen.

Exempel på allvarliga avvikelser för offentliga biträden kan vara att biträdet, trots sökandens anvisning, inte överklagat verkets beslut i ett ärende eller gett in ett överklagande för sent. Sökanden förlorar då i de flesta fall sin rätt till prövning i flera instanser. Ett annat exempel är om ett biträde, trots upprepade påminnelser, underlåter att komplettera ärendet med ett visst underlag. Biträdets underlåten- het att agera medför då en risk att Migrationsverket inte har korrekt underlag för sitt beslut. Även om detta kan avhjälpas i migrations- domstolen medför försummelsen en fördröjning av handläggningen. Ytterligare exempel på allvarliga avvikelser kan vara att biträdet vid upprepade tillfällen förhalat processen genom att inkomma med in- lagor för sent, att biträdet har begått något brott som kan påverka lämpligheten som offentligt biträde eller att biträdet har försatts i konkurs.

347

Registrering av kvalitetsomdömen

SOU 2015:73

Att kunna registrera avvikelser även för tolkar, översättare och språkanalytiker är enligt Migrationsverket också mycket viktigt, efter- som marknaden för dessa grupper i princip är oreglerad och det saknas en formell legal tillsyn av den. För dessa tre yrkesgrupper finns det enligt Migrationsverket i princip inte någon tillsyn genom en central organisation (motsvarande Sveriges advokatsamfund) eller myndighet. Det finns inte heller något centralt register för dessa yrkesgrupper, vare sig hos Migrationsverket eller hos någon annan. Kammarkollegiets register över exempelvis auktoriserade tolkar har enligt Migrationsverket endast en begränsad betydelse, eftersom de endast omfattar ca 15 procent av de aktiva tolkarna.

Migrationsverkets fullgörande av sitt myndighetsuppdrag är starkt avhängigt bland annat av god tolkning. Inom verket förekommer, som ovan nämnts, över 200 000 tolkningstillfällen per år med när- varande tolk eller tolkning via telefon. Det tolkbehov som Migra- tionsverket har att lösa är därför omfattande såväl kvantitativt som kvalitativt. Exempel på allvarliga avvikelser för tolkar kan vara fel- aktig eller bristande kompetens (antingen i svenska eller i det språk som tolkning avser), att tolken inte är den person som han eller hon utger sig för att vara och jäv. Som ovan nämnts kan samma tolk förekomma hos olika tolkförmedlingar, vilket medför att en sådan tolk kan utföra tolkuppdrag trots avvikelserapporter till anlitad annan förmedling.

Om Migrationsverket skulle inrätta ett eget centralt uppfölj- ningssystem, åtminstone för tolkar, kan personlig identifiering, sek- retess- och säkerhetsfrågor samt uppföljning av allvarliga avvikelser säkerställas och registreras i systemet. En registrering skulle enligt Migrationsverket även medföra en objektiv och transparent möjlig- het för uppföljning av behörighet, lämplighet och kvalitet.

Migrationsverket har – mot bakgrund av att verket bedömt att nuvarande lagstiftning inte medger kvalitetskontroll och uppfölj- ning av aktuella yrkesgrupper – inte tillgång till någon statistik som visar i vilken utsträckning offentliga biträden, tolkar, översättare eller språkanalytiker har agerat på ett sätt så att en notering om av- vikelse hade varit befogad. Vad gäller offentliga biträden har Migra- tionsverket, som redovisats, redan nu en förteckning för personer där lämpligheten kan i ifrågasättas (för närvarande ca 20 biträden). Även när det gäller tolkar anser Migrationsverket att det finns åter- kommande problem med sådana som missköter sina uppdrag. Verket

348

SOU 2015:73

Registrering av kvalitetsomdömen

bedömer att avvikelserapporteringar av tolktjänster stadigt ökat sedan år 2009. I dag reklamerar Migrationsverket mellan 2 0003 000 tolk- uppdrag per år till tolkförmedlingar. Utöver detta finns det ett mörkertal av ej rapporterade avvikelser. Vad avser kritik mot över- sättningar och översättningstjänster, bedömer Migrationsverket att det förekommer kritik som är befogad och att det finns ett behov av att kunna följa upp sådan kritik i allvarligare fall.

För att garantera en rättssäker process för den sökande finns därför sammanfattningsvis enligt Migrationsverket ett stort behov av uppföljningsmöjligheter av samtliga aktuella yrkesutövare, dock särskilt av dem som vill förordnas som offentliga biträden och tolkar. Utan författningsstöd för uppföljning, kvalitetskontroll och avvikelsehantering av nämnda personer anser Migrationsverket att det är mycket svårt för verket att säkerställa rättmätiga och legitima krav på rättssäkerhet.

8.3Utredningens överväganden

Utredningens bedömning: Det finns inget behov av en särskild reglering som tillåter Migrationsverket att registrera identitets- uppgifter, speciell kompetens och avvikelser rörande aktuella upp- dragstagare. Det finns inte heller något behov av ett uttryckligt undantag för avvikelseregistreringar som rör advokater och deras biträdande jurister. Några särskilda regler om sekretess behöver inte införas. Däremot behövs föreskrifter om gallring.

8.3.1Inledning

Utredningens uppdrag innebär inledningsvis att analysera förutsätt- ningarna för att ge Migrationsverket en möjlighet att registrera vissa uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språk- analytiker. Migrationsverket har framhållit att verket anser att det föreligger ett stort behov för myndigheten att få möjlighet att regi- strera kvalitetsomdömen för främst offentliga biträden och tolkar, men även för översättare och språkanalytiker (se avsnitt 8.2.2). Bak- grunden till detta är att Migrationsverket anser det nödvändigt att

349

Registrering av kvalitetsomdömen

SOU 2015:73

förbättra myndighetens system för dels förordnande av lämpliga offentliga biträden som kan tillvarata sökandenas rätt på bästa sätt i olika ärenden, dels anlitande av tolkar, översättare och språkanaly- tiker som kan garantera en rättssäker process för sökandena. De upp- gifter som Migrationsverket anser särskilt betydelsefulla att registrera för de olika yrkesgrupperna är, förutom vissa identifikationsupp- gifter, speciell kompetens och en notering om allvarlig eller upprepad och återkommande avvikelse vid utförda uppdrag. Med avvikelse vid utförda uppdrag avser Migrationsverket sammanfattningsvis uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått ett brott eller försatts i konkurs. I fortsättningen används i övervägandeavsnittet uttrycket avvikelse i huvudsak i denna betydelse.

När det till en början gäller olika identifikationsuppgifter och uppgifter om speciell kompetens kan Migrationsverket registrera så- dana uppgifter redan i dag i verkets verksamhetsregister. Det följer av 4 § p. 11–p. 13 nuvarande utlänningsdataförordning. Enligt ut- redningen bör sådan registrering vara möjlig även i fortsättningen.

När det däremot gäller sådana avvikelseregistreringar som Migra- tionsverket vill kunna göra beträffande offentliga biträden, tolkar, översättare och språkanalytiker tillåter gällande rätt inte sådan behandling i Migrationsverkets verksamhetsregister. Det samman- hänger med att den nuvarande utlänningsdataförordningen inne- håller bestämmelser om vilka kategorier av personuppgifter som får behandlas i ett verksamhetsregister. Dessa bestämmelser gör det inte möjligt att registrera uppgifter om avvikelser av det slag som Migra- tionsverket vill kunna göra.

Den kommande regleringen på utlänningsdataområdet som utred- ningen föreslår kommer däremot inte att innehålla några motsva- rande bestämmelser om registerinnehåll. Det innebär att det följer av utredningens allmänna förslag att det kommer att vara möjligt att behandla avvikelseuppgifter förutsatt att behandlingen ryms inom den nya lagstiftningens ändamål och uppfyller de grundläggande kraven i 9 § PUL. De ändamål som utredningen föreslår – bland annat handläggning av ärenden samt tillsyn, kontroll, uppföljning och planering av verksamheten – kommer alltså att göra det möjligt för Migrationsverket att registrera avvikelser av här aktuellt slag (se avsnitt 7.9). Frågan är då närmast om Migrationsverket bör ha denna möjlighet eller om det bör föreslås någon begränsning i detta

350

SOU 2015:73

Registrering av kvalitetsomdömen

hänseende i förhållande till de allmänna bestämmelserna om ändamål m.m. En sådan registrering kan anses som känslig från integritets- synpunkt. Även om uppgifterna i sig inte är särskilt integritetskäns- liga, kan registreringen få kännbara konsekvenser för de registrerade. Samtidigt är det, som verket framhåller, en viktig rättssäkerhets- fråga att enskilda sökande, som ofta befinner sig i en mycket utsatt position i asylprocessen, möts av seriösa och professionella aktörer. Frågan om avvikelseregistrering är med andra ord komplex. I det följande tar utredningen upp några olika aspekter på frågan hur man bör se möjligheten för verket att registrera avvikelser.

8.3.2Problemens omfattning och allvar

När det till en början gäller att skapa sig en bild av problemen med misskötta uppdrag är det trots Migrationsverkets redogörelser ganska svårt att närmare ringa in dessa. Verket pekar på olika avvikelser – även när det gäller advokater och deras biträdande jurister – på ett relativt övergripande sätt, se avsnitt 8.2.2. Migrationsverket har dock framhållit att verket med hänsyn till nu gällande lagstiftning inte har möjlighet att ta fram något mer väldokumenterat underlag om avvikelsefrekvens och problemens allvar.

Den förteckning som Migrationsverket använder för offentliga biträden vars lämplighet för biträdesuppdraget kan ifrågasättas (se avsnitt 8.2.1) ger inte heller någon direkt klar bild av problematiken. Förteckningen innehåller i dag ca 20 biträden (inklusive advokater och biträdande jurister vid advokatbyråer). Uppgift saknas dock om hur stor andel av de registrerade uppdragstagarna som i dag eller över tid utgörs av den grupp som omfattas av utredningens upp- drag, även om fördelningen mellan aktuella yrkesgrupper över tid enligt Migrationsverket synes vara relativt jämn. Härtill kommer den osäkerhet i fördelningen som eventuellt uppstått genom att Migra- tionsverket under viss tid i första hand valt att förordna advokater och biträdande jurister vid advokatbyråer som biträden, se av- snitt 8.2.1. Det är inte heller självklart om antalet registrerade på för- teckningen bör jämföras med det totala antalet personer som anmält intresse att förordnas som offentligt biträde (ca 2 000 personer) eller med antalet vanligt förekommande personer som offentliga biträden (ca 200–300 personer).

351

Registrering av kvalitetsomdömen

SOU 2015:73

Migrationsverket har inte någon motsvarande förteckning för tolkar, översättare och språkanalytiker. Någon uppföljning av hur ofta sådana tjänster har reklamerats och skälen för detta finns inte heller. Enligt uppgift till utredningen, som nämnts ovan, uppskattar dock Migrationsverket att antalet avvikelserapporteringar av tolk- tjänster till tolkförmedlingarna stadigt ökar sedan år 2009 och att de i dag uppgår till ca 2 0003 000 rapporteringar per år. Utöver detta finns enligt Migrationsverket ett mörkertal av ej rapporterade av- vikelser.

Migrationsverkets svårigheter att närmare belysa avvikelserna får dock inte innebära att de påtalade problemen bagatelliseras. Utred- ningen ifrågasätter inte Migrationsverkets påståenden om att problem med olämpliga uppdragstagare går ut över enskildas rättssäkerhet. Att redovisade problem finns har även framhållits och dokumente- rats i flera tidigare genomförda statliga utredningar (se bland annat omnämnda utredningar i avsnitt 8.1, SOU 2004:15 och Migrations- verkets och UNHCR:s rapport år 2011 Kvalitet i svensk asylpröv- ning). Problemen har även bekräftats av olika aktörer inom verk- samhetsområdet som utredningen har varit i kontakt med. Behovet av en strukturerad hantering av avvikelseregistreringar hos Migra- tionsverket måste även ses i ljuset av den stora mängd beslut som Migrationsverket årligen fattar avseende förordnanden av offentliga biträden (17 370 förordnanden år 2014) och anlitanden av andra uppdragstagare (sannolikt över ca 200 000 tolkuppdrag per år).

Utredningens slutsats är att det finns ett rättssäkerhetsproblem med olika uppdragstagare som i en inte obetydlig omfattning missköter sina uppdrag eller uppträder på sådant sätt att det kan gå ut över enskilda sökande.

8.3.3Alternativa sätt till personregistreringar

Frågan är då hur man bäst åtgärdar det beskrivna rättssäkerhets- problemet. Utredningen vill här peka på några sätt som kanske skulle kunna minska problemet och som inte innefattar någon integritets- känslig personuppgiftsbehandling. Metoderna tar i huvudsak sikte på offentliga biträden.

Migrationsverket administrerar som redovisats ovan i dag frågor som rör offentliga biträden med hjälp av ett särskilt it-stöd, som är

352

SOU 2015:73

Registrering av kvalitetsomdömen

knutet till en förteckning över alla som anmält intresse för att åta sig uppdrag som offentligt biträde hos verket, se avsnitt 8.2.1. Alla som anmält intresse för att åta sig uppdrag tas således upp på för- teckningen utan att någon kontroll av deras lämplighet för sådana uppdrag görs i detta skede.

Även vissa domstolar använder sig av förteckningar som hjälp- medel när de förordnar olika uppdragstagare. Till skillnad från Migra- tionsverkets rutiner gör dock domstolarna vanligtvis en förhands- prövning av de intresserade personernas lämplighet för uppdragen innan personerna tas upp i förteckningen. De personer som inte anses lämpliga utifrån vissa i förväg angivna kriterier förs alltså inte upp på förteckningen. Även om skillnader givetvis finns mellan domstolars och Migrationsverkets förordnande av uppdragstagare, bland annat eftersom offentliga biträden som inte är advokater eller biträdande jurister torde vara mindre vanligt förekommande vid domstolarna, anser utredningen att det finns ett visst intresse att fundera över hur motsvarande förteckningar skulle kunna fungera hos Migrations- verket. Generellt sett är det mindre integritetskänsligt att behandla uppgifter om biträden är lämpliga än att behandla uppgifter om biträden vars lämplighet kan ifrågasättas. Enligt utredningen borde en motsvarande förteckning kunna ha en viss funktion även hos Migrationsverket för att säkerställa att vissa olämpliga uppdragsta- gare inte förordnas som offentliga biträden. Med hänsyn till det stora antalet biträden som finns registrerade hos Migrationsverket i dag (ca 2 000 personer) skulle det inledningsvis krävas en betydande arbetsinsats att ta fram en sådan förteckning. Men det arbetet bör endast vara temporärt. Vilka närmare kriterier som en person måste uppfylla för att tas upp i en sådan förteckning bör verket självt be- stämma. Saklighet och opartiskhet måste dock iakttas och bedöm- ningen måste även göras på ett tillräckligt kvalificerat sätt. Även om ett allmänt kriterium om lämplighet därför inte torde kunna ställas, borde en förteckning av beskrivet slag enligt utredningen i viss mån generellt kunna minska riskerna för att olämpliga biträden förordnas. Förteckningen skulle dock inte innehålla uppgifter om avvikelser och skulle därför inte fylla de syften som Migrationsverket efterfrågar.

En annan metod att komma tillrätta med problemen kan vara att konsekvent och systematiskt återkoppla till berörda personer när de har misskött sitt uppdrag. I de fall ett uppdrag som offentligt biträde, tolk, översättare eller språkanalytiker inte har utförts på ett

353

Registrering av kvalitetsomdömen

SOU 2015:73

tillfredsställande sätt är det naturligt att försöka komma till rätta med problemet genom att reklamera tjänsten. Det bör i vart fall kunna ha den betydelsen att en uppdragstagare inte återfaller i sam- ma misskötsamhet. En konsekvens av reklamationerna skulle också kunna vara att en uppdragstagare som misskött sig inte får nya upp- drag. Migrationsverket reklamerar redan i dag misskötta uppdrag. Verkets erfarenhet är dock att sådan återkoppling inte har någon nämnvärd betydelse för att mer generellt höja kvaliteten på uppdra- gens utförande. Ett problem i sammanhanget är också att de tjänste- män hos Migrationsverket som förordnar olika uppdragstagare inte har kännedom om alla reklamationer som har gjorts. Sammantaget menar utredningen att det är viktigt att verket konsekvent och syste- matiskt återkopplar om uppdrag har utförts på ett oacceptabelt sätt men att metoden sannolikt mer generellt inte har någon större bety- delse för att komma tillrätta med dagens problem.

I sammanhanget ska framhållas att uppdragstagare kan bytas ut eller entledigas om de inte utför sina uppdrag på ett tillfredsställan- de sätt, se 5 § lagen om offentligt biträde och 26 § rättshjälpslagen. Byte av biträde får dock endast ske om det finns särskilda skäl och, om byte redan har skett en gång, krävs det synnerliga skäl. Ett offent- ligt biträde får entledigas om skäl föreligger, men då endast i det enskilda fallet. Någon möjlighet att även förklara att ett offentligt biträde ska vara obehörigt att vara biträde antingen för viss tid eller tillsvidare finns alltså inte för Migrationsverket. En sådan möjlighet har däremot de allmänna domstolarna och de allmänna förvaltnings- domstolarnas när det gäller ombud och försvarare, se 12 kap. 5 § och 21 kap. 3 § rättegångsbalken (1942:740) samt 48 § förvaltningspro- cesslagen (1971:291). När det gäller entledigande av tolkar, översätt- are och språkanalytiker finns bestämmelser härom i första hand i de uppdragsavtal som Migrationsverket slutit med anlitade tolkför- medlingar, översättningsbyråer och språkanalysföretag. I många fall får dock Migrationsverket i praktiken kännedom om uppdragstag- ares brister först efter att ett uppdrag har avslutats. Detta innebär att möjligheten att besluta om byte eller entledigande av viss uppdragstagare inte längre finns kvar. För att byten eller entledig- anden ska kunna beaktas när Migrationsverket förordnar uppdrags- tagare måste även berörda tjänstemän ha kännedom om vilka upp- dragstagare som har bytts ut och entledigats på grund av avvikelser. Någon tillgång till sådana uppgifter finns inte i dag. Möjligheten att

354

SOU 2015:73

Registrering av kvalitetsomdömen

byta ut och entlediga olämpliga uppdragstagare framstår alltså inte som en så effektiv åtgärd för att komma till rätta med här aktuella problem.

Sammanfattningsvis menar utredningen att de åtgärder som ut- redningen här kort berört bör kunna bidra något till att komma till rätta med problemen med olämpliga uppdragstagare. Men åtgärder- na kan inte anses som tillräckliga.

8.3.4Förväntad nytta av avvikelseregistreringar

Även om utredningen ovan funnit att det inte finns något tillfred- ställande alternativ till registreringar av avvikelser, bör även nyttan av sådana registreringar övervägas. Denna nytta måste bedömas mot bakgrund av de krav som gäller för behandlingen av sådana person- uppgifter. Eller annorlunda uttryckt, vilka uppgifter verket kan be- handla när det gäller misskötsamhet eller annat oacceptabelt uppträ- dande hos anlitade uppdragstagare.

Vid avvikelseregistreringar av aktuellt slag måste Migrationsverket iaktta de grundläggande kraven på behandling av personuppgifter, se 9 § PUL. Det innebär bland annat att uppgifter som registreras ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att de även ska vara riktiga och aktuella. Dessa krav föranleder frågor om vilka slags avvikelser som lagligen kan registre- ras. Registreringen får inte grunda sig på godtycke. Det sagda torde innebära att Migrationsverket endast kan registrera objektiva och klara avvikelser utan något större utrymme för olika värderingar av avvikelsernas allvar. När det gäller offentliga biträden kan det exem- pelvis röra sig om att ett biträde, trots anvisning härom, inte har överklagat verkets beslut i ett ärende eller gett in ett överklagande för sent, att biträdet begått visst brott och att biträdet försatts i kon- kurs. Mer tveksamt är det däremot att registrera uppgifter som rör olika försumligheter i processföringen. Sådana försumligheter måste normalt vara uppenbara. När det gäller tolkar, översättare och språk- analytiker måste det enligt utredningens uppfattning röra sig om flagranta och otvetydiga misstag i utförandet av uppdraget för att registrering ska vara möjlig.

Vidare är det väsentligt att Migrationsverket säkerställer att en eventuell registrering av allvarliga avvikelser inte i praktiken innebär

355

Registrering av kvalitetsomdömen

SOU 2015:73

en formlös obehörighetsförklaring för viss uppdragstagare att ta uppdrag hos verket i framtiden. Särskilt JO har varit tydlig med att ett sådant agerande i liknande situationer inte är tillåtet (se bland annat JO 2008/09 s. 36 om Kritik mot en lagman för att tingsrätten formlöst avstår från att förordna en viss advokat som offentlig för- svarare och JO 2010/11 s. 308 ”Svartlistning” av offentliga biträden i utlänningsärenden).

Sammanfattningsvis torde det enligt utredningen bli ganska få typer av avvikelser som skulle kunna registreras för de olika uppdrags- tagarna. Den stora nyttan med en möjlighet att registrera avvikelser är dock enligt utredningens bedömning att Migrationsverket får en större möjlighet att agera utanför det enskilda fallet, eftersom de tjänstemän som förordnar och anlitar aktuella uppdragstagare får kännedom om avvikelserna. Uppgifterna om avvikelser kan då utgöra en del av underlaget inför beslut om ett uppdrag hos verket. Avsikten med avvikelseregistreringen är alltså inte att den ska innebära något formligt uteslutande av uppdragstagaren. Den syftar till att uppmärk- samma tjänstemännen i Migrationsverket på att en viss uppdrags- tagare i ett visst fall kan vara olämplig. En registrering ska inte ses som bindande.

8.3.5Integritetsaspekter m.m.

Integritetsriskerna med registreringar av här aktuellt slag ska bedömas utifrån att uppgifterna främst rör uppdragstagares redbarhet och hur uppdragstagare fullgör sina uppdrag. Mot den bakgrunden kan hävdas att uppgifterna i sig inte framstår som särskilt integritets- känsliga. Å andra sidan kan registreringen anses som känslig, eftersom den på ett officiellt sätt pekar ut personer som olämpliga. Registre- ringen kan därigenom få karaktären av en s.k. formlös obehörighets- förklaring. Även om i princip bara objektiva och klara avvikelser registreras, är det svårt att veta om dessa alltid i det enskilda fallet är relevanta för att bedöma en persons lämplighet för framtida upp- drag. I många fall kan det vara svårt att dra några säkra slutsatser rörande exempelvis en persons lämplighet som biträde utifrån misstag som biträdet har begått i ett eller ett par ärenden. Det finns också en risk att en registrering av en avvikelse kan få betydelse för den enskilde uppdragstagaren under lång tid. Uteblivna uppdrag

356

SOU 2015:73

Registrering av kvalitetsomdömen

kan exempelvis få stor ekonomisk betydelse för personer som brukar få uppdrag.

Integritetsriskerna ska dock enligt utredningen inte överdrivas. Det får förutsättas att Migrationsverket kan göra de bedömningar som föregår en registrering på ett rättssäkert sätt. Verket måste skapa en ordning och systematiska rutiner för hur registreringar ska gå till. En planerad registrering bör vidare som regel alltid kommuniceras med den berörda uppdragstagaren så att han eller hon har en möjlig- het att förklara eventuell misskötsamhet.

8.3.6Sammanfattande slutsatser

Migrationsverket har alltså efterfrågat en möjlighet att få registrera uppgifter om speciell kompetens och avvikelser för offentliga biträ- den, tolkar, översättare och språkanalytiker. Utredningens uppdrag vad gäller offentliga biträden har dock begränsats till andra offent- liga biträden än advokater och biträdande jurister anställda vid advokatbyråer.

Den centrala frågan gäller om Migrationsverket bör få behandla avvikelseregistreringar. Här måste en sedvanlig intresseavvägning göras; en intresseavvägning mellan den nytta och de integritetsrisker som en sådan registrering kan antas medföra. När det gäller vilken nytta som en möjlighet till registrering kan antas medföra konsta- terar utredningen att det i dag finns problem med att olika aktörer missköter sig i asylprocessen och att detta många gånger innebär ett rättssäkerhetsproblem. Det är givetvis mycket allvarligt. En avvikelse- registrering bör enligt utredningen kunna bidra till att åtgärda dessa problem. Det finns knappast något tillfredsställande alternativ till en sådan registrering. Utredningen menar även att de integritetsrisker som registreringar av avvikelser kan innebära bör kunna hanteras på ett tillfredsställande sätt av Migrationsverket. Sammanfattningsvis bör Migrationsverket därför tillåtas att registrera avvikelser för aktuella yrkesgrupper. Intresset av att främja rättssäkerheten i migrations- processen väger enligt utredningen tyngre än de integritetsrisker och andra aspekter som talar emot.

357

Registrering av kvalitetsomdömen

SOU 2015:73

8.3.7Behov av författningsreglering m.m.

Det finns inget behov av någon särskild reglering som tillåter Migra- tionsverket att registrera identitetsuppgifter, speciell kompetens och avvikelser för aktuella uppdragstagare. Denna möjlighet kommer nämligen att följa av lagens ändamålsbestämmelser (se avsnitt 7.9).

Utredningen har, som tidigare nämnts, inte i uppdrag att över- väga förutsättningarna för att ge Migrationsverket en möjlighet att registrera uppgifter om offentliga biträden som är advokater och biträdande jurister anställda vid advokatbyråer. Dessa kategorier har uttryckligen undantagits från utredningens uppdrag. Frågan är då om lagstiftningen bör utformas på sådant sätt att det formellt inte blir möjligt för Migrationsverket att registrera avvikelser beträffan- de advokater och deras biträdande jurister. Utredningen anser inte att detta är nödvändigt. Genom utredningens direktiv är klart att regeringen anser att sådan registrering inte ska förekomma. Utred- ningen menar att man kan utgå från att Migrationsverket därför kom- mer att avstå från sådana avvikelseregistreringar. Något undantag av berört slag behövs därför inte.

De uppgifter som kommer att registreras rörande aktuella upp- dragstagare torde normalt inte omfattas av någon sekretess hos Migra- tionsverket. Uppgifterna är enligt utredningen knappast heller av den karaktären att sekretess bör gälla för dem. Uppgifterna har ett allmänt intresse inte minst om de visar att uppdragstagare missköter sina uppdrag. Det finns också ett intresse av insyn i Migrations- verkets hantering av här aktuella uppgifter. Vidare är uppgifterna i sig inte särskilt känsliga för de berörda. Mot denna bakgrund före- slår inte utredningen några sekretessregler för uppgifterna. Detta innebär att det inte finns något hinder för Migrationsverket att låta domstolar och andra myndigheter ta del av uppgifterna.

Däremot menar utredningen att det finns behov av en särskild regel om gallring av uppgifter om avvikelser. Utan en sådan regel skulle anteckningar om avvikelser kunna bevaras enligt arkivlagens regler (se avsnitt 7.16). Som utredningen utvecklat ovan kan registre- ring av avvikelseuppgifter vara integritetskänslig.

En regel om gallring bör tas in i den kommande utlänningsdata- förordningen och innebära att personuppgifter som Migrationsverket behandlar automatiserat därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämpliga för framtida

358

SOU 2015:73

Registrering av kvalitetsomdömen

uppdrag ska gallras senast viss tid efter det att uppgiften registre- rades. Av integritetsskäl bör denna tid vara ganska kort. Man skulle kunna överväga att ha olika gallringstider beroende på vad det är fråga om för slag av avvikelseregistrering. Praktiska skäl talar dock enligt utredningen för att bara ha en gallringstid. Utredningen före- slår att denna tid bestäms till två år. I den kommande utlännings- datalagen bör det erinras om att regeringen kan meddela närmare föreskrifter om gallring.

Med endast en gallringstid som dessutom är förhållandevis kort kan det i undantagsfall bli aktuellt att registrera uppgifter som har gallrats på nytt. Det förutsätter förstås att uppgifterna fortfarande är adekvata och relevanta i förhållande till ändamålen med behand- lingen och att uppgifterna är aktuella. Ett exempel på ett sådant fall kan vara om ett biträde har begått ett allvarligt brott som alltjämt efter två år kan påverka biträdets lämplighet som offentligt biträde.

En särskild fråga med avvikelseregistreringar är huruvida en av Migrationsverket beslutad registrering kan överklagas av den berörde. Det ingår i utredningens uppdrag att överväga detta. Genom kam- marrätten i Sundsvalls dom den 8 juli 2014 i mål nr 871-14 (se avsnitt 8.2.1) får det enligt utredningen anses klarlagt att avvikelse- registreringar som Migrationsverket kommer att göra beträffande uppdragstagare inte är överklagbara. Sådana beslut kommer i likhet med dagens beslut nämligen att sakna rättsverkningar och ska inte heller på annat sätt uppfattas som bindande av Migrationsverkets tjänstemän. Enligt utredningen är detta en rimlig ordning. Det saknas därför anledning att överväga någon möjlighet för den enskilde att kunna överklaga en registrering i detta sammanhang.

En speciell aspekt som manar till försiktighet när det gäller av- vikelseregistreringar är den processordning som nu råder. Migrations- verket är första instans vid prövning av ett utlänningsärende men sökandens motpart vid ett överklagande till en migrationsdomstol. Om verket registrerar avvikelser, skulle sådana registreringar kunna göras då målet handläggs i en migrationsdomstol beträffande verkets motparts offentliga biträde. Om verket skulle utnyttja denna möjlig- het, finns en risk för att den enskildes förtroende för verket skadas. Även i en sådan situation är kraven på opartiskhet och saklighet av betydelse, eftersom ett biträdes agerande eller underlåtenhet att agera kan bero av processtaktiska övervägande. Denna fråga påkallar dock inte någon särskild författningsreglering.

359

9Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete

och arbetstillstånd

9.1Inledning

Den 15 december 2008 infördes de nuvarande reglerna för arbets- kraftsinvandring. Reglerna är utformade på ett sätt som syftar till att underlätta för arbetskraftsinvandring till Sverige. För att mot- verka missbruk av reglerna och utnyttjande av utländsk arbetskraft utarbetade Justitiedepartementet år 2013 bland annat en departe- mentspromemoria Åtgärder mot missbruk av reglerna för arbetskrafts- invandring (Ds 2013:57).

I promemorian föreslogs bland annat att Migrationsverket under löpande tillståndstid ska få möjlighet att utföra efterkontroller avse- ende beviljade arbetstillstånd. Det föreslogs också bestämmelser om återkallelse av uppehållstillstånd som beviljats för arbete om förut- sättningarna för arbetstillståndet inte längre är uppfyllda eller om det arbete som arbetstillståndet beviljats för inte påbörjats inom rim- lig tid.

För att Migrationsverkets handläggning av ärenden som rör uppe- hållstillstånd för arbete och arbetstillstånd ska kunna ske snabbt och effektivt var det enligt promemorian angeläget att Migrationsverket har tillgång till vissa uppgifter hos Skatteverket, Kronofogdemynd- igheten och Försäkringskassan. I promemorian föreslogs därför be- stämmelser som medger Migrationsverket direktåtkomst till upp- gifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas.

361

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

Promemorian remissbehandlades och bland annat Datainspek- tionen och Försäkringskassan kritiserade promemorians förslag om direktåtkomst.

Datainspektionen anförde i sitt remissvar att det kan innebära ett betydande intrång i de registrerades personliga integritet om en myndighet, för dess särskilda verksamhet, ges direktåtkomst till en samling av personuppgifter som en annan myndighet samlat in om enskilda personer för helt andra specifika verksamhetsändamål. Vidare ansåg inspektionen att de föreslagna sekretessbrytande bestämmel- serna var otydliga och inkonsekventa samt att det behövdes tekniska spärrar som uppfyller kravet på integritetsskyddande begränsningar av Migrationsverkets direktåtkomst. Enligt Datainspektionen behöv- des det också ytterligare analys av vilka uppgifter som är nödvändiga för Migrationsverket att inhämta och vilka ändringar som krävdes i den registerförfattning som reglerar Migrationsverkets behandling av personuppgifter.

Försäkringskassan ansåg att utformningen av den sekretessbry- tande bestämmelsen som rör socialförsäkringsdatabasen inte bryter sekretessen på ett sådant sätt att den kan läggas till grund för direkt- åtkomst.

I propositionen Åtgärder mot missbruk av reglerna för arbetskrafts- invandring (prop. 2013/14:227) behandlades promemorians lagför- slag förutom såvitt avser direktåtkomsten. Mot bakgrund av remiss- kritiken bedömde regeringen att förslaget i den delen behövde ana- lyseras ytterligare. Utredningen har därför fått i uppgift att

analysera uppgiftsbehovet hos Migrationsverket när det gäller arbetet med handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd,

analysera förutsättningarna för att ge Migrationsverket direktåt- komst till dessa uppgifter och, om analysen ger stöd för att sådana förutsättningar finns, ta fram förslag till sådana bestämmelser,

om utredningen gör bedömningen att bestämmelser om direkt- åtkomst inte går att motivera, föreslå bestämmelser som möjliggör någon annan form av elektroniskt utlämnande som tillgodoser önskvärda krav på effektivitet och integritet för den enskilde,

362

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

utreda om det finns behov av och bör införas särskilda sekretess- brytande bestämmelser som gör att Migrationsverket kan få till- gång till efterfrågade uppgifter och i så fall ge förslag till hur de bör utformas och

utreda vilka tekniska eller andra begränsningar som måste finnas för att inte överskottsinformation ska röjas för Migrationsverket.

9.2Allmänt om Migrationsverkets handläggning av uppehållstillstånd för arbete och arbetstillstånd

9.2.1Den rättsliga regleringen för handläggningen

Allmänt

För att upptäcka, förebygga och motverka missbruk av reglerna för arbetskraftsinvandring och för att förhindra utnyttjande av utländsk arbetskraft arbetar Migrationsverket med olika typer av kontroller. Kontroller sker dels vid tillståndsgivningen för uppehållstillstånd och arbetstillstånd, dels efter information från exempelvis en annan myndighet som har fått kännedom om att det finns skäl att över- väga återkallelse av ett tillstånd. Migrationsverket utför också systema- tiska kontroller under tillståndstiden, se bland annat ovannämnd prop. 2013/14:227 s. 13 f.

Tillståndsgivning för uppehållstillstånd och arbetstillstånd

Bestämmelser om uppehållstillstånd och arbetstillstånd liksom vill- koren för sådana tillstånd finns i utlänningslagen (2005:716, UtlL) och utlänningsförordningen (2006:97, UtlF). Av dessa bestämmelser framgår bland annat följande.

Migrationsverket får bevilja en utlänning ett tidsbegränsat uppe- hållstillstånd om utlänningen önskar vistas här i landet för antingen arbete eller för att bedriva näringsverksamhet, se 5 kap. 10 § UtlL.

Förutsättningar för Migrationsverket att bevilja en utlänning arbetstillstånd anges i 6 kap. UtlL. En grundläggande förutsättning för att arbetstillstånd ska beviljas en utlänning som erbjudits en an- ställning är att anställningen ska göra det möjligt för utlänningen att försörja sig, se 6 kap. 2 § första stycket 1 UtlL. Det innebär bland

363

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

annat att arbetstiden måste vara av sådan omfattning att inkomsten från anställningen inte är så låg att han eller hon behöver försörjnings- stöd enligt 4 kap. 1 § socialtjänstlagen (2001:453) för att täcka kost- naderna för bland annat boende och uppehälle, se prop. 2007/08:147 s. 59.

En annan grundläggande förutsättning för arbetstillstånd är att de erbjudna anställningsvillkoren (lön, försäkringsskydd och övriga anställningsvillkor) inte får vara sämre än de villkor som följer av svenska kollektivavtal eller praxis inom yrket eller branschen, se 6 kap. 2 § första stycket 2 UtlL.

Arbetstillstånd ska ges för en tidsperiod motsvarande anställ- ningstiden, dock längst två år, se 6 kap. 1 och 2 a §§ UtlL. Arbets- tillståndet kan förlängas vid ett eller flera tillfällen. Den samman- lagda tillståndstiden får dock vara längst sex år.

Ett arbetstillstånd ska knytas till en viss arbetsgivare och avse ett visst slag av arbete. Efter en sammanlagd tillståndstid om två år ska tillståndet endast knytas till ett visst slag av arbete, se 6 kap. 2 a § tredje stycket UtlL.

Som framgår av 5 kap. 15 a § UtlL får ett tidsbegränsat uppe- hållstillstånd även i vissa fall beviljas en utlänning vars ansökan om uppehållstillstånd som flykting eller annan skyddsbehövande avslagits genom ett lagakraftvunnet beslut, om utlänningen vistas här och sedan minst fyra månader har en anställning som uppfyller vissa angivna krav och avser en tidsperiod om minst ett år från ansökningstillfället. En ansökan om tidsbegränsat uppehållstillstånd ska ha kommit in till Migrationsverket senast två veckor efter det att beslutet att avslå ansökan om uppehållstillstånd som flykting eller annan skyddsbe- hövande har vunnit laga kraft.

I 5 kap. 5 § UtlL finns bestämmelser om permanenta uppehålls- tillstånd och uppehållstillstånd för att bedriva näringsverksamhet. Av paragrafen följer bland annat att sådant uppehållstillstånd får beviljas en utlänning som ska bedriva näringsverksamhet endast om hon eller han har förmåga att bedriva den aktuella verksamheten.

364

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

Efterkontroller

Migrationsverkets rätt att göra efterkontroller regleras i 6 kap. 6 a § UtlF. Av den paragrafen framgår det att Migrationsverket får kon- trollera att den som har beviljats arbetstillstånd enligt 6 kap. 2 § första stycket UtlL har påbörjat arbetet inom fyra månader från tillståndets första giltighetsdag och att förutsättningarna för arbets- tillståndet enligt den bestämmelsen är uppfyllda under tillståndstiden.

Återkallelser av uppehållstillstånd och arbetstillstånd

Bestämmelser om återkallelse av bland annat uppehållstillstånd och arbetstillstånd för utlänningar finns i 7 kap. UtlL. Återkallelse får ske under de förutsättningar som framgår av 7 kap. 1–7 e §§ UtlL. Uppehållstillstånd och arbetstillstånd får exempelvis återkallas för en utlänning som medvetet har lämnat oriktiga uppgifter eller med- vetet har förtigit omständigheter som varit av betydelse för att få tillståndet. Om utlänningen har vistats här i landet i mer än fyra år med uppehållstillstånd, får uppehållstillståndet dock återkallas endast om det finns synnerliga skäl för det. Ytterligare exempel på när uppehållstillstånd får återkallas för en utlänning som rest in i landet är om utlänningen bedriver verksamhet som kräver ett arbetstill- stånd utan att ha ett sådant tillstånd. Vidare får återkallelse ske om utlänningen har beviljats arbetstillstånd enligt 6 kap. 2 § första stycket UtlL och anställningen upphört, om inte utlänningen inom tre måna- der har fått en ny anställning som omfattas av arbetstillståndet eller inom samma tid ansökt om arbetstillstånd med anledning av en ny anställning och ansökan därefter beviljas.

Vid bedömningen av om uppehållstillståndet bör återkallas i nämn- da situationer för en utlänning som har rest in i landet ska enligt 7 kap. 4 § UtlL hänsyn tas till den anknytning som utlänningen har till det svenska samhället och till om andra skäl talar mot att tillstån- det återkallas. Vid en sådan bedömning ska särskilt beaktas 1) utlän- ningens levnadsomständigheter, 2) om utlänningen har barn i Sverige och, om så är fallet, barnets behov av kontakt med utlänningen, hur kontakten har varit och hur den skulle påverkas av att utlänningens uppehållstillstånd återkallas, 3) utlänningens övriga familjeförhållan- den och 4) hur länge utlänningen har vistats i Sverige.

365

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

Vidare ska ett tidsbegränsat uppehållstillstånd för arbete för en utlänning som har beviljats arbetstillstånd enligt 6 kap. 2 § första stycket UtlL återkallas om antingen förutsättningarna för arbetstill- ståndet enligt 6 kap. 2 § första stycket UtlL av något annat skäl än att anställningen har upphört inte längre är uppfyllda eller om utlän- ningen inte inom fyra månader från tillståndets första giltighetsdag påbörjat arbetet, se 7 kap. 7 e § UtlL.

Av 7 kap. 8 § UtlL framgår det att det är Migrationsverket som beslutar om återkallelse av uppehålls- och arbetstillstånd.

9.2.2Migrationsverkets uppfattning om behovet av direktåtkomst till vissa personuppgifter

Allmänt

Migrationsverket har i olika sammanhang gett uttryck för ett behov av författningsändringar i syfte att uppnå en snabbare och effektivare handläggning av arbetstillståndsärenden (se bland annat Migra- tionsverkets framställan till Justitiedepartementet i juni 2012, dnr Ju 2012/4975/EMA, och Migrationsverkets yttrande rörande förslaget om åtgärder mot missbruk av reglerna för arbetskraftsinvandring i november 2013, dnr Ju 2013/6287/L7). Samma synpunkter har förts fram till utredningen. Ändringarna som Migrationsverket efterlyser är ett rättsligt stöd för verket att bland annat få direktåtkomst till information hos andra myndigheter vid denna handläggning. I detta avsnitt beskrivs bakgrunden till Migrationsverkets begäran om direkt- åtkomst i förevarande fall och Migrationsverkets uppfattning om hur behovet av direktåtkomst till vissa personuppgifter ser ut.

Ändringen av reglerna för arbetskraftsinvandring år 2008 medförde att arbetsuppgifter i form av avgörande bedömningar rörande anställ- ningsvillkor m.m. i första hand lön och försäkringsskydd flytta- des från Arbetsförmedlingen till Migrationsverket. Utöver dessa arbetsuppgifter har Migrationsverket, som redovisats i avsnitt 9.1.1, även i uppgift att motverka missbruk av reglerna och systematiskt arbeta för att upptäcka missbruk som exempelvis skenanställningar. Hösten 2014 utvidgades Migrationsverkets ansvarsområde ytterligare, vilket innebar att verket numera inte bara ska pröva ansökningar om uppehålls- och arbetstillstånd grundade på anställning utan även göra kontroller under löpande tillståndstid som kan leda till ärenden om

366

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

återkallelse av tillstånd. Redan innan kontrollbestämmelserna infördes uppmärksammade Migrationsverket behovet av mer kontroll i vissa kategorier av ärenden. Sedan januari 2012 genomförs därför för- djupade utredningar av ansökningar som rör anställning inom vissa branscher. Det gäller bland annat städbranschen, hotell- och restau- rangbranschen, byggnadsbranschen och serviceyrken. Den fördju- pade utredningen tar i allmänhet sikte på förhållanden som rör arbetsgivaren och innebär kontroll exempelvis av att det bedrivs en faktisk verksamhet, att arbetsgivaren sköter inbetalning av skatter och avgifter och att verksamheten uppnår sådana resultat att det finns en realistisk förutsättning för arbetsgivaren att anställa mer personal. Utredningarna anpassas efter förhållandena i det enskilda fallet.

För att Migrationsverket ska kunna handlägga dessa ärenden om uppehållstillstånd och arbetstillstånd behöver verket tillgång till upp- gifter av ekonomisk art från olika aktörer, både rörande arbets- tagare och arbetsgivare. Uppgifter från vissa myndigheter behövs bland annat för att kontrollera tillförlitligheten i de uppgifter som den utländske arbetstagaren, efter arbetsgivarens medverkan, lämnar i sin ansökan. Uppgifter behövs även avseende egna företagare, efter- som krav på uppehållstillstånd (men inte arbetstillstånd) finns även för dem.

Migrationsverkets mål är att all handläggning av nämnda tillstånds- ärenden ska ske digitalt, eftersom verket kontinuerligt arbetar med att förbättra den digitala processen både vad gäller ansökningsproce- duren och handläggningen. Vidare är det Migrationsverkets ambition att ansökningar i pappersform ska skannas för att kunna handläggas digitalt. Migrationsverket anser att det är av stor vikt att alla hand- läggningsmoment kan utföras i den digitala miljön och att även nöd- vändiga kontroller hos andra myndigheter kan göras digitalt och utan tidsspillan.

Berörda myndigheter

I dag inhämtar Migrationsverket relevanta uppgifter för kontrollerna som beskrivits ovan från Skatteverket, Kronofogdemyndigheten, Försäkringskassan samt Bolagsverket. De är även, med undantag för Bolagsverket, från dessa myndigheter som Migrationsverket vill att informationsutbytet i framtiden ska ske genom direktåtkomst. Upp-

367

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

gifterna från Försäkringskassan finns i Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Vad gäller Migra- tionsverkets informationsutbyte med Bolagsverket har det visat sig att det utbytet kan lösas utan ytterligare författningsreglering. Utred- ningen berör därför inte vidare frågan om Migrationsverkets tillgång till information hos Bolagsverket.

Ärenden där effektivare informationsutbyte efterfrågas

Migrationsverket anser att direktåtkomsten bör vara möjlig vid handläggning av följande fyra kategorier av ärenden.

Arbetstillståndsärenden enligt 6 kap. 2 § första stycket UtlL och uppehållstillståndsärenden enligt 5 kap. 15 a § UtlL.

När det gäller förstagångsansökan om uppehålls- och arbetstillstånd grundad på anställning ligger tyngdpunkten i Migrationsverkets pröv- ning i att bedöma att den erbjudna lönen inte är sämre än vad som följer enligt tillämpligt kollektivavtal. Därutöver kontrollerar verket att arbetsgivaren avser att teckna försäkringar i enlighet med vad kollektivavtal kräver, att anställningen utannonserats, att den sök- ande har giltigt pass och kan styrka sin identitet. Dessutom kon- trollerar verket sökandens vandel genom slagningar i misstanke- och belastningsregistren och kontroll görs även av att sökanden inte förekommer i Schengen Information System (SIS). Migrationsverket gör även fördjupade utredningar i vissa av dessa ärenden rörande vissa branscher och dessa utredningar tar i första hand sikte på för- hållandena rörande arbetsgivaren.

I samband med ansökan om förlängda uppehålls- och arbetstill- stånd kontrollerar Migrationsverket alltid anställningsvillkoren såvitt avser lön och försäkringar. Sökanden ska bifoga kontrolluppgifter för föregående år och lönespecifikationer rörande innevarande år. Migrationsverket kan då bedöma om arbetsgivaren uppfyllt sina åtag- anden och om en förlängning kan beviljas. Om åtagandena inte uppfyllts, presumeras att arbetsgivaren inte heller i fortsättningen kommer att uppfylla villkoren och ansökan kan då komma att avslås. Om ett nytt uppehålls- och arbetstillstånd inte kan beviljas, avslås

368

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

ansökan och ett sådant beslut förenas i regel med ett beslut om ut- visning.

En tredjelandsmedborgare som haft sammanlagt fyra års uppe- hållstillstånd för arbete under de senaste sju åren får beviljas perma- nent uppehållstillstånd. Bestämmelsen grundar sig på att personen i fråga genom sitt arbete här bidragit till samhällsutvecklingen och fått en stark koppling till landet. Migrationsverkets prövning består då i huvudsak av att kontrollera att den sökande verkligen haft anställning och arbetat under tillståndstiden samt att lön har betalats ut. Endast kortare frånvaro under de fyra åren accepteras som huvud- regel.

Uppehållstillståndsärenden för egna företagare enligt 5 kap. 5 § andra stycket UtlL

Vad gäller uppehållstillstånd för egna företagare är det främst ansök- ningar om förlängning och permanent uppehållstillstånd som är av intresse. Det finns inte något krav på att egna företagare ska ha arbetstillstånd för att verka som företagare i Sverige, men däremot finns det krav på att de ska ha uppehållstillstånd. Även dessa ärenden kräver enligt Migrationsverket därför ekonomiska bedömningar. Exempelvis är en förutsättning att få ett permanent uppehållstill- stånd alternativt förlängt uppehållstillstånd efter två år att företaget ger sådana ekonomiska resultat att företagaren och i förekom- mande fall hans eller hennes familj kan leva på inkomsterna från rörelsen. I samband med framför allt prövningen av permanent uppehållstillstånd krävs i princip alltid uppgifter från Skatteverket för att Migrationsverket ska kunna bedöma rörelsens resultat och utveckling.

Ärenden om efterkontroller enligt 6 kap. 6 a § UtlF

Migrationsverkets utredning i samband med efterkontroller har i huvudsak samma syfte som vid ansökan om förlängning, dvs. att kontrollera att anställningsvillkoren är uppfyllda. I regel kontaktar Migrationsverket arbetsgivaren och uppmanar denne att komma in med den dokumentation som krävs. Migrationsverket kan numera

369

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

även ålägga arbetsgivare att lämna uppgifter om anställningen, se 6 kap. 6 b § UtlF.

Vissa ärenden om återkallelse av uppehållstillstånd enligt 7 kap. UtlL

Vid bedömningar om uppehållstillstånd ska återkallas ska Migrations- verket bland annat bedöma om arbetstagaren har påbörjat anställ- ningen inom fyra månader från beslutet om uppehållstillstånd eller om villkoren för arbetstillståndet inte är uppfyllda. I dessa ärenden måste Migrationsverket även bedöma om anställningen upphört eller om arbetstagaren beviljats tillstånd på grund av oriktiga uppgifter.

Precisering av efterfrågade personuppgifter

När det gäller vilka konkreta uppgifter som Migrationsverket anser sig ha behov av genom direktåtkomst har följande framkommit.

När det gäller arbetstagare efterfrågas i första hand uppgifter om vilken lön arbetstagaren fått, vilken arbetsgivare som betalat ut den, i vilken omfattning arbetstagaren arbetat samt anledningen till even- tuell frånvaro från arbetsplatsen.

När det gäller arbetsgivare efterfrågas i första hand uppgifter om rörelsen i fråga, exempelvis organisationsform, verksamhetens art, antal anställda, omsättning, resultat, inbetalda skatter och avgifter. Efterfrågade uppgifter syftar till att få en bild av verksamheten och göra det möjligt att bedöma om det rör sig om en seriös och aktiv verksamhet och att det finns ekonomiska resurser att anställa per- sonal.

Behovet av dessa uppgifter grundar sig främst på reglerna om de grundläggande förutsättningarna för att bevilja arbetstillstånd i 6 kap. 2 § första stycket UtlL, möjligheten för asylsökande att efter avslag ansöka om uppehålls- och arbetstillstånd på grund av anställning (s.k. spårbyte) i 5 kap. 15 a § UtlL, Migrationsverkets rätt att göra efterkontroller enligt 6 kap. 6 a § UtlF, arbetsgivares skyldighet att på begäran från Migrationsverket lämna uppgifter rörande en anställ- ning i 6 kap. 6 b § UtlF samt reglerna om återkallelse av uppehålls- tillstånd då anställningen upphört i 7 kap. 3 § första stycket 2 UtlL och om återkallelse av uppehållstillstånd då arbetstagaren inte påbörjat

370

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

anställningen eller villkoren för tillståndet inte är uppfyllda i 7 kap. 7 e § UtlL.

De här aktuella uppgifterna vill alltså Migrationsverket inhämta genom direktåtkomst från Skatteverket, Kronofogdemyndigheten och Försäkringskassan. Vilka närmare uppgifter som verket anser att det finns behov av preciseras nedan.

Skatteverket

Vad gäller uppgifter från Skatteverket finns det enligt Migrations- verket i första hand behov av följande uppgifter i beskattningsdata- basen. I anslutningen till redovisningen kommenterar utredningen något de begrepp som är adekvata i sammanhanget och som därför bör användas.

Deklarerad och taxerad inkomst per individ. Uppgiften behövs vid ansökningar om förlängning av arbetstillstånd, efterkontroll samt vid eventuell återkallelse av tillstånd. Uppgifterna är nöd- vändiga för att se att en sökande/person fått kollektivavtalsenlig lön samt arbetat inom ramen för tidigare givet tillstånd. Både deklarerad inkomst och taxerad inkomst är här av intresse, även om Migrationsverket i dag oftast endast har möjlighet att ta del av taxerad inkomst på grund av sekretessreglerna. I avvaktan på beslut om taxering får Migrationsverket i dag förlita sig på löne- specifikationer som den sökande själv eller arbetsgivaren ger in, vilket inte i alla lägen är tillförlitligt. Uppgift om deklarerad in- komst skulle vara av stort värde, eftersom Migrationsverket då skulle kunna kontrollera att den sökande lämnat samma uppgifter till Skatteverket som till Migrationsverket. Enligt utredningen bör beskrivna uppgifter benämnas uppgift om förvärvsinkomst, fastställd samt preliminär. Med förvärvsinkomst avses uppgifter som rör tjänsteinkomst och även inkomst av näringsverksamhet.

Kontrolluppgift från arbetsgivare där lön, förmåner, sjukpenning och arbetsgivare framgår. Denna uppgift är viktig av samma skäl som angetts för den deklarerad och taxerad inkomsten ovan. Upp- gift om vilken arbetsgivare som betalat ut lönen ifråga är särskilt viktig för Migrationsverkets bedömningar. Enligt utredningen bör beskrivna uppgifter benämnas uppgift om underlag som lämnats av arbetsgivare avseende person som erhållit förvärvsinkomst. Med

371

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

underlag avses uppgift som rör inkomstens storlek, inkomsttyp samt period som ersättningen avser.

Utdrag från skattekonto för företag. Av intresse är framför allt företagets inbetalningar av arbetsgivaravgifter och eventuell skatte- skuld. Uppgifterna är framför allt viktiga i de förstagångsansök- ningar där Migrationsverket behöver göra djupare utredning rörande företaget som arbetsgivare, bland annat avseende arbets- givarens seriositet, hur arbetsgivaren sköter sina åtaganden av- seende skatter och avgifter för de anställda och att det finns ekonomiska förutsättningar för arbetsgivaren att ha en arbets- kraftsinvandrare anställd. Uppgifterna kan även behövas som kom- plement i förlängningsärenden, efterkontroller och återkallelse- ärenden. Enligt utredningen bör beskrivna uppgifter benämnas uppgift om skatter och avgifter som överlämnats till Kronofogde- myndigheten för indrivningsåtgärder respektive uppgift om beslutade arbetsgivareavgifter. Vad gäller förstnämnda uppgifter bör det dock noteras att det, efter att skulder har överlämnats till Krono- fogdemyndigheten för indrivning, är Kronofogdemyndigheten och inte Skatteverket som har uppdaterad information om skul- derna. Vad däremot gäller sistnämnda uppgifter bör anmärkas att uppgifter om inbetalda sociala avgifter inte kan inhämtas från skattekontot, eftersom detta konto endast innehåller uppgifter om den totala summan av inbetalda skatter, avgifter och räntor. Uppgift om beslutade arbetsgivaravgifter finns däremot i beskatt- ningsdatabasen.

Godkännande respektive avregistrering från F-skatt. Uppgifter- na behövs i Migrationsverkets bedömningar av samma skäl som för utdrag från skattekontot. Enligt utredningen bör beskrivna uppgifter benämnas som uppgift om skatteform respektive uppgift om återkallelse av godkännande för F-skatt. Uppgifter om skatte- form innefattar uppgifter om 1) godkänd för F-skatt, 2) godkänd för F-skatt med villkor (FA-skatt) eller 3) A-skatt. Genom upp- gift om återkallelse av godkännande för F-skatt kan uppgift även erhållas om orsaken till detta, exempelvis konkurs, egen begäran, näringsverksamhet bedrivs inte, inkomstdeklaration inte inläm- nad, bristande redovisning/betalning, näringsförbud, missbruk av F-skatt, försummelse av fåmansbolag, försummelse av företags- ledare, bristande redovisning/betalning i vissa fall.

372

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

Kronofogdemyndigheten

När det gäller uppgifter från Kronofogdemyndigheten finns det enligt Migrationsverket i första hand behov av följande personupp- gifter från utsöknings- och indrivningsdatabasen. I anslutning till redovisningen kommenterar utredningen något de begrepp som är adekvata i sammanhanget och som därför bör användas.

Uppgifter om såväl skatteskulder som andra skulder hos Krono- fogdemyndigheten. Migrationsverket behöver uppgifterna för kontroll av arbetsgivarens seriositet, hur arbetsgivaren sköter sina åtaganden och att det finns ekonomiska förutsättningar för arbets- givaren att ha en arbetskraftsinvandrare anställd. Enligt utred- ningen bör beskrivna uppgifter benämnas som fysiska personers skulder i allmänna och enskilda mål.

Uppgifter om påbörjat konkursförfarande. Uppgifterna behövs av samma skäl som redovisats ovan för uppgifter om skulder hos Kronofogdemyndigheten. Enligt utredningen bör beskrivna upp- gifter benämnas som uppgift om att konkursförfarande inletts. Det bör dock noteras att ett konkursförfarande inleds genom att tingsrätten beslutar om konkurs och att Kronofogdemyndig- heten därför får besked härom från tingsrätten.

Betalningsanmärkning rörande privatperson/enskild firma. Dessa uppgifter har särskild betydelse i ärenden där ansökan om arbets- tillstånd grundar sig på anställning i en enskild firma. Migra- tionsverket har i dag mycket små möjligheter att kontrollera de ekonomiska förutsättningarna hos en enskild firma. Verket har inte tillgång till kreditupplysningar på privatpersoner. Samtidigt handlägger Migrationsverket ett stort antal ansökningar där arbetsgivaren är en enskild firma. En enskild näringsidkare är själv personligt ansvarig för företagets verksamhet och näringsidkarens eget personnummer blir företagets organisationsnummer. Det innebär att det är privatpersonen som måste kontrolleras om en kontroll av arbetsgivaren ska kunna göras. Här kan enligt ut- redningen anmärkas att Kronofogdemyndigheten saknar informa- tion om betalningsanmärkningar som rör privatpersoner eller enskilda firmor. Tillgången till sådana uppgifter berörs därför inte vidare.

373

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

Försäkringskassan

När det gäller uppgifter från Försäkringskassan, som finns i För- säkringskassans och Pensionsmyndighetens socialförsäkringsdatabas, finns det enligt Migrationsverket i första hand behov av följande personuppgifter. I anslutning till redovisningen kommenterar utred- ningen något de begrepp som är adekvata i sammanhanget och som därför bör användas.

Inrapporterad föräldraledighet och utbetalning av föräldrapen- ning. Uppgifterna om dessa uppgifter behövs vid Migrations- verkets bedömningar om en arbetstagare, som inte har arbetat under hela tillståndstiden, kan beviljas begärt förlängt uppehålls- och arbetstillstånd trots frånvaron. Detta då vissa typ av frånvaro enligt praxis är accepterad, exempelvis vid föräldraledighet och sjukskrivning. För det fall sökanden, som själv ska ange grunden för frånvaron, saknar underlag för denna måste Migrationsverket vända sig till Försäkringskassan för att få ut uppgifterna. Enligt utredningen bör beskrivna uppgifter benämnas som inlämnad an- sökan om föräldrapenning till Försäkringskassan respektive utbetald föräldrapenning från Försäkringskassan.

Omfattning av sjukfrånvaro och sjukpenning. Uppgifterna be- hövs av samma skäl som inrapporterad föräldraledighet m.m. ovan. Enligt utredningen bör beskrivna uppgifter benämnas omfattning av sjukfrånvaro respektive av Försäkringskassan utbetald sjuk- penning.

Beviljade timmar för personlig assistans. Denna uppgift är viktig framför allt i ärenden där en person anställs som personlig assistent för att vårda en anhörig. Som underlag för Migrationsverkets bedömning om den sökande arbetat som personlig assistent är det viktigt att få uppgift om att brukaren är beviljad personlig assistans. Enligt utredningen bör beskrivna uppgifter benämnas beviljade assistanstimmar.

374

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

Migrationsverkets inhämtande av efterfrågade uppgifter i dag

Migrationsverket inhämtar redan i dag en del av de uppgifter som verket i framtiden vill ska lämnas ut genom direktåtkomst. Inhäm- tandet sker bland annat från Skatteverket, Kronofogdemyndigheten och Försäkringskassan. Uppgifter som inte inhämtas men som Migra- tionsverket vill ha tillgång till är uppgifter om preliminär förvärvs- inkomst och beviljade assistanstimmar. Dessa uppgifter omfattas normalt av sekretess, varför de inte efterfrågas.

I flertalet aktuella ansökningsärenden där Migrationsverket har ett kontrollansvar är utgångspunkten att den sökande själv ska bilägga nödvändig dokumentation, exempelvis genom kontrolluppgifter och lönespecifikationer. Så sker också i regel i dag, men Migrationsverket måste ofta kontrollera dessa uppgifter hos berörd myndighet. I vissa fall måste även ärendena kompletteras med ytterligare uppgifter.

Uppgifterna från Skatteverket, Kronofogdemyndigheten och För- säkringskassan inhämtas i dag på olika sätt. Enligt uppgift från Migrationsverket inhämtas uppgifterna vanligtvis per telefon, men det förekommer också att Migrationsverket begär in uppgifter genom skrivelser som skickas med vanlig post. I vissa fall kontrollerar även Migrationsverket uppgifter via Infotorg, som är en databas som inne- håller bland annat företagsinformation. Migrationsverket begär där- emot sällan information om personuppgifter via e-post, eftersom verket inte anser att ett sådant tillvägagångsätt är lämpligt från säker- hetssynpunkt.

Migrationsverkets inhämtande av personuppgifter för kontroller och komplettering av underlag enligt ovan är enligt verket både resurs- och tidskrävande. Det innebär även stora kostnader för verket.

Enligt Migrationsverket är den totalt nedlagda tiden för Migra- tionsverkets personal i ett ärende utan direktåtkomst generellt sett dubbelt så lång som vid handläggning av ärenden med direktåtkomst. Tidsskillnaden består främst i tidsspillan i telefonköer, vid admini- stration i form av registreringar och kompletteringar samt vid upp- följning av kompletteringar och bedömning av dokumentets giltig- het m.m. Enligt uppgift från Migrationsverket visade bland annat en mätning under år 2013 att den genomsnittliga väntetiden vid telefonsamtal till Skatteverket var 40 minuter. Om förfrågan görs per brev, tillkommer svarstid och administration av utskick av brev och hanterande av inkomna handlingar. Även de myndigheter som

375

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

Migrationsverket behöver uppgifter ifrån skulle spara resurser om direktåtkomst medgavs, eftersom de skulle slippa Migrationsverkets olika kontrollfrågor per telefon och per brev. De skulle även i vissa fall slippa hantera framställningar om kompletteringar från sökan- den eller arbetsgivare i vissa ärenden, exempelvis i förlängningsären- den där Migrationsverket begär att ansökningar kompletteras med kontrolluppgifter från Skatteverket. Även den totala handläggnings- tiden påverkas av om uppgifter inhämtas genom direktåtkomst. Migrationsverket har genom detaljerad statistik närmare redovisat för utredningen hur direktåtkomst kan minska handläggningstiderna hos verket.

Enligt uppgift från Migrationsverket skulle direktåtkomst kunna användas i ca 60 procent av aktuella ärenden (exklusive anhörigären- den). Detta innebär enligt Migrationsverkets prognos 21 725 ären- den år 2015, 18 650 per år för åren 2016, 2017 och 2018. Behovet av inhämtande av uppgifter genom direktåtkomst är störst från Skatte- verket, även om behov även finns för uppgifter från Kronofogde- myndigheten och Försäkringskassan.

9.2.3Särskilt om tillämpliga sekretessbestämmelser

För frågan om direktåtkomst är det av intresse vilken sekretess som kan gälla för aktuella uppgifter hos Skatteverket, Kronofogde- myndigheten och Försäkringskassan samt hos Migrationsverket. De sekretessbestämmelser som är tillämpliga hos de olika myndig- heterna i nu aktuellt sammanhang är i huvudsak följande (se även avsnitt 7.15.3).

Sekretessbestämmelser som gäller hos Skatteverket finns bland annat i 27 kap. offentlighets- och sekretesslagen (2009:400, OSL). Av kapitlets första paragraf framgår det bland annat att sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställan- de av underlag för bestämmande av skatt eller som avser fastighets- taxering för uppgift om en enskilds personliga eller ekonomiska för- hållanden. Motsvarande sekretess gäller även enligt paragrafens andra stycke i bland annat verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av upp- gifter i Skatteverkets beskattningsverksamhet för uppgift om en

376

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

enskilds personliga eller ekonomiska förhållanden som har tillförts databasen.

När det gäller Kronofogdemyndigheten finns sekretessbestämmel- ser bland annat i 34 kap. OSL. Av 1 § framgår det att sekretess som huvudregel gäller hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud för uppgift om en enskilds personliga eller eko- nomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Motsvarande sekretess gäller även i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen en- ligt lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (34 kap. 2 § OSL).

Sekretess gäller hos Försäkringskassan för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om upp- giften röjs och uppgiften förekommer i ärende enligt lagstiftningen om bland annat allmän försäkring, arbetsskadeförsäkring, handikapp- ersättning och vårdbidrag och annan ekonomisk förmån för enskild eller särskild sjukförsäkringsavgift (28 kap. 1 § OSL).

När det till sist gäller sekretess hos Migrationsverket är i huvud- sak följande bestämmelser av intresse. Hos Migrationsverket gäller, utöver vad som följer av 21 kap. 5 § OSL, sekretess bland annat i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (37 kap. 1 § första stycket OSL.) Med ”verksamhet för kontroll över utlänningar” avses inte bara förvaltningsärenden om till exempel visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning utan också kontrollåtgärder eller annan löpande tillsyn. Bestämmelsen tar sikte på uppgifter om enskildas personliga förhållanden, vilket bland annat innefattar upp- gifter om hälsotillstånd och uppgifter om utlänningens ekonomiska omständigheter av personlig natur. Härutöver gäller sekretess bland annat i ärende om arbetstillstånd för utlänning för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den en- skilde lider skada om uppgiften röjs, se 28 kap. 15 § första stycket

377

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

OSL. Sekretess gäller också för uppgift om en enskilds personliga förhållanden i ärenden om bistånd åt asylsökande och andra ut- länningar, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (se 26 kap. 1 § OSL).

9.2.4Personuppgiftsbehandlingen hos berörda myndigheter

De personuppgifter som Migrationsverket efterfrågar genom direkt- åtkomst behandlas med undantag för uppgift om preliminär förvärvs- inkomst och beviljade assistanstimmar redan i dag av de berörda myndigheterna.

Behandlingen av personuppgifterna regleras i olika författningar. För Skatteverket är lagen om behandling av uppgifter i Skattever- kets beskattningsverksamhet tillämplig för denna behandling, medan Kronofogdemyndighetens samt Försäkringskassans och Pensions- myndighetens behandling i detta avseende regleras av lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet respektive 114 kap. socialförsäkringsbalken (2010:110). Vad gäller Migrationsverkets behandling av personuppgifter regleras denna i dag av nuvarande utlänningsdataförordningen.

9.2.5Sekretessbrytande bestämmelser

Som huvudregel gäller sekretess även mellan myndigheter och be- stämmelser om direktåtkomst anses inte i sig ha någon sekretess- brytande verkan, se vidare härom i avsnitt 7.15.3.

För att även sekretessbelagda uppgifter ska kunna bli tillgängliga för Migrationsverket genom direktåtkomst krävs därför ett författ- ningsstöd i någon sekretessbrytande regel. Se härom närmare 10 kap. OSL.

I 10 kap. 27 § OSL finns den s.k. generalklausulen rörande utläm- nande av sekretessbelagda uppgifter mellan myndigheter. General- klausulen innebär att en sekretessbelagd uppgift som huvudregel får lämnas till en annan myndighet om det är uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekre- tessen ska skydda. Generalklausulen har dock många undantag. Den gäller exempelvis inte i fråga om sekretess enligt 26 kap. 1 § OSL

378

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

(socialtjänstsekretess) eller om utlämnandet strider mot lag eller för- ordning eller föreskrift som har meddelats med stöd av personupp- giftslagen.

Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en upp- gift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. En sådan uppgiftsskyldighet kan bland annat gälla en skyldighet för en viss myndighet att lämna andra myndig- heter information. Bestämmelsen 6 kap. 5 § OSL om informations- skyldighet mellan myndigheter liksom föreskrifter som generellt anger att visst samarbete mellan myndigheter ska ske omfattas inte av denna bestämmelse. Exempel på uppgiftsskyldighet som avses är däremot 2 kap. 16 § polisdatalagen (2010:361, PDL) och 4 § förord- ningen (2001:588) om behandling av uppgifter i Skatteverkets be- skattningsverksamhet.

9.3Utredningens överväganden

Utredningens förslag: Utredningen anser att Migrationsverket ska få medges direktåtkomst till vissa särskilt angivna uppgifter från Skatteverket (beskattningsdatabasen), Kronofogdemyndig- heten (utsöknings- och indrivningsdatabasen) samt Försäkrings- kassan och Pensionsmyndigheten (socialförsäkringsdatabasen), om uppgifterna behövs för handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) eller ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller för kontroll av sådana arbetstillstånd. Bestämmelser om detta ska tas in i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet respektive socialförsäk- ringsbalken (2010:110). Särskilda sekretessbrytande bestäm- melser bör också införas.

Myndigheters direktåtkomst till personuppgifter från andra myndig- heter anses innebära särskilda risker för otillbörligt integritetsintrång. En värdmyndighet som lämnar ut uppgifterna har inte kontroll över vilka uppgifter som mottagarmyndigheten vid ett visst tillfälle tar del av. De upptagningar som direktåtkomsten avser blir även allmänna

379

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

handlingar hos den mottagande myndigheten och är ofta offentliga hos mottagarmyndigheten. Direktåtkomst medför vanligtvis även att mottagarmyndigheten ofta får tillgång till överskottsinformation, eftersom myndigheten ofta får teknisk tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas i myndighetens verksamhet. Direktåtkomst ökar således riskerna för intrång i den personliga integriteten, vilket medför att det finns skäl för att vara återhållsam i fråga om när direktåtkomst bör tillåtas. Om skyddet för person- uppgifterna vid direktåtkomst säkerställs på olika sätt, behöver dock direktåtkomst inte vara så mycket känsligare än andra former av informationsutbyten. Se mer härom i avsnitt 7.15.

Nedan analyserar utredningen frågan om direktåtkomst bör tillåtas från Skatteverket, Kronofogdemyndigheten samt Försäkringskassan och Pensionsmyndigheten vid Migrationsverkets handläggning av ärenden om uppehållstillstånd för att bedriva näringsverksamhet och arbetstillstånd samt ärenden rörande kontroller av sådana arbets- tillstånd. Däremot tar utredningen inte upp frågan om direktåtkomst när det gäller uppehålls- och arbetstillstånd som regleras i 6 a kap. UtlL, s.k. EU-blåkort, eftersom Migrationsverket uppgett att verket inte har behov av någon direktåtkomst i den verksamheten.

9.3.1Migrationsverkets uppgiftsbehov vid handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd

Migrationsverkets behov av uppgifter från Skatteverket, Krono- fogdemyndigheten och Försäkringskassan är hänförligt till de olika bedömningar som verket förutsätts göra vid dels prövningar av ansökningar om uppehållstillstånd för arbete eller för att bedriva näringsverksamhet och om arbetstillstånd, dels för kontroller under löpande tillståndstid, dels för ärenden om återkallelse av uppehålls- tillstånd. Migrationsverkets behov av uppgifterna har närmare redo- visats i avsnitt 9.2.2, där även de efterfrågade personuppgifterna närmare har preciserats.

Migrationsverket inhämtar redan i dag en del av dessa uppgifter; dock inte uppgifter om preliminär förvärvsinkomst och beviljade assistanstimmar. Det finns enligt uppgift från Migrationsverket inte något elektroniskt informationsutbyte mellan å ena sidan Skatte- verket, Kronofogdemyndigheten och Försäkringskassan samt å

380

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

andra sidan Migrationsverket för de uppgifter som är relevanta för Migrationsverkets handläggning av uppehållstillstånd för arbete och arbetstillstånd. Det informationsutbyte som förekommer sker i stället vanligtvis per telefon, genom skrivelser som skickas med vanlig post eller via Infotorg. Informationsutbytet sker dock sällan via e- post på grund av säkerhetsaspekter.

Utredningen gör den bedömningen att de uppgifter som Migra- tionsverket efterfrågar från aktuella myndigheter är av betydelse för att Migrationsverket ska kunna handlägga aktuella uppehållstillstånd och arbetstillstånd på ett rättssäkert och effektivt sätt. Detta gäller alltså även uppgifter om preliminär respektive fastställd förvärvsin- komst och uppgifter om beviljade assistanstimmar, som verket inte inhämtar från Skatteverket respektive Försäkringskassan i dag. Preli- minär fastställd förvärvsinkomst behövs för att Migrationsverket, i avvaktan på beslut om taxering, ska kunna kontrollera att den sök- ande lämnat samma uppgifter om erhållen lön till Skatteverket som till Migrationsverket. Uppgift om beviljade assistanstimmar behövs för att bedöma om det finns ett bakomliggande beslut om assistent- ersättning i de fall där någon, oftast en anhörig, anger ett sådant arbete som grund för uppehållstillstånd. Denna kontroll behövs för att i ett så tidigt skede som möjligt undersöka om en riktig anställ- ning finns. Denna anställningsform är speciell, bland annat genom att det är brukaren som bestämmer vem som ska vara dennes personliga assistent och om ett uppdrag ska avslutas. Att Migra- tionsverket skulle kunna kontrollera med Skatteverket att personen i fråga fått lön genom uppgifter om fastställd förvärvsinkomst eller underlag som lämnats av arbetsgivare avseende person som erhållit förvärvsinkomst, är inte tillräckligt, då sådana uppgifter blir till- gängliga först på ett ganska sent stadium. Vid den tidpunkten kan perioden för ett beslutat uppehållstillstånd redan ha löpt ut. Även uppgifter om preliminär förvärvsinkomst är otillräckliga av mot- svarande skäl.

381

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

9.3.2Förutsättningar för att ge Migrationsverket direktåtkomst till efterfrågade uppgifter finns

Inledning

Det finns, som framhållits ovan, anledning att vara restriktiv vid bedömningen av om Migrationsverket ska medges direktåtkomst till de uppgifter som behandlats i avsnitt 9.3.1. Flera av uppgifterna, särskilt de i socialförsäkringsdatabasen, är känsliga från integritets- synpunkt. Vid övervägande av om bestämmelser om utökat elek- troniskt informationsutbyte bör införas måste de samhällsintressen som talar för att införa sådana bestämmelser vägas mot de inte- gritetskäl som talar emot. För den avvägning som måste göras för frågan om förutsättningar finns för att ge Migrationsverket direkt- åtkomst till efterfrågade uppgifter måste flera aspekter beaktas. Ut- redningen behandlar dessa i de följande avsnitten.

Samhällsintressen som gynnas av en direktåtkomst

Effektivare kontroller för att motverka missbruk av reglerna för arbetskraftsinvandring

Migrationsverkets behov av uppgifterna är en konsekvens av regler- na för arbetskraftsinvandring och närmare bestämt bestämmelserna i utlänningslagen och utlänningsförordningen som reglerar villkoren för uppehållstillstånd för arbete och för att bedriva näringsverk- samhet och för arbetstillstånd. Migrationsverket ska vid prövningar av ansökningar av uppehållstillstånd och arbetstillstånd, vid kontroller under löpande tillståndstid och vid ärenden om återkallelse av givna tillstånd pröva om de rättsliga förutsättningarna är uppfyllda. Vid denna handläggning behöver Migrationsverket kontrollera tillför- litligheten i de uppgifter som sökanden ger in i ärenden med de myndigheter som nu är aktuella.

Migrationsverket har uppgett att direktåtkomst till aktuella upp- gifter skulle medföra en snabbare och effektivare handläggning av ärendena i fråga. En effektivare handläggning bidrar också till att motverka missbruk av reglerna för arbetskraftsinvandring. En direkt- åtkomst av aktuella uppgifter skulle även enligt utredningens be- dömning kunna innebära effektivitetsvinster för verket, som självt skulle kunna söka fram uppgifterna. Den skulle även innebära effek-

382

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

tivitetsvinster för värdmyndigheterna, som inte skulle behöva av- sätta resurser för att hantera Migrationsverkets förfrågningar om utlämnande av uppgifter. Det är givetvis angeläget att Migrations- verket har effektiva och enhetliga rutiner för kontroll av lämnade uppgifter i pågående ärenden och att handläggare vid varje tillfälle på ett snabbt och effektivt sätt kan inhämta nödvändiga uppgifter hos de aktuella myndigheterna.

Bättre service till enskilda

Om Migrationsverket får tillgång till aktuella uppgifter genom direkt- åtkomst, borde som utredningen konstaterat ovan verkets ärende- hantering bli mer effektiv och enhetlig. Handläggningstiden av ärendena borde då kunna förkortas, vilket innebär en förbättrad service mot de enskilda. Härtill kommer att de enskilda, i vissa fall, kanske inte heller behöver besväras med att komplettera ärendet med vissa uppgifter som Migrationsverket kan få fram genom direkt- åtkomsten.

Integritetsrisker med direktåtkomst

Det kan dock som berörts ovan finnas vissa integritetsrisker med direktåtkomst.

Inledningsvis kan konstateras att samtliga myndigheter som Migra- tionsverket efterfrågar personuppgifter från har ett annat verksam- hetsområde än verket. Om verket får tillgång till personuppgifter genom direktåtkomst från dessa myndigheter, kan detta i sig inne- bära ett intrång i de registrerades personliga integritet, eftersom uppgifterna har samlats in av en annan myndighet för helt andra ändamål.

Vidare innebär direktåtkomst till uppgifter, typiskt sett, att risken för kränkningar av den enskildes integritet blir större. De av Migra- tionsverket efterfrågade uppgifterna utgör en stor mängd informa- tion från olika register och databaser och det ökade flödet väcker frågor om vilka risker för obehöriga intrång i den personliga inte- griteten som detta kan medföra. Härtill kommer tillgången till överskottsinformation vid direktåtkomst, dvs. information som är tekniskt tillgänglig för en mottagande myndighet vid bland annat

383

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

direktåtkomst till en annan myndighets elektroniska informations- samling men som mottagarmyndigheten inte får använda i ett en- skilt fall eller ta del av utan att till exempel vissa förutsättningar är uppfyllda. Med överskottsinformation avses också information som mottagarmyndigheten visserligen får men ännu inte har använt i sin verksamhet. Se vidare härom i SOU 2012:90 s. 12 och 120. Det huvudsakliga problemet med överskottsinformation är att den all- männa tillgängligheten till uppgifterna ökar på ett sätt som ett tek- niskt tillgängliggörande eller regler om direktåtkomst inte åsyftat.

Integritetsskyddsåtgärder vid direktåtkomst

Som utredningen sagt ovan och närmare utvecklat i avsnitt 7.15 i anslutning till frågan om andra myndigheters direktåtkomst till Migrationsverkets uppgifter ökar riskerna för intrång i den person- liga integriteten vid direktåtkomst. Integritetsaspekterna måste där- för tillmätas central betydelse vid bedömningen av om direkt- åtkomst ska tillåtas.

En grundläggande förutsättning för att nu tillåta direktåtkomst är att den verkligen begränsas till sådana uppgifter som Migrations- verket har behov av. Det behov som verket anser sig ha har närmare redovisats i avsnitt 9.2.2. Enligt utredningens bedömning saknas det anledning att ifrågasätta att verket verkligen behöver de där redo- visade uppgifter för att kunna utföra de uppdrag som verket har när det gäller att följa upp tillämpningen av reglerna om arbetskrafts- invandring. Inget har framkommit som tyder på att verket inte har behov av aktuella uppgifter. En direktåtkomst till just dessa upp- gifter kan därför enligt utredningen anses motiverad.

En annan viktig integritetsskyddande åtgärd för att direktåtkomst ska kunna tillåtas är att tillgången till uppgifterna hos Migrations- verket begränsas till endast de anställda hos verket som behöver uppgifterna i sitt arbete. De anställda ska således endast få tillgång till de uppgifter som de behöver för att hantera enskilda ärenden. De ska tekniskt vara förhindrade från att ha tillgång till den över- skottsinformation som följer av direktåtkomsten. Direktåtkomsten måste således ordnas så att detta krav uppfylls. I första hand är det Migrationsverket som i egenskap av mottagarmyndighet som ska åläggas ansvaret för detta. En regel om att direktåtkomsten ska

384

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

begränsas på detta sätt föreslås i den nya utlänningsdatalagen (16 §). Hur kravet i realiteten ska uppfyllas är en fråga för Migrations- verket. Ett sätt kan vara att endast ett fåtal personer på Migrations- verket kan ta del av uppgifterna från direktåtkomsten och att dessa personer sedan vidarebefordrar just de särskilda uppgifter som en handläggare behöver för ett speciellt ärende. Det kan i samman- hanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa tillgången till olika uppgifter och att i efter- hand genom bland annat loggningsuppgifter kontrollera hur till- gången har utnyttjats.

Men även de utlämnande myndigheterna bör ha del i detta ansvar genom att den myndighet som medger direktåtkomst ska vara skyl- dig att innan direktåtkomst medges försäkra sig om att Migra- tionsverket har en acceptabel säkerhetsnivå, exempelvis när det gäller system för behörighet och loggning av transaktioner samt tillsyn. När det gäller frågor om en värdmyndighets ansvar, se SOU 2015:39 s. 387 f.

Vidare är det av betydelse för att stärka integriteten vid direkt- åtkomst att Migrationsverket och respektive värdmyndighet regel- bundet har utbildningsinsatser för sina anställda om vad som gäller vid direktåtkomsten och att tydliga instruktioner finns härom.

En annan viktig fråga från integritetssynpunkt är vad som gäller i sekretesshänseende för uppgifter som Migrationsverket skulle få tillgång till genom direktåtkomst. Handlingar som är åtkomliga genom direktåtkomst utgör nämligen allmänna handlingar även hos den mottagande myndigheten och det gäller alla de handlingar som görs tillgängliga genom direktåtkomsten, även de som utgör över- skottsinformation. Sekretessfrågorna behandlas därför här förhåll- andevis utförligt.

I avsnitt 9.2.3 har utredningen översiktligt redogjort för de sekre- tessbestämmelser som är tillämpliga hos värdmyndigheterna och Migrationsverket. Som framgår där finns i första hand tillämpliga sekretessbestämmelser för Skatteverket i 27 kap. 1 § OSL, för Kronofogdemyndigheten i 34 kap. 2 § OSL och för Försäkringskassan och Pensionsmyndigheten i 28 kap. 1 § OSL. Av bestämmelserna framgår att sekretessen som är tillämplig för Skatteverket och för Kronofogdemyndigheten bland annat gäller i myndighetens verk- samhet som avser förande av eller uttag ur myndighetens databas. Detta innebär att den sekretess som gäller hos Skatteverket respektive

385

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

Kronofogdemyndigheten blir tillämplig också hos mottagande myn- digheter så länge uppgiften är kvar i databasen. Denna primära sekretess gäller alltså även hos den mottagande myndigheten. Om Migrationsverket skulle medges direktåtkomst, skulle den alltså även gälla för verket.

Sekretessbestämmelserna som är tillämpliga för Försäkringskassan och Pensionsmyndigheten innehåller inte någon särskild regel om förande av och uttag ur register. Den sekretessen gäller inte primärt hos Migrationsverket, men kan enligt 11 kap. 4 § OSL överföras till Migrationsverket om verket medges direktåtkomst till uppgifterna från databasen.

Som framgår av sekretessbestämmelserna är sekretessen hos Skatteverket absolut, medan den gäller med ett omvänt skaderekvisit för uppgifter i Kronofogdemyndighetens utsöknings- och indriv- ningsdatabas och med ett rakt skaderekvisit för uppgifter hos För- säkringskassan och Pensionsmyndigheten.

Som vidare framgår av avsnitt 9.2.3 gäller sekretess bland annat i Migrationsverkets verksamhet för kontroll över utlänningar enligt 37 kap. 1 § OSL. Sekretessen gäller med ett omvänt skaderekvisit.

När det gäller sekretesskyddet för de uppgifter som skulle bli till- gängliga för Migrationsverket genom direktåtkomsten kan konsta- teras att den primära sekretessen hos Skatteverket och Kronofogde- myndigheten även gäller som primär sekretess hos Migrationsverket så länge uppgifterna inte används i verkets ärendehandläggning. När det däremot gäller uppgifter hos Försäkringskassan och Pensions- myndigheten finns det, som tidigare nämnts, ingen primär sekretess- bestämmelse hos myndigheterna som också är primärt tillämplig hos Migrationsverket vid direktåtkomst. I stället tillämpas bestäm- melserna i 11 kap. 4 § OSL om överföring av sekretess, vilket medför att sekretessen överförs från Försäkringskassan/Pensionsmyndig- heten till Migrationsverket. Hos Migrationsverket kommer då att gälla dels den från Försäkringskassan överförda sekretessen, dels den primära sekretessen hos verket enligt 37 kap. 1 § OSL. Bestämmel- sen i 11 kap. 8 § OSL, som reglerar konkurrens då flera sekretess- regler samtidigt är tillämpliga, innebär i detta fall att Migrationsverkets primära sekretessbestämmelse gäller framför den överförda sekre- tessen från Försäkringskassan/Pensionsmyndigheten. Sammanfatt- ningsvis kan utredningen konstatera att sekretesskyddet hos Migra-

386

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

tionsverket för överskottsinformation inte är sämre än hos värd- myndigheterna.

När det gäller de uppgifter som efter direktåtkomst används i Migrationsverkets ärendehandläggning, dvs. när uppgifterna från Skatteverket, Kronofogdemyndigheten och Försäkringskassan förs in i Migrationsverkets verksamhet, gäller följande. Sekretess gäller för uppgifterna hos verket enligt 37 kap. 1 § OSL som är primärt tillämplig hos Migrationsverket. Den sekretessen gäller som sagt med ett omvänt skaderekvisit. Även de sekretessbestämmelser som är tillämpliga hos värdmyndigheterna kan bli tillämpliga hos Migrations- verket genom att sekretessen överförts till verket enligt 11 kap. 4 § OSL. Vid denna konkurrens ska den tidigare nämnda bestämmelsen 11 kap. 8 § OSL tillämpas. I detta fall innebär det att Migrations- verkets primära sekretessregler enligt 37 kap. 1 § OSL har företräde framför sekundära, dvs. sekretessreglerna hos värdmyndigheterna. Sammanfattningsvis innebär detta att de uppgifter som Migrations- verket får från Skatteverket och använder i ärendehandläggningen får ett något mindre starkt sekretesskydd hos Migrationsverket, eftersom uppgifterna omfattades av absolut sekretess hos Skatte- verket. För uppgifter från Försäkringskassan och Pensionsmyndig- heten blir sekretesskyddet däremot något starkare och för Krono- fogdemyndigheten oförändrat.

Eftersom sekretessen hos Migrationsverket för här aktuella upp- gifter från Skatteverket är något mindre stark än hos Skatteverket, uppkommer frågan om det finns behov av ett starkare sekretesskydd för dessa uppgifter när de finns hos Migrationsverket än vad som gäller enligt 37 kap. 1 § OSL. En grundläggande princip enligt sekre- tessreglering är att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset (se prop. 2010/11:78 s. 23). Det måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Denna avvägning kan utfalla på olika sätt hos olika myndigheter och inom olika områden. Att uppgifterna omfattas av absolut sekretess i beskattningsverksam- heten har huvudsakligen motiverats av hänsyn till den enskildes integritet. Den skattskyldiges långtgående plikt att lämna uppgifter om sina förhållanden till Skatteverket har ansetts ge särskild tyngd åt skyddsaspekten (prop. 1979/80:2 Del A s. 256). I fråga om upp- gifter i ärenden hos Migrationsverket har lagstiftaren, som redo- visats ovan, ansett att ett omvänt skaderekvisit är tillräckligt. Med

387

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

undantag för uppgiften om deklarerad inkomst är den kategori av uppgifter som är aktuell för direktåtkomst även sådana uppgifter som redan i dag förekommer hos Migrationsverket i olika ärenden om bland annat uppehållstillstånd och arbetstillstånd. Uppgifterna från Skatteverket används av Migrationsverket för kontroll och komplettering av de uppgifter som den sökanden lämnar in ären- dena. Utredningen anser mot denna bakgrund att sekretesskyddet för aktuella uppgifter hos Migrationsverket inte behöver stärkas, om Migrationsverket skulle medges direktåtkomst till dem.

En viktig fråga då man överväger att tillåta direktåtkomst är de enskilda personer som berörs av direktåtkomsten på lämpligt sätt informeras om denna. Informationen ska vara tydlig och innehålla en specifikation av vilka uppgifter som kan komma att inhämtas och från vilka myndigheter sådant inhämtande kan komma att ske.

Utredningen anser sammanfattningsvis mot bakgrund av vad som ovan anförts att Migrationsverket bör kunna medges direktåtkomst till nu aktuella uppgifter från Skatteverket (beskattningsdatabasen), från Kronofogdemyndigheten (utsöknings- och indrivningsdata- basen) och från Försäkringskassan/Pensionsmyndigheten (social- försäkringsdatabasen). De samhällsintressen som gynnas av en direkt- åtkomst väger enligt utredningen tyngre än de integritetsrisker som talar emot. En sådan direktåtkomst bör därför inte leda till oaccep- tabla intrång i den personliga integriteten under förutsättning att direktåtkomsten omgärdas av sådana integritetsskyddsåtgärder som utredningen berört ovan och att regleringen närmare utformas på sådant sätt som utredningen tar upp fortsättningsvis.

9.3.3Utformningen av bestämmelser om direktåtkomst m.m.

Inledningsvis kan konstateras att såväl lagen om behandling av upp- gifter i Skatteverkets beskattningsverksamhet (1 kap. 5 § 5), lagen om behandling av uppgifter i Kronofogdemyndighetens verk- samhet (2 kap. 3 § 6) och socialförsäkringsbalken (114 kap. 9 §) tillåter att uppgifter får behandlas för tillhandahållande av infor- mation som behövs i författningsreglerad verksamhet för bland annat kontroller hos någon annan än värdmyndigheterna. Någon kompletterande lagstiftning som tillåter behandling i form av direkt- åtkomst för Migrationsverket är därför enligt utredningen inte

388

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

nödvändig. Vidare har Migrationsverket rätt att behandla mottagna uppgifter i enlighet med utredningens författningsförslag, se kapi- tel 1.

När det sedan gäller utformningen av bestämmelserna om direkt- åtkomsten anser utredningen att dessa bör uttryckas på det sätt att Migrationsverket får medges direktåtkomst till uppgifter från Skatte- verket, Kronofogdemyndigheten och Försäkringskassan/Pensions- myndigheten. Bestämmelserna bör också tillåta regeringen eller den myndighet som regeringen bestämmer att meddela närmare före- skrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Bestämmelserna som medger direktåtkomst bör enligt utredningen tas in i lagen om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet, lagen om behandling av uppgifter i Kronofogde- myndighetens verksamhet och socialförsäkringsbalken.

Enligt utredningen bör ändamålen för Migrationsverkets direkt- åtkomst anges i lag, medan närmare preciseringar av direktåtkomst- en kan regleras i förordning. Vad gäller Migrationsverkets ändamål för direktåtkomsten till uppgifterna från de aktuella myndigheterna anser utredningen att dessa bör begränsas till handläggning av vissa ärenden. De ärendetyperna som är aktuella här och som alltså även bör framgå av lagen är handläggning av ansökningar om uppehålls- tillstånd för att bedriva näringsverksamhet enligt 5 kap. UtlL, hand- läggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket UtlL eller kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket UtlL. För att understryka att direktåtkomsten ska användas restriktivt bör det även av lagen framgå att uppgifterna endast får användas i den utsträckning som de behövs för handläggningen av nämnda ärenden.

Som nämnts anser utredningen att närmare precisering av vilka uppgifter som Migrationsverket får medges direktåtkomst till bör tas in i en förordning. Dessa preciseringar bör i enlighet med den för- fattningsteknik som i dag är bruklig när direktåtkomst regleras tas in i författningar som rör personuppgiftsbehandling hos respektive värdmyndighet. Det innebär att bestämmelser om precisering av uppgifter som direktåtkomst får medges för bör tas in i förord- ningen (2001:588) om behandling av uppgifter i Skatteverkets be- skattningsverksamhet, förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och förordningen

389

Ett effektivare informationsutbyte vid handläggning…

SOU 2015:73

(2003:766) om behandling av personuppgifter inom socialförsäk- ringens administration.

Det är även, som utredningen framhållit, viktigt att åtkomsten begränsas till vad varje tjänsteman behöver. En regel härom finns i 16 § i den föreslagna utlänningsdatalagen.

Värdmyndigheternas ansvar bör regleras på så sätt att de inte får medge Migrationsverket direktåtkomst innan de har förvissat sig om att Migrationsverket verkligen uppfyller krav på behörighet och säkerhet.

Den myndighet som kan medge direktåtkomst bör också få med- dela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge Migrationsverket direktåtkomst till myndighetens uppgifter. Syftet med en sådan bestämmelse är att betona vikten av att direktåtkomsten inte med- ges lättvindigt utan att säkerhetsaspekterna noggrant har övervägts.

Det är viktigt att både värdmyndigheterna och Migrationsverket är införstådda med vilka uppgifter som omfattas av direktåtkomsten. Berörda handläggare vid myndigheterna måste genom utbildning ges information och kunskaper om detta samt om hur uppgifter som inhämtas ska användas. Det får förutsättas att berörda myndig- heter, vid upprättandet av elektroniska förbindelser, genom samråd med andra och genom utbildning och andra insatser riktade mot den egna personalen ser till att det i detta avseende skapas garantier för skyddet för den personliga integriteten.

9.3.4Sekretessbrytande bestämmelser

Som redovisats i avsnitt 9.2.3 förutsätter direktåtkomst i princip att det införs sekretessbrytande bestämmelser i lag eller förordning som omfattar alla uppgifter som görs tekniskt tillgängliga genom direkt- åtkomsten. Anledningen till detta är att tillämpliga bestämmelser om sekretess kan innebära att uppgifter inte annars kan lämnas till de myndigheter som får direktåtkomst, se vidare härom i avsnitt 7.15.3. Sekretessbrytande bestämmelser är enligt utredningen även nödvän- diga i förevarande fall om Migrationsverket medges direktåtkomst till ovan angivna uppgifter hos Skatteverket, Kronofogdemyndig- heten och Försäkringskassan/ Pensionsmyndigheten.

390

SOU 2015:73

Ett effektivare informationsutbyte vid handläggning…

Enligt utredningen är det inte lämpligt att direktåtkomsten grun- dar sig på generalklausulen i 10 kap 27 § kap OSL. De sekretess- brytande bestämmelserna bör i stället utformas som en föreskrift om sådan uppgiftsskyldighet som avses i 10 kap. 28 § OSL.

De sekretessbrytande bestämmelserna bör enligt utredningen placeras i den författning som framstår som naturligast i samman- hanget. Särskilda hänsyn till regleringen i 2 kap. 6 § andra stycket regeringsformen om betydande intrång behöver emellertid enligt utredningen inte tas vid bedömningen om bestämmelserna ska tas in i lag eller förordning.

Enligt utredningen är det lämpligt att bestämmelserna tas in i en författning som reglerar värdmyndighetens behandling av person- uppgifter. De sekretessbrytande bestämmelserna bör därför placeras i förordningen om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet, förordningen om behandling av uppgifter i Krono- fogdemyndighetens verksamhet och förordningen om behandling av personuppgifter inom socialförsäkringens administration.

9.3.5Slutsats

Utredningen anser att de samhällsintressen som talar för att Migra- tionsverket ska medges direktåtkomst till ovan särskilt angivna uppgifter från Skatteverket (beskattningsdatabasen), Kronofogde- myndigheten (utsöknings- och indrivningsdatabasen) och Försäk- ringskassan och Pensionsmyndigheten (socialförsäkringsdatabasen) väger tyngre än de integritetsskäl som talar emot. Direktåtkomst ska därför enligt utredningens uppfattning kunna medges i dessa fall.

391

10Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister

10.1Inledning

Utredningen har i avsnitt 7.10 föreslagit att Migrationsverket ska få föra ett automatiserat register över fingeravtryck. Verket för redan i dag ett sådant register. Migrationsverkets register över fingerav- tryck utgör tillsammans med Polismyndighetens fingeravtrycks- register det nationella fingeravtrycksregistret. Migrationsverkets register över fingeravtryck innehåller fingeravtryck som samlats in av Migrationsverket i utlänningsärenden, se närmare om detta i av- snitt 7.10.1.

Fingeravtryck som Migrationsverket tar med stöd av 9 kap. 8 § utlänningslagen (2005:716, UtlL) kontrolleras i dag mot både Eurodac och det nationella fingeravtrycksregistret. I det nationella fingerav- trycksregistret görs kontroller mot både Migrationsverkets och Polismyndighetens fingeravtrycksregister. Kontroller görs dock även mot informationssystemet för viseringar (VIS), se avsnitten 4.3.3 och 7.4. De kontrollerna saknar dock betydelse för utredningens överväganden i detta kapitel och berörs därför inte ytterligare här.

Syftet med kontrollerna är dels att fastställa ansvarig medlems- stat enligt EU-förordningar, exempelvis Dublinförordningen ((EU) nr 604/2013), dels att fastställa en utlännings identitet. Fastställan- de av en utlännings identitet är av betydelse för Migrationsverkets handläggning av flera olika slags ärenden, särskilt ärenden som rör prövning av asylskäl.

393

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

Kontrollerna och rutinerna kring dessa har närmare redovisats i avsnitt 7.10.1.

När det gäller författningsstödet för kontroller av fingeravtryck som Migrationsverket tagit mot Polismyndighetens fingeravtrycks- register (A-filen) ansåg dåvarande Rikspolisstyrelsen och Migrations- verket senast hösten 2014 att stöd för detta torde finnas i polis- datalagen (2010:361, PDL). Myndigheterna efterfrågade emellertid samtidigt en tydligare reglering i detta avseende. Den dåvarande Rikspolisstyrelsen inkom därför med en framställan till Justitie- departementet i oktober 2014, dnr A377.954/2014, med förslag att polisdatalagen skulle kompletteras med bestämmelser som uttryck- ligen ger Migrationsverket rätt att ta del av Polismyndighetens fingeravtrycksregister för kontroller.

Utredningen har fått i uppdrag att överväga denna fråga. Nedan kommer därför utredningen att inledningsvis översiktligt redogöra för den rättsliga regleringen och Polismyndighetens och Migrations- verkets uppfattning om behovet av en kompletterande bestämmelse. Härefter kommer utredningen att behandla nyttan av att Migrations- verket får del av Polismyndighetens fingeravtrycksregister, alternativ till sådan behandling och vissa integritetsaspekter. Avslutningsvis behandlar utredningen även frågan om behov finns av någon för- fattningsreglering.

10.2Allmänt om Migrationsverkets kontroller av fingeravtryck

10.2.1Den rättsliga regleringen

Migrationsverkets kontroller av fingeravtryck

Förutsättningar för fingeravtryckskontroller m.m.

I 9 kap. UtlL finns bestämmelser om kontroller av personer enligt kodexen om Schengengränserna. Kodexen om Schengengränserna har sin bakgrund i Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer. Genom kodexen har införts ett gemensamt regelverk för passage av yttre gränser, men kodexen ska också säkerställa att det inte före- kommer någon gränskontroll av personer när de passerar inre grän-

394

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

ser i enlighet med artikel 26 i fördraget om Europeiska unionens funktionssätt.

Särskilda bestämmelser om i vilka situationer Migrationsverket och i vissa fall Polismyndigheten får ta fingeravtryck på utlänningar finns i 9 kap. 8−8 c §§ UtlL. I avsnitt 7.10 har utredningen redo- visat innehållet i de mest centrala bestämmelserna i sammanhanget, nämligen 9 kap. 8 § UtlL och 6 kap. 14 § utlänningsförordningen (2006:97).

Det finns även andra bestämmelser i 9 kap. UtlL som reglerar tagande av fingeravtryck, se 9 kap. 8 ac §§ UtlL. Dessa bestäm- melser avser fingeravtryck avseende dels uppehållstillståndskort i vissa fall, dels Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om vise- ringar för kortare vistelse (VIS-förordningen). Kontroll av sådana fingeravtryck sker dock inte mot det nationella fingeravtrycks- registret.

Som nämnts i avsnitt 7.10.1 är det endast Polismyndigheten som har direktåtkomst till Migrationsverkets fingeravtryck i B-filen. Migrationsverket har alltså ingen möjlighet att själv registrera, radera eller komma åt uppgifter i sitt fingeravtrycksregister utan Polis- myndighetens biträde.

Utredningen har i avsnitt 7.10.1 berört de sekretessfrågor som kan aktualiseras då uppgifter om fingeravtryck lämnas från Migra- tionsverket till Polismyndigheten för att där registreras i Migrations- verkets fingeravtrycksregister.

Polismyndighetens fingeravtrycksregister

Bestämmelser om fingeravtrycksregister

Bestämmelser om Polismyndighetens fingeravtrycksregister finns i 4 kap. PDL. De har endast översiktligt berörts av utredningen i av- snitt 7.10.1. Bestämmelserna redovisas därför något närmare här.

Av 4 kap. 11 § PDL följer att Polismyndigheten får föra bland annat fingeravtrycksregister i enlighet med bestämmelserna i 4 kap. 12–17 §§ PDL. Dessa register får föras även för att underlätta iden- tifiering av okända personer.

395

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

I 4 kap. 12 och 13 §§ PDL regleras vilka personuppgifter som får behandlas i registren. Av paragraferna följer inledningsvis att upp- gifter får behandlas om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rätte- gångsbalken (husrannsakan) och om en person som har lämnat finger- avtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Vidare framgår det att uppgifter om fingeravtryck även får behand- las om det behövs för att fullgöra internationella åtaganden eller om fingeravtrycken kommit fram i en utredning om brott men inte kan hänföras till en identifierbar person. Uppgifter får också be- handlas om en person som har dömts för brott i en annan medlems- stat inom Europeiska unionen i vissa fall. Registren får även i viss utsträckning innehålla fingeravtryck som registrerats på begäran Interpol, i regel avseende personer som är internationellt efterlysta.

Interpol är en mellanstatlig polisorganisation med 190 medlems- länder. Interpols uppgift är att underlätta informationsutbytet mellan medlemsländerna i arbetet mot gränsöverskridande brottslighet. Begränsningar för behandling av uppgifter finns för uppgifter som har lämnats av en person under femton år i vissa fall.

Fingeravtrycksregister får vidare innehålla uppgifter om bland annat fingeravtryck, identifieringsuppgifter, ärendenummer och brottskod, se 4 kap. 13 § PDL.

Ändamålen för vilka personuppgifter får behandlas i Polismyn- dighetens brottsbekämpande verksamhet regleras i 2 kap. 79 §§ PDL.

Av 2 kap. 7 § PDL, som reglerar de primära ändamålen för de brottsbekämpande myndigheterna, följer att personuppgifter får be- handlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förplik- telser som följer av internationella åtaganden. Av 2 kap. 8 § PDL, som reglerar de sekundära ändamålen, följer i vilka fall uppgifter får lämnas ut för att tillhandahålla information som behövs i andra myn- digheters verksamhet. Där anges bland annat att personuppgifter som behandlas enligt 2 kap. 7 § PDL även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myn- dighets verksamhet, om det antingen enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift (punkten 6 a), eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott (punkten 6 b).

396

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

Bestämmelser om gallring och att vissa myndigheter (Säkerhets- polisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket) får medges direktåtkomst till uppgifter i fingeravtrycks- register finns i 4 kap. 14–17 §§ PDL.

Personuppgiftsansvarig m.m.

Fingeravtrycken som Polismyndigheten samlar in med stöd av 4 kap. PDL sparas, som tidigare nämnts, i A-filen i det nationella finger- avtrycksregistret.

Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför, se 2 kap. 4 § PDL.

Sekretess m.m.

I 35 kap. 1 § OSL finns en särskild sekretessbestämmelse som gäller för personuppgifter som behandlas i fingeravtrycks- och signale- mentsregister enligt 4 kap. 11–17 §§ PDL. Av den bestämmelsen följer att sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften bland annat förekommer i register som förs av Polismyndigheten enligt 4 kap. PDL eller som annars behandlas med stöd av de bestämmelserna. Sekretessen gäller alltså med ett omvänt skaderekvisit. Men i likhet med vad som gäller för Migrationsverket kan även andra bestämmelser vara tillämp- liga, exempelvis 21 kap. 3 och 5 §§ OSL (sekretess för adress, telefon m.m. och till skydd för utlänningar i vissa fall).

I 2 kap. 18 § PDL finns en sekretessbrytande bestämmelse av innebörd att uppgifter ur fingeravtrycksregister kan lämnas ut till i paragrafen angivna myndigheter trots viss angiven sekretess. Migra- tionsverket anges inte i paragrafen. För att uppgifter ska få lämnas ut krävs även att uppgifterna behövs för den brottsbekämpande verksamheten hos den mottagande myndigheten. Någon bestäm- melse om uppgiftsskyldighet som bryter sekretessen på sätt som föreskrivs i 10 kap. 28 § OSL finns alltså inte heller för utlämnande av aktuella uppgifter.

397

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

10.2.2Polismyndighetens och Migrationsverkets uppfattning om behovet av en kompletterande reglering

Dåvarande Rikspolisstyrelsen gav, som nämnts inledningsvis, hösten 2014 i samråd med Migrationsverket in en framställan till Justitie- departementet om att det behövs en kompletterande bestämmelse som uttryckligen ger Migrationsverket rätt att ta del av uppgifter ur Polismyndighetens nationella fingeravtrycksregister (se avsnitt 10.1). Samma synpunkter har förts fram till utredningen av Polismyndig- heten och Migrationsverket. Bakgrunden till myndigheternas efter- frågan av en tydligare reglering är sammanfattningsvis följande.

Under lång tid har ca 90–95 procent av de som sökt uppehålls- tillstånd som flykting eller alternativt skyddsbehövande (dvs. asyl) inte kunnat lämna in identitetshandlingar vid ansökningstillfället. För att fastställa en utlännings identitet i dessa fall gör Migrations- verket fingeravtryckskontroller mot både Eurodac och det nationella fingeravtrycksregistret (A- och B-filen).

Migrationsverket utför självt kontrollerna mot Eurodac, medan kontrollerna mot det nationella fingeravtrycksregistret görs genom biträde från Polismyndigheten.

Under år 2013 gjordes 43 396 sökningar i det nationella finger- avtrycksregistret, vilket resulterade i 6 066 träffar.

Under år 2014 gjordes 69 785 sökningar i registret, vilket resul- terade i 7 337 träffar.

Varken Polismyndigheten eller Migrationsverket har någon upp- gift om hur många sökningar i enbart Polismyndighetens fingerav- trycksregister (dvs. A-filen) som verket har gjort eller som bidragit till att identiteter i visst ärende kunnat fastställas. Samtliga sök- ningar som Migrationsverket gjort nationellt har sökts mot både A- och B-filen, men uppgift saknas om hur fördelningen ser ut mellan de sökningar som gett träff antingen mot A-filen eller B-filen eller mot båda filerna. Enligt Migrationsverkets interna statistik för år 2014 har dock verkets fingeravtryckssökningar i både A- och B- filen resulterat i ca 1 000 träffar mot en annan identitet.

Migrationsverkets sökning mot B-filen, dvs. verkets eget register, visar om aktuell person förekommer hos Migrationsverket sedan tidigare. En träff kan antingen säkerställa att den sökande sedan tidi- gare är känd under aktuell identitet och alltså hjälpa till att klarlägga

398

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

identiteten samt säkerställa att det inte rör sig om identitetsstöld eller liknande där någon annan uppträder i en persons identitet.

I händelse att träff erhålls mot annan persons identitet måste orsaken till detta undersökas närmare. Sådana avvikelser kan bero på naturliga, eller legitima, omständigheter som att det tidigare ären- det skrivits av och att ett nytt dossiernummer använts eller att en sökande bytt exempelvis namn eller medborgarskap. Det kan även förekomma att en person söker ny asyl i annan identitet av andra orsaker till exempel för att försöka undkomma ett avvisningsbeslut eller överföring till annan medlemsstat i enlighet med Dublin- förordningen. Ett annat skäl kan vara att en person söker asyl på nytt i annan identitet för att öka chanserna för ett bifall till ansökan.

Migrationsverkets sökning mot A-filen visar om aktuell person är känd av polisen sedan tidigare som (i Sverige) dömd eller miss- tänkt gärningsman. En sådan sökning kan även i vissa fall visa om en person är internationellt efterlyst av Interpol. Liksom för sök- ningen mot B-filen är sökningen mot A-filen en viktig del i arbetet att klarlägga identiteten genom att det finns uppgifter om namn, nationalitet m.m. och kan på samma sätt som en sökning i B-filen bidra till att verifiera tidigare känd identitet eller, om annan iden- titet påträffas, aktualisera ytterligare utredning. Informationen kan också vara av vikt inför utredningssamtal på så sätt att man kan vidta eventuella åtgärder exempelvis i fall en sökande varit dömd för vålds- brott.

Som tidigare nämnts kontrollerar Migrationsverket även finger- avtryck mot Eurodacsystemet. Verket anser att systemet ger god hjälp med att fastställa ansvarig medlemsstat (exempelvis enligt Dublin- förordningen), även om systemet ställer höga krav på fingeravtryckens kvalitet. Uppskattningsvis tio procent av kontrollerna mot Eurodac misslyckas på grund av bristande kvalitet.

Migrationsverket anser att det finns flera skäl till varför verket behöver få tillgång till Polismyndighetens fingeravtrycksregister. En anledning är att Polismyndighetens fingeravtrycksregister ger mycket bättre träffsäkerhet än till exempel Eurodac. Det beror bland annat på att kvaliteten på fingeravtrycken måste vara mycket bra för att det över huvud taget ska bli träff i Eurodac.

Tillgången till Polismyndighetens fingeravtrycksregister har stor betydelse för att Migrationsverket snabbt ska kunna fastställa bland annat en persons identitet, om personen har varit i Sverige tidigare

399

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

och i så fall i vilket ärende och om denne då använt sig av annan identitet. Att dessa uppgifter snabbt kan fastställas har betydelse även för Polismyndigheten. En annan anledning är att Migrations- verket genom kontroll i Polismyndighetens register kan få informa- tion som är av intresse för brottsbekämpningen. Det kan exempel- vis röra sig om information rörande identiteter som kommit fram i samband med brott och misstänkt överträdelse av återreseförbud.

En annan fördel är att Migrationsverket vid träff i A-filen kan få kännedom om en sökande har våldsamma tendenser, exempelvis om sökanden blivit dömd för olika former av misshandel, vilket kan påverka verkets säkerhetsåtgärder vid kontakt med den sökande. I vissa fall kan även en träff mot fingeravtryck insända från Interpol hjälpa den sökande att styrka asylskäl om exempelvis efterlysningen är utfärdat av en stat där dödsstraff utmäts.

Både Polismyndigheten och Migrationsverket anser att 2 kap. 8 § första stycket 6 b PDL (se avsnitt 10.2.1) ger Migrationsverket rätt att ta del av uppgifter ur Polismyndighetens fingeravtrycks- register för angivna ändamål och hänvisar vid denna bedömning bland annat till polisdatalagens förarbeten om myndigheters sam- verkan mot brott, se prop. 2009/10:85 s. 118 och 322 f. Myndig- heterna framhåller dock samtidigt att de anser att den nuvarande reglering är otydlig, varför de efterfrågar en uttrycklig reglering av utlämnande av uppgifter m.m.

10.3Utredningens överväganden

Utredningens förslag: Migrationsverket ska kunna kontrollera fingeravtryck mot Polismyndighetens fingeravtrycksregister. För att detta ska vara möjligt föreslås dels bestämmelser som tillåter sådan personuppgiftsbehandling, dels sekretessbrytande bestäm- melser för att uppgifter ska kunna lämnas mellan Migrations- verket och Polismyndigheten.

400

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

10.3.1Inledning

Av framställan som dåvarande Rikspolisstyrelsen och Migrations- verket gav in till Justitiedepartementet i oktober 2014 framgår det att Migrationsverket redan i dag kontrollerar fingeravtryck som verket tagit på utlänningar mot Polismyndighetens fingeravtrycksregister, men att myndigheterna känner viss tveksamhet om författnings- stöd finns för denna personuppgiftsbehandling.

Den första frågan som utredningen har att ta ställning till är där- för om Migrationsverket över huvud taget bör tillåtas att kontrollera tagna fingeravtryck mot Polismyndighetens fingeravtrycksregister. De fingeravtryck som avses här är sådana som har tagits enligt 9 kap. 8 § UtlL.

10.3.2Migrationsverkets behov av att kontrollera fingeravtryck med hjälp av Polismyndighetens fingeravtrycksregister m.m.

Migrationsverket har enligt 9 kap. UtlL till uppgift att utföra olika kontroller av personer enligt kodexen om Schengengränserna, se av- snitt 10.2.1. Bland annat får verket (och Polismyndigheten) ta finger- avtryck på en utlänning i vissa fall, se 9 kap. 8 § UtlL.

Fingeravtrycken kontrolleras, som ovan nämnts, bland annat mot det nationella fingeravtrycksregistret (dvs. både mot A- och B- filen) och mot Eurodac. Som tidigare angetts är syftet med dessa kontroller dels att fastställa ansvarig medlemsstat enligt EU-för- ordningar, dels att fastställa den sökandes identitet.

Vad gäller det förstnämnda syftet synes detta kunna tillgodoses genom kontroller mot Eurodac, medan frågan om hur sökandens identitet ska kunna fastställas är mer komplex. Fastställande av en sökandes identitet är av betydelse för Migrationsverkets handlägg- ning av ärenden både vad gäller prövningen av asylskäl och för att underlätta vid eventuell återresa eller svenskt medborgarskap.

Migrationsverket låter regelbundet genomföra ett mycket stort antal sökningar i det nationella fingeravtrycksregistret (69 785 sök- ningar år 2014), alltså det register som innehåller både A-filen och B-filen. Cirka en tiondel av dessa (7 337 stycken) resulterade år 2014 i träffar mot såväl den sökta personen som andra personer som förekommer i A- eller B-filen. Någon uppgift om hur stor andel av

401

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

sökningarna och träffarna som är hänförliga enbart till Polismyndig- hetens fingeravtrycksregister, dvs. A-filen, finns inte att tillgå.

Enligt utredningen råder det ingen tvekan om att det avsevärt underlättar Migrationsverkets verksamhet om verket kan kontrollera tagna fingeravtryck mot Polismyndighetens fingeravtrycksregister. Migrationsverket har pekat på fördelarna med sådana kontroller. Information som kommer fram vid sådana kontroller av Migrations- verket kan också vara till nytta för Polismyndighetens brotts- bekämpning. Migrationsverket kan exempelvis vid sina kontroller uppmärksamma att någon har överträtt ett återreseförbud. Utred- ningen återkommer avslutningsvis i detta kapitel till fråga om Migra- tionsverkets möjligheter att i dessa situationer lämna ut uppgifter till Polismyndigheten. Kontrollen mot Polismyndighetens finger- avtrycksregister kan sannolikt i vissa fall också gynna sökanden för att styrka ett uppgivet asylskäl.

Utredningen anser därför sammanfattningsvis att Migrations- verkets har ett berättigat behov av att kunna kontrollera finger- avtryck som verket (eller Polismyndigheten) tagit enligt 9 kap. 8 § UtlL med hjälp av Polismyndighetens fingeravtrycksregister.

10.3.3Alternativ till kontroller mot Polismyndighetens fingeravtrycksregister

En annan fråga som är av betydelse vid bedömningen av om Migra- tionsverket bör ha rätt att utföra kontroller mot Polismyndighetens fingeravtrycksregister är om det finns något rimligt alternativ till kon- trollerna. Frågan är då närmast om det räcker att Migrationsverket kontrollerar fingeravtryck mot sitt eget fingeravtrycksregister och mot Eurodac.

Som framgår ovan innehåller A-filen inte samma fingeravtryck som Eurodac eller B-filen, eftersom insamlingen av fingeravtrycken till de olika registren delvis sker för olika ändamål. Vad gäller Migra- tionsverkets eget fingeravtrycksregister (B-filen) är fingeravtrycken begränsade till fingeravtryck som tagits med stöd av 9 kap. 8 § UtlL. Eurodac innehåller bland annat fingeravtryck från personer som ansökt om internationellt skydd i något av EU:s medlemsländer och från tredjelandsmedborgare eller statslösa personer som gripits i samband med att de olagligen passerat en yttregräns från ett tredje- land eller befunnits uppehålla sig olagligen i en av EU:s medlems-

402

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

stater. I princip ska alltså B-filen och den svenska delen av Eurodac innehålla samma fingeravtryck. Att Migrationsverket kan kontrollera fingeravtrycken mot B-filen och Eurodac är således inte ett tillräck- ligt alternativ till kontroller mot Polismyndighetens fingeravtrycks- register (A-filen). Härtill kommer att träffsäkerheten i Eurodac, som också tidigare nämnts, är sämre än i AFIS. Vidare innehåller Eurodac inte information om de registrerades identitet, varför data- basen inte heller kan användas för att fastställa identiteter. De olika registren kompletterar alltså varandra, men kan inte ersätta varandra på grund av deras olika innehåll.

Tekniskt sett kan Migrationsverket inte ta del av uppgifterna från A-filen på annat sätt än genom att jämföra fingeravtryck. An- ledningen till detta är att andra söksätt förutsätter kännedom om vilken identitet en person har registrerad i A-filen. Den kunskapen har Migrationsverket normalt inte.

Utredningens slutsats är att det inte finns något effektivt alter- nativ till att tillåta Migrationsverket att kontrollera fingeravtryck mot uppgifter från Polismyndighetens fingeravtrycksregister.

10.3.4Integritetsaspekter m.m.

Vid bedömningen om Migrationsverket bör få ta del av uppgifter från Polismyndighetens fingeravtrycksregister bör även övervägas vilka integritetsrisker och andra aspekter som en sådan personupp- giftsbehandling kan medföra.

Inledningsvis kan konstateras att uppgifterna i Polismyndig- hetens fingeravtrycksregister har samlats in av en annan myndighet (dvs. Polismyndigheten) för andra ändamål än de som Migrations- verket avser att behandla dem för. Fingeravtrycken i Polismyndig- hetens register har, som tidigare nämnts, bland annat samlats in för brottsbekämpande ändamål från personer som är misstänkta eller dömda för brott i vissa fall eller i utredningar om brott där finger- avtryck inte kan hänföras till en identifierbar person, se vidare härom avsnitt 10.2.1. Ändamålet med Migrationsverkets behandling av uppgifterna är däremot främst att försöka fastställa identiteten på en utlänning vid olika kontroller av utlänningar vid deras inresa i och utresa från Sverige och under deras vistelse i Sverige. Att Migra- tionsverket får ta del av personuppgifter som samlats in av Polis-

403

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

myndigheten kan därför i sig innebära ett intrång i den personliga integriteten.

En annan aspekt är att redan den omständigheten att en enskild är registrerad i Polismyndighetens fingeravtrycksregister och att Migrationsverket får kännedom om detta kan vara känslig för den enskilde.

Integritetsriskerna måste dock bedömas mot bakgrund av att kontroller mot Polismyndighetens fingeravtrycksregister görs redan i dag. Även om det är relativt stora mängder uppgifter som behand- las har såvitt utredningen kunnat bedöma inget framkommit som tyder på att förfarandet innebär några egentliga risker för obehöriga intrång i de enskildas personliga integritet. De grundläggande kraven på behandling av personuppgifter måste vidare givetvis iakttas, vilket bland annat innebär att krav ställs på att behandling ska vara laglig. Även vid denna personuppgiftsbehandling ska tillgången till uppgifterna vara begränsad till enbart de anställda hos respektive myndighet som behöver dem för att handlägga enskilda ärenden.

En särskild integritetsaspekt är vad som gäller i sekretesshänse- ende för uppgifter som lämnas till Polismyndigheten för kontroll mot myndighetens fingeravtrycksregister. För Polismyndigheten finns tillämpliga sekretessbestämmelser i första hand i 35 kap. 1 § OSL, som föreskriver sekretess för uppgift om en enskilds per- sonliga och ekonomiska förhållanden som förekommer i register som förs av Polismyndigheten enligt 4 kap. PDL eller som annars behandlas med stöd av de bestämmelserna, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Hos Migrationsverket är i första hand sekretessbestämmelser enligt 37 kap. 1 § OSL tillämp- liga. Även enligt sistnämnda bestämmelser gäller en motsvarande presumtion för sekretess. Härutöver gäller hos båda myndigheterna sekretessbestämmelserna till skydd för bland annat adressuppgifter och uppgift om kopplingen mellan en enskilds verkliga och fingera- de identitet och för särskilt känsliga uppgifter om utlänningar, se 21 kap. 3 och 5 §§ OSL. Sekretesskyddet för här aktuella uppgifter hos de båda myndigheterna är således i princip lika starkt.

404

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

10.3.5Sammanfattande slutsats

Som framgått gör Migrationsverket redan i dag kontroller mot Polis- myndighetens fingeravtrycksregister vid handläggningen av ärenden enligt 9 kap. 8 § UtlL. Någon statistik på omfattningen av sök- ningar i enbart A-filen eller resultatet av sådana sökningar finns inte att tillgå. Utredningen anser ändå att det klarlagts att Migrations- verket bör kunna kontrollera fingeravtryck mot Polismyndighetens fingeravtrycksregister. Sådana kontroller leder till en tillförlitligare asylhantering hos verket. Behandlingen av uppgifter från Polismyn- dighetens fingeravtrycksregister är alltså enligt utredningen nödvän- dig för en säkrare asylhandläggning. Något rimligt alternativ till sådana kontroller finns inte.

De integritetsrisker som behandlingen kan innebära för de en- skilda personerna bör enligt utredningens bedömning även framöver kunna hanteras på ett tillfredsställande sätt av Migrationsverket. Den tillgång Migrationsverket får till uppgifter i Polismyndighetens fingeravtrycksregister och de integritetsrisker som följer därmed får även enligt utredningen anses stå i rimlig proportion till nyttan av kontrollerna. Sammanfattningsvis bör Migrationsverket alltså tillåtas att göra kontroller i Polismyndighetens fingeravtrycksregister vid handläggningen av ärenden i 9 kap. 8 § UtlL. Intresset av att fastställa identiteter på aktuella personer väger enligt utredningen tyngre än de aspekter som talar emot.

10.3.6Behov av författningsreglering m.m.

Migrationsverket överför alltså personuppgifter rörande tagna finger- avtryck enligt 9 kap. 8 § UtlL till Polismyndigheten dels för regi- strering i verkets egna fingeravtrycksregister (B-filen), dels för kon- troll mot både A- och B-filen.

Som redovisats i avsnitt 7.10 anser utredningen att överföringen av tagna fingeravtryck till Polismyndigheten för registrering i verkets egna fingeravtrycksregister blir tillåten genom att Migrationsverket får föra ett fingeravtrycksregister och att verket har uppdragit åt Polismyndigheten att vara personuppgiftsbiträde åt verket. Utred- ningen har också föreslagit att en sekretessbrytande bestämmelse som tar sikte på detta uppgiftslämnande införs.

405

Migrationsverkets rätt att ta del av uppgifter…

SOU 2015:73

När det gäller behovet av författningsreglering för Migrations- verkets kontroller av fingeravtryck mot Polismyndighetens finger- avtrycksregister gör utredningen följande bedömning.

Migrationsverkets utlämnande av fingeravtryck m.m. till Polis- myndigheten för kontroll av tagna fingeravtryck mot A-filen kräver ett författningsstöd. Det stödet bör tas in i den nya utlänningsdata- lagen i anslutning till reglerna om Migrationsverkets fingeravtrycks- register. Då Polismyndigheten kontrollerar inkomna fingeravtryck mot fingeravtryck som Migrationsverket tidigare har tagit har Polis- myndigheten tillgång till Migrationsverkets fingeravtrycksregister genom direktåtkomst. Den möjligheten till direktåtkomst måste också regleras. Även den regleringen bör tas in i den kommande utlänningsdatalagen. Till sist måste Polismyndigheten kunna till- handahålla information rörande sina kontroller till Migrationsverket. Den möjligheten bör regleras i polisdatalagen, närmare bestämt 2 kap. 8 § PDL.

Som har sagts ovan torde uppgifter om fingeravtryck normalt omfattas av sekretess. Därför måste också övervägas vilken reglering som kan behövas för att här aktuella uppgifter ska kunna lämnas mellan myndigheterna. Det handlar om två flöden av personupp- gifter. Det ena avser uppgifter om fingeravtryck som Migrations- verket skickar till Polismyndigheten. Det andra avser resultatet av Polismyndighetens jämförelser som skickas till Migrationsverket. Utredningen har som sagts i avsnitt 7.10 föreslagit att det införs en sekretessbrytande regel om skyldighet för Migrationsverket att lämna fingeravtrycksuppgifter till Polismyndigheten då dessa ska registre- ras i verkets fingeravtrycksregister. Det är en sekretessbrytande regel som utformats i enlighet med 10 kap. 28 § OSL. Utredningen förordar att motsvarande regler om uppgiftsskyldighet införs för de här aktuella flödena. Uppgiftslämnandet bör således inte grundas på generalklausulen i 10 kap. 27 § OSL eller reglerna om nödvändigt utlämnande i 10 kap. 2 § OSL. När det gäller utlämnandet av upp- gifter från Migrationsverket bör regleringen tas in i utlänningslagen. Polismyndighetens utlämnade av uppgifter till Migrationsverket bör regleras i polisdatalagen.

Avslutningsvis vill utredningen ta upp frågan i vilken utsträck- ning som Migrationsverket kan lämna ut uppgifter om resultatet av sina kontroller till Polismyndigheten. Sådan information skulle, som berörts ovan, kunna vara av intresse för Polismyndigheten i myn-

406

SOU 2015:73

Migrationsverkets rätt att ta del av uppgifter…

dighetens brottsbekämpande verksamhet. Migrationsverkets kon- troller kan till exempel tyda på att en utlänning har överträtt ett återreseförbud. Frågan huruvida uppgifterna kan lämnas till Polis- myndigheten ska till en början prövas mot de ändmålsbestämmelser som kommer att finnas i den nya utlänningsdatalagen. Eftersom uppgifterna ofta torde omfattas av sekretess hos Migrationsverket, måste också övervägas om uppgifterna kan lämnas till Polismyndig- heten trots sekretess. Utredningen föreslår en regel i den nya utlän- ningsdatalagen som innebär att personuppgifter som behandlats för ett primärt ändamål även får behandlas för att tillhandahålla in- formation till en annan myndighet, om utlämnandet sker med stöd av lag eller förordning, se avsnitt 7.9.3. En bestämmelse som denna regel syftar på är generalklausulen i 10 kap. 27 § OSL. Det utlämnade som det här är fråga om bör trots sekretessen enligt utredningen normalt kunna ske med stöd av generalklausulen. Den behandling som utlämnandet innebär är då fullt möjlig även enligt den nya utlänningsdatalagen. Några särskilda föreskrifter om utlämnande som tar sikte på utlämnande av uppgifter av här aktuellt slag från Migrationsverket till Polismyndigheten behövs därför inte enligt utredningen.

407

11Skadeståndsskyldighet efter kontroller av Schengenviseringar

11.1Inledning

Av Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (kodexen om Schengengränserna) framgår att en utlänning som har en Schengen- visering är skyldig att låta gränskontrolltjänstemän ta hans eller hennes fingeravtryck vid in- eller utresa för kontroll av identiteten och av viseringens äkthet.

I en departementspromemoria som behandlar kodexen om Schengengränserna (EU:s gränskodex, Ds 2011:28) föreslogs bland annat att det i utlänningslagen (2005:716, UtlL) skulle införas en be- stämmelse om skyldighet att lämna fingeravtryck i vissa situationer som följer av kodexen. I bestämmelsen föreslogs vidare att de finger- avtryck som tagits för kontrollen skulle förstöras så fort kontrollen hade slutförts. Detsamma gällde de biometriska data som tagits fram i samband med kontrollen.

Promemorian har remissbehandlats. Datainspektionen framhöll i sitt remissvar över promemorian att det inte fanns någon särskild be- stämmelse om skadeståndsskyldighet för det fall uppgifter som tagits fram då fingeravtryck togs skulle behandlas i strid med förstörings- skyldigheten. Datainspektionen ansåg även att det närmare kunde be- höva övervägas om någon av de befintliga skadeståndsbestämmelser- na i personuppgiftslagen (1998:204, PUL) eller annan lagstiftning blir tillämplig eller om det finns behov av en särskild sådan bestämmelse.

En bestämmelse om skyldighet att lämna fingeravtryck finns nu i 9 kap. 8 c § UtlL (SFS 2015:91). Bestämmelsen innebär att en utlän- ning är skyldig att låta en polisman, en särskild förordnad passkon- trollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av

409

Skadeståndsskyldighet efter kontroller av Schengenviseringar

SOU 2015:73

identiteten och av Schengenviseringens äkthet genom sökning i in- formationssystemet för visering (VIS). Motsvarande skyldighet gäller även för en utlänning som vid en in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras mot VIS i identifierings- syfte. När en kontroll har genomförts ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits i samband med kontrollen. Det får således inte ske någon lagring av kontrollunderlaget.

Utredningen har fått i uppdrag att överväga behovet av särskilda bestämmelser om skadestånd om fingeravtryck och de biometriska data som tagits fram vid in- eller utresa för kontroll av identitet och av en Schengenviserings äkthet inte omedelbart förstörs. Om behov finns av sådana bestämmelser, ska förslag till bestämmelser lämnas.

11.2Allmänt om kontroller av Schengenviseringar m.m.

11.2.1Fingeravtryckskontroller enligt kodexen

om Schengengränserna och utlänningslagen

Kodexen om Schengengränserna antogs den 15 mars 2006. Den har därefter ändrats. Bestämmelserna i kodexen om Schengengränserna och dess bilagor består till stora delar av omarbetade bestämmelser från den gemensamma handboken som kommissionen tog fram med anledning av Schengensamarbetet och från delar av Schengen- konventionen. Kodexen om Schengengränserna upphäver även delar av Schengenkonventionen. Genom kodexen om Schengengränserna har införts ett gemensamt regelverk för passage av yttre gränser. Kodexen ska också säkerställa att det inte förekommer någon gräns- kontroll av personer när de passerar inre gränser i enlighet med arti- kel 26 i fördraget om Europeiska unionens funktionssätt. Kodexen om Schengengränserna, som är direkt tillämplig i Sverige, innebär att det i Sverige gällande regelverket för bland annat personkontroll i samband med gränspassage innefattar såväl svenska nationella be- stämmelser som bestämmelser på EU-nivå.

Förslagen i departementspromemorian EU:s gränskodex behand- lades i regeringens proposition EU:s gränskodex (se prop. 2014/15:32). I propositionen föreslog regeringen vissa ändringar i utlänningslagen som motiverades av kodexen om Schengengränserna. Bland annat föreslogs en ny bestämmelse i 9 kap. 8 c § UtlL om en skyldighet att

410

SOU 2015:73

Skadeståndsskyldighet efter kontroller av Schengenviseringar

lämna fingeravtryck i situationer som följer av kodexen om Schengen- gränserna. Bakgrunden till bestämmelsen är enligt regeringen den ändrade lydelsen av artikel 7.3 i kodexen om Schengengränserna. Ändringen innebär krav på noggrannare kontroller. Kodexen om Schengengränserna tar bara sikte på Schengenviseringar. Kodexen gäller som tidigare nämnts visserligen som lag i Sverige, men rege- ringen ansåg att artikel 7.3 inte utgjorde tillräckligt stöd för att ta fingeravtryck. Kodexen om Schengengränserna borde därför komplet- teras med nationella regler om tagande av fingeravtryck. Varken kodexen om Schengengränserna eller VIS-förordningen, som reglerar informationssystemet för viseringar, innehåller några föreskrifter om hur fingeravtrycken ska hanteras efter det att kontrollen har genomförts. Fingeravtryck som tagits för kontroll borde enligt rege- ringen inte få användas för andra ändamål. En regel om omedelbar förstöring föreslogs därför (se prop. 2014/15:32 s. 27).

Regleringen om tagande av fingeravtryck finns som sagt numera i 9 kap. 8 c § UtlL. Av 9 kap. 1 § UtlL följer att Polismyndigheten ansvarar för kontrollen enligt kodexen om Schengengränserna samt att Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyn- digheten vid kontrollen. Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid kontrollen. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken.

Fingeravtryckskontrollerna sker dels vid yttre gräns där verifie- ring sker att den person som lämnar fingeravtrycken är den som sökt aktuell visering, dels vid en fördjupad inresekontroll eller inre utlänningskontroll där identifiering sker av den kontrollerade per- sonens fingeravtryck.

I praktiken är det vanligtvis Polismyndigheten som ensam utför fingeravtryckskontrollerna, dock med undantag för de kontroller (endast verifiering) som sker till sjöss. Dessa utförs av Kustbevak- ningen. Det är alltså sällan som Polismyndigheten i praktiken tar hjälp av Kustbevakningen i andra fall än vad nu nämnts eller av Tullverket och Migrationsverket på sätt som 9 kap. 1 § UtlL möjliggör.

Vid fingeravtryckskontrollerna använder Polismyndigheten särskil- da fingeravtrycksläsare som automatiskt tar fingeravtryck, kontrol- lerar dem och sedan raderar dem. De fingeravtryck och biometriska data som tas fram i samband med kontrollerna förstörs alltså automa- tiskt efter genomförda kontroller. Kustbevakningen avser att köpa

411

Skadeståndsskyldighet efter kontroller av Schengenviseringar

SOU 2015:73

in motsvarande fingeravtrycksläsare som Polismyndigheten har köpt, medan Migrationsverket och Tullverket i dag inte har några egna fingeravtrycksläsare för detta ändamål. Migrationsverket har dock egna fingeravtrycksläsare som skulle kunna byggas om för detta ändamål om behov uppkommer. Myndigheterna använder alltså inte någon gemensam utrustning för fingeravtryckskontroller enligt 9 kap. 8 § UtlL.

När det gäller frågan om skadestånd för det fall uppgifter skulle behandlas i strid med den föreslagna bestämmelsen om förstörings- skyldighet uttalades i propositionen att det är tveksamt om person- uppgiftslagen är tillämplig, eftersom skadeståndsbestämmelsen i den lagen är formulerad på ett sådant sätt att den endast gäller vid behand- ling av personuppgifter i strid med bestämmelserna i personupp- giftslagen (se prop. 2014/15:32 s. 27). Vidare uttalades att det då i stället återstår att falla tillbaka på de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207).

11.2.2Skadeståndsskyldighet vid olaglig personuppgiftsbehandling

Om det förekommit en olaglig behandling av personuppgifter be- träffande en enskild och denna behandling kränkt honom eller henne, kan ersättningsskyldighet uppkomma. I skadeståndslagen finns allmänna bestämmelser om skadestånd som kan bli tillämpliga i sådana fall, men det finns även specialbestämmelser om skadestånd i 48 § PUL och i olika registerförfattningar, se exempelvis 2 kap. 2 § polisdatalagen (2010:361, PDL), 15 § förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen) och 2 kap. 2 § kustbevakningsdatalagen (2012:145). Sistnämnda bestäm- melser hänvisar dock till skadeståndsbestämmelsen i personuppgifts- lagen. Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock jämkas, om det är skäligt och om den personuppgiftsansvarige visar att felet inte be- rodde på honom eller henne.

Specialbestämmelserna om skadestånd har företräde framför bestämmelserna i skadeståndslagen. I den utsträckning en ersätt-

412

SOU 2015:73

Skadeståndsskyldighet efter kontroller av Schengenviseringar

ningsfråga inte berörs i specialbestämmelserna tillämpas de allmänna reglerna i skadeståndslagen (se prop. 1997/98:44 s. 143 f.). Exempel på sådana frågor kan vara frågor om hur ersättningen för en per- sonskada eller sakskada ska beräknas (se 5 kap. skadeståndslagen) och om ansvaret när det finns flera skadeståndsskyldiga (se 6 kap. 3 § skadeståndslagen).

I den utsträckning en olaglig behandling ingår som ett led i ett sådant brott som avses i 2 kap. 3 § skadeståndslagen, kan ideellt skade- stånd för lidande respektive ersättning för kränkning utgå enligt både skadeståndslagen och specialbestämmelser om skadestånd. En- bart den omständigheten att flera bestämmelser kan vara tillämpliga innebär dock inte att kränkningen ersätts med ett högre belopp.

En olaglig personuppgiftsbehandling kan i vissa fall utgöra en kränkning av bestämmelser i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europa- konventionen). Staten kan även då ha en skyldighet att utge skade- stånd på grund av överträdelsen av konventionen.

Vid personuppgiftsbehandling är det alltid den personuppgifts- ansvarige som är ytterst ansvarig för behandlingen gentemot den registrerade. Det är även den personuppgiftsansvarige som kan bli skadeståndsskyldig vid en olaglig behandling av personuppgifter. Normalt är den personuppgiftsansvarige den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad upp- gifterna ska användas till (se SOU 1997:39 s. 333 f.). I fråga om myndigheter regleras ofta vem som är personuppgiftsansvarig i olika registerförfattningar, se exempelvis 2 kap. 4 § PDL, 2 § utlännings- dataförordningen och 2 kap. 4 § kustbevakningsdatalagen.

11.3Utredningens överväganden

Utredningens förslag: Bestämmelserna i 9 kap. 8 c § UtlL ska kompletteras med en regel om att det är den myndighet som har utfört aktuella fingeravtryckskontroller som är ansvarig för att fingeravtrycken och biometriska data förstörs på föreskrivet sätt och att skadestånd kan utgå om förstöringsskyldigheten försum- mas.

413

Skadeståndsskyldighet efter kontroller av Schengenviseringar

SOU 2015:73

11.3.1Inledning

Ny lagstiftning har alltså införts som innebär att en utlänning är skyldig att låta vissa angivna myndighetspersoner ta hans eller hennes fingeravtryck för kontroll av identiteten och av en Schengenviserings äkthet (9 kap. 8 c § UtlL). Av regleringen följer också att de finger- avtryck och de biometriska data som tagits fram vid kontrollen omedelbart ska förstöras när en kontroll har genomförts. Någon lagring av kontrollunderlaget får alltså inte ske.

De fingeravtrycksläsare som används i dag för att ta aktuella fingeravtryck är konstruerade på så sätt att de fingeravtryck och bio- metriska data som tagits fram i samband med kontrollen automa- tiskt förstörs efter genomförd kontroll. Den använda tekniken inne- bär alltså att fingeravtryck och biometriska data i praktiken inte ska kunna lagras.

Det kan dock enligt utredningen inte helt uteslutas att tekniken någon gång kan fallera eller att någon fingeravtrycksläsare används som inte är utrustad med en automatisk förstöringsfunktion. Upp- gifterna kan då finnas kvar efter kontroll. I sådana fall bör det – i likhet med vad som vanligtvis gäller i andra fall när olaglig behand- ling av den registrerades uppgifter förekommit – finnas en rätt för den enskilde till skadestånd för den skada och kränkning som upp- står.

Denna rätt till skadestånd kommer kanske sällan att aktualiseras, eftersom den som lämnat fingeravtryck ofta inte torde känna till om fingeravtrycken och biometriska data finns kvar efter kontrollen. En rätt till skadestånd bör enligt utredningen ändå finnas.

Frågan är då vilka möjligheter en enskild har till skadestånd, om inte fingeravtryck och de biometriska data som tagits fram i sam- band med kontrollen förstörs.

11.3.2Behovet av särskilda bestämmelser om skadestånd m.m.

Regleringen i 9 kap. 8 c § UtlL innebär att Polismyndigheten, Tull- verket, Kustbevakningen och Migrationsverket åläggs en viss person- uppgiftsbehandling, bland annat genom skyldigheten att omedelbart förstöra tagna fingeravtryck och biometriska data som tagits fram i samband med fingeravtryckskontroller.

414

SOU 2015:73

Skadeståndsskyldighet efter kontroller av Schengenviseringar

Om fingeravtrycken eller de biometriska data inte förstörs som föreskrivs, anser utredningen att en utgångspunkt bör vara att den enskilde ska ha rätt till skäligt skadestånd. Denna rätt till skade- stånd bör motsvara den rätt som en registrerad har vid brott mot personuppgiftslagen enligt 48 § PUL. Någon rätt till skadestånd för ideell skada enligt skadeståndslagen torde nämligen normalt inte före- ligga, eftersom en sådan rätt förutsätter att ett integritetskränkande brott begåtts.

Utredningen anser således att det är rimligt att en enskild bör ha samma möjligheter att få skadestånd om någon förstöring inte sker enligt 9 kap. 8 c § UtlL som när någon enskild utsätts för en olaglig behandling enligt personuppgiftslagen. Av intresse är därför om de bestämmelser om personuppgiftsbehandling för berörda myndig- heter som finns i dag ger enskilda denna möjlighet till skadestånd om förstöringsskyldigheten enligt 9 kap. 8 c § UtlL inte iakttas.

De myndigheter som medverkar i kontrollerna enligt 9 kap. 8 c § UtlL är alltså Polismyndigheten, Tullverket, Kustbevakningen och Migrationsverket. Regler om personuppgiftsbehandling för dessa myndigheter finns i olika författningar. Den verksamhet som myn- digheterna är ålagda att utföra enligt 9 kap. 8 c § UtlL avser utlän- ningskontroll utan samband med brottsbekämpning. Det innebär att varken polisdatalagen eller lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet är tillämpliga på den personuppgiftsbehandling som föreskrivs i 9 kap. 8 c § UtlL. Inte heller lär nuvarande utlänningsdataförordning vara tillämplig, eftersom personuppgiftsbehandlingen inte utförs i något verksamhetsregister (se 3 § utlänningsdataförordningen). Andra för- fattningar som reglerar här aktuella myndigheters personuppgifts- behandling torde dock i och för sig kunna vara tillämpliga på per- sonuppgiftsbehandlingen. Ett exempel är kustbevakningsdatalagen som reglerar personuppgiftsbehandling hos Kustbevakningen. I denna lag finns en hänvisning till 48 § PUL. Hänvisningen till 48 § PUL innebär dock att den personuppgiftsansvarige ska ersätta den registrerade bara för sådan skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med kust- bevakningsdatalagen och föreskrifter som har meddelats i anslut- ning till den lagen (se 2 kap. 2 § kustbevakningsdatalagen). Om förstöringsskyldigheten enligt 9 kap. 8 c § UtlL försummas, torde alltså något skadestånd inte kunna utgå med stöd av kustbevak-

415

Skadeståndsskyldighet efter kontroller av Schengenviseringar

SOU 2015:73

ningsdatalagen och 48 § PUL. Motsvarande gäller i den utsträckning som personuppgiftslagen skulle vara tillämplig på här aktuell be- handling. Skadestånd enligt personuppgiftslagen kan nämligen bara utgå vid behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen.

Det sagda innebär att det fordras någon författningsreglering om den enskilde ska kunna få skadestånd enligt 48 § PUL i de fall då fingeravtryck och biometriska data inte förstörs i enlighet med 9 kap. 8 c § UtlL.

Det finns då enligt utredningen i huvudsak två alternativ att välja mellan. Det ena alternativet är att göra ändringar i tillämpliga författningar som reglerar aktuella myndigheters personuppgifts- behandling samt att utforma den nya utlänningsdatalagen på sådant sätt att skadestånd kan utgå enligt 48 § PUL om förstöringsskyl- digheten inte iakttas. Det andra alternativet är att i 9 kap. 8 c § UtlL föra in en bestämmelse om att 48 § PUL gäller på motsvarande sätt, om inte fingeravtryck och biometriska data förstörs som föreskrivs i 9 kap. 8 c § UtlL.

För det första alternativet talar att regler som rör personupp- giftsbehandling i första hand bör finnas i författningar som reglerar myndigheters personuppgiftsbehandling inte i verksamhetsregle- rande författningar, dock förutsatt att det finns någon lämplig för- fattning. Fördelen med det andra alternativet är att en reglering i 9 kap. 8 c § UtlL blir tydligare. Både för tillämparna och de enskilda som berörs är detta en klar fördel. Utredningen förordar bland annat mot denna bakgrund det sistnämnda alternativet.

En särskild fråga är om alla berörda myndigheter bör kunna bli skadeståndsskyldiga vid försummad förstöring eller om detta ansvar bör läggas bara på en myndighet.

Det vore exempelvis tänkbart att låta Polismyndigheten ha detta ansvar ensam. Polismyndigheten har nämligen enligt 9 kap. 1 § UtlL ålagts huvudansvaret för aktuella kontroller och synes även i prak- tiken vara den myndighet som genomför kontrollerna (dock med undantag för kontrollerna till sjöss). En ordning med bara en ansvarig i detta avseende borde även medföra att oklarheter i ett visst fall om vem som är skadeståndsskyldig kan undvikas. Sådana oklarheter kan kanske uppstå om flera myndigheter biträder Polismyndigheten vid kontrollerna.

416

SOU 2015:73

Skadeståndsskyldighet efter kontroller av Schengenviseringar

Utredningen anser dock att övervägande skäl talar för att det bör vara den myndighet som har utfört kontrollen som ska vara an- svarig för att uppgifterna förstörs. En sådan reglering utgår från de faktiska förhållandena om vilken myndighet som utfört eller under- låtit viss behandling. Regleringen innebär alltså att ingen myndighet åläggs ansvar för en annan myndighets verksamhet. En sådan ord- ning synes i dag vara den normala utgångspunkten vid reglering av personuppgiftsansvar, se SOU 2015:39 s. 331. Både regleringen i den nuvarande utlänningsdataförordningen och de nya författningarna som utredningen föreslår på området utgår även från denna princip.

En ny regel bör således enligt utredningen föras in i 9 kap. 8 c § UtlL. I den bör föreskrivas att 48 § PUL gäller på motsvarande sätt, om den myndighet som har utfört kontrollen av fingeravtryck inte förstör fingeravtrycken och biometriska data som föreskrivs i 9 kap. 8 c § UtlL.

417

12 Konsekvenser

12.1Allmänt om konsekvensanalyser

Enligt utredningens direktiv ska utredningen bedöma de kostnader och konsekvenser som utredningens förslag kan komma att med- föra. Om utredningens förslag förväntas leda till kostnadsökningar för det allmänna, ska utredningen föreslå hur dessa ska finansieras. För utredningen gäller härutöver bestämmelserna i kommittéför- ordningen (1998:1474), där 14–15 a §§ är av särskilt intresse.

Om förslagen i ett betänkande påverkar kostnaderna eller intäk- terna för staten, kommuner, landsting, företag eller andra enskilda, ska enligt 14 § kommittéförordningen en beräkning av dessa kon- sekvenser redovisas i betänkandet. Om förslagen innebär samhälls- ekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kommittén föreslå en finansiering.

Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska enligt 15 § kommittéförordningen konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspoli- tiska målen.

Om ett betänkande innehåller förslag till nya eller ändrade regler, ska enligt 15 a § kommittéförordningen förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvens- utredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.

419

Konsekvenser

SOU 2015:73

I avsnitten nedan redogör utredningen för sin bedömning av de konsekvenser i dessa avseenden som utredningens förslag kan antas medföra.

12.2Utredningens överväganden

Utredningens bedömning: Genom förslagen till en utlännings- datalag och en anslutande förordning skapas förutsättningar för Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna att bedriva sin verksamhet enligt utlännings- och medborgarskapslagstiftningen effektivt och med moderna och ändamålsenliga it-system. Samtidigt har regleringen anpassats till behovet av ett integritetsskydd för de risker som är förknippade med sådan personuppgiftsbehandling. Förslagen innebär en flexibel reglering som ger aktuella myndigheter möjlighet att fortlöpan- de utveckla och anpassa sina system för automatiserad behand- ling utan att det krävs ändringar i regelverket. På kortare sikt kan vissa utbildnings- och omställningskostnader uppstå för aktuella myndigheter. Sådana kostnader bör dock rymmas inom ordinarie anslag.

Förslaget att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Krono- fogdemyndighetens utsöknings- och indrivningsdatabas och För- säkringskassans och Pensionsmyndighetens socialförsäkringsdata- bas medför också initialt något ökade kostnader för berörda myndigheter; även dessa bör dock rymmas inom befintliga an- slagsramar. På sikt bör förslagen att leda till ekonomiska bespar- ingar.

Några sådana ekonomiska kostnadsökningar eller övriga konsekvenser som avses i 14–15 a §§ kommittéförordningen (1998:1474) finns inte.

12.2.1Förslaget till utlänningsdatalag m.m.

Utredningen har utarbetat ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgar- skapslagstiftningen (utlänningsdatalagen) och en anslutande förord-

420

SOU 2015:73

Konsekvenser

ning (utlänningsdataförordningen) som föreslås ersätta den nu gällan- de förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Syftet med författningsförslagen är att införa en modern, ända- målsenlig och teknikoberoende lag för Migrationsverkets, Polis- myndighetens, Säkerhetspolisens och utlandsmyndigheternas per- sonuppgiftsbehandling för att myndigheternas verksamhet enligt utlännings- och medborgarlagstiftningen ska kunna bedrivas så effek- tivt som möjligt. Härvid har behovet av skydd mot de risker som personuppgiftsbehandlingen kan medföra för att enskildas person- liga integritet kränks beaktats.

Bestämmelserna om den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen (RF) innebär att utredningen ansett det nödvändigt att reglera de grundläggande bestämmelserna som rör skyddet mot intrång i den personliga integriteten i lag. Komplette- rande bestämmelser har dock tagits in i författningar på lägre nivå.

Utlänningsdatalagen föreslås alltså vara tillämplig vid behandlingen av personuppgifter som utförs av Migrationsverket, Polismyndig- heten, Säkerhetspolisen och utlandsmyndigheterna. Regleringen berör dock även vissa andra myndigheter, nämligen Skatteverket, Försäk- ringskassan och Pensionsmyndigheten, som alltjämt föreslås ha direktåtkomst till vissa personuppgifter hos Migrationsverket.

Utredningen gör bedömningen att författningsförslagen inte kom- mer att innebära några större merkostnader för Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. De befintliga it-systemen kan enligt utredningens bedömning behållas. Eftersom förslagen är teknikoberoende kan även it-systemen ut- vecklas och ändras utan att lagstiftningen behöver ändras. De krav som regleringen ställer bör dock kunna uppfyllas genom en anpass- ning av de befintliga systemen och genom utbildning, information och instruktioner till personalen. Även förslaget om krav på avskiljan- de, som kan antas medföra vissa merkostnader för Migrationsverket, borde enligt utredningens bedömning inte vara mer omfattande än att det får anses utgöra en del av det ordinarie utvecklingsarbetet.

Mot denna bakgrund gör utredningen bedömningen att förslagen inte medför några förändringar i förutsättningarna för myndigheter- nas verksamhet som får sådana kostnadsmässiga konsekvenser som avses i 14 § kommittéförordningen och som inte ryms inom myn- digheternas ordinarie budgetramar. Inte heller har förslagen några

421

Konsekvenser

SOU 2015:73

sådana konsekvenser som avses i 15 § eller som ska redovisas enligt 15 a § kommittéförordningen.

Några särskilda åtgärder behöver inte vidtas inför ikraftträdande och det finns inte heller några behov av speciella informationsinsatser.

12.2.2De särskilda frågorna

Registrering av kvalitetsomdöme

Utredningens förslag innebär att Migrationsverket får registrera iden- titetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, översättare och språkanalytiker. Med avvikelser avses i huvudsak uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag.

Förslaget, som syftar till att stärka rättssäkerheten för enskilda i asylprocessen, bör inte leda till några nya kostnader.

Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd

Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Krono- fogdemyndighetens utsöknings- och indrivningsdatabas och För- säkringskassans och Pensionsmyndighetens socialförsäkringsdata- bas. Migrationsverket inhämtar redan i dag en del av uppgifterna, som verket nu föreslås få direktåtkomst till. Det är endast ovan- nämnda myndigheter som berörs av förslaget.

Enligt utredningen bör den föreslagna direktåtkomsten leda till ett effektivare informationsutbyte och därmed också ett effektivare utnyttjande av de berörda myndigheternas resurser. Förslagen möjlig- gör en förbättrad kontroll vid handläggning av uppehållstillstånd för arbete och arbetstillstånd. På sikt bör förslagen leda till eko- nomiska besparingar för de berörda myndigheterna genom att den administrativa arbetsbördan minskar.

422

SOU 2015:73

Konsekvenser

På kortare sikt är det dock troligt att förslaget kan leda till ökade kostnader främst för att utveckla it-systemen för aktuell direkt- åtkomst och behandling av uppgifter, men även för support och förvaltning. Det är svårt att beräkna dessa kostnader närmare. Skäl att frångå den beräkning som gjorts i promemorian Åtgärder mot missbruk av reglerna för arbetskraftsinvandring (Ds 2013:57) saknas även om begränsade kostnader även torde uppkomma för Skatte- verket, Försäkringskassan och Kronofogdemyndigheten. Utredning- en bedömer dock att de ökade kostnaderna för myndigheterna inte blir större än att de kan finansieras inom deras befintliga anslags- ramar.

Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister

Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlän- ningslagen (2005:716, UtlL). Förutom den registrerade är det Polis- myndigheten och Migrationsverket som berörs av förslaget. Mot bakgrund av att Migrationsverket i praktiken redan i dag tar del av aktuella fingeravtryck, bör förslaget inte leda till några ökade kost- nader.

Skadeståndsskyldighet efter kontroller av Schengenviseringar

Utredningen föreslår en klargörande regel om att det är den myn- dighet som har utfört fingeravtryckskontrollen enligt 9 kap. 8 c § UtlL som är ansvarig för att uppgifterna förstörs på föreskrivet sätt och att skadestånd kan utgå om förstöringsskyldigheten försummas. Förslaget berör, förutom den registrerade, i huvudsak endast Polis- myndigheten, Kustbevakningen, Tullverket och Migrationsverket. I praktiken torde rätten till skadestånd enligt utredningen sällan aktualiseras. Eventuella kostnader för berörda myndigheter torde därför enligt utredningen vara försumbara.

423

Konsekvenser

SOU 2015:73

Sammanfattande synpunkter

Utredningen gör, som angetts ovan, bedömningen att inte heller förslagen som rör de särskilda frågorna som utredningen haft i upp- drag att analysera medför sådana kostnadsmässiga konsekvenser som avses i 14 § kommittéförordningen och som inte ryms inom myndigheternas ordinarie budgetramar. Inte heller har förslagen några sådana konsekvenser som avses i 15 § eller som ska redovisas enligt 15 a § kommittéförordningen.

Några särskilda åtgärder behöver inte vidtas inför ikraftträdande och det finns inte heller några behov av speciella informationsinsatser.

424

13 Författningskommentar

13.1Förslaget till utlänningsdatalag

Lagens syfte

1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla per- sonuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

I paragrafen anges det övergripande syftet med lagen. Syftet är att ge Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna möjlighet att behandla personuppgifter på ett ända- målsenligt sätt i verksamhet enligt utlännings- och medborgarskaps- lagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i av- snitt 7.2.

I bestämmelsen kommer lagens dubbla syfte till uttryck. Verk- samhet på utlännings- och medborgarskapsområdet innebär om- fattande behandling av personuppgifter, även av integritetskänslig art. Det är viktigt att Migrationsverket, Polismyndigheten, Säkerhets- polisen och utlandsmyndigheterna har möjlighet att behandla person- uppgifter på ett ändamålsenligt och effektivt sätt med hjälp av väl fungerande informationsteknik. För detta krävs en särreglering i förhållande till personuppgiftslagen (1998:204, PUL). Exempelvis ger utlänningsdatalagen myndigheterna möjlighet att behandla käns- liga personuppgifter i större utsträckning än personuppgiftslagen medger. Samtidigt är lagens syfte att skydda människor mot att deras personliga integritet kränks vid denna behandling. För att stärka skyddet för den personliga integriteten innehåller lagen sär- skilda regler om för vilka ändamål behandlingen är tillåten, tillgången

425

Författningskommentar

SOU 2015:73

till personuppgifter, sökbegränsningar, direktåtkomst, myndighets krav på att utse personuppgiftsombud, gallring i vissa fall och avskiljande. Därutöver gäller personuppgiftslagens bestämmelser om grundläggande krav på behandlingen, säkerhet vid behandlingen, personuppgiftsombudets uppgifter och tillsynsmyndighetens befog- enheter.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:

1.utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska sam- arbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.statusförklaring,

3.mottagande av asylsökande och andra utlänningar,

4.bistånd och stöd till utlänningar,

5.svenskt medborgarskap,

6.statlig ersättning för kostnader för utlänningar eller

7.bosättning av utlänningar.

Paragrafen anger lagens tillämpningsområde vad avser Migrations- verket och utlandsmyndigheterna. Övervägandena finns i avsnitt 7.3.4.

I 2 och 3 §§ anges uttömmande vilka myndigheters behandling av personuppgifter som regleras av lagen. Personuppgiftsbehand- ling som utförs inom sådan verksamhet som anges i bestämmelser- na, men som utförs av annan myndighet än de som anges i lagen, faller således utanför lagens tillämpningsområde. Det gäller även personuppgiftsbehandling som utförs av enskilda.

Begreppen behandling och personuppgifter har samma betydelse som i 3 § PUL. Av det följer att behandling av personuppgifter som rör avlidna, ännu inte födda eller juridiska personer inte omfattas av lagens bestämmelser. Det finns dock inget hinder mot att utlän- ningsdatalagen ändå tillämpas vid behandling av sådana uppgifter.

I punkterna 17 beskrivs närmare vilken verksamhet som regleras av lagen. Uppräkningen är uttömmande. Fler än en av punkterna kan dock vara tillämpliga samtidigt.

426

SOU 2015:73

Författningskommentar

Migrationsverkets och utlandsmyndigheternas verksamhet på utlännings- och medborgarskapsområdet har beskrivits närmare i avsnitt 7.3.4. Nedan kommenteras de olika punkterna översiktligt.

Med punkten 1 avses främst Migrationsverkets och utlandsmyn- digheternas verksamhet enligt utlänningslagen (2005:716, UtlL) och utlänningsförordningen (2006:97) som rör visering, uppehållstill- stånd, arbetstillstånd, avvisning, utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (1992:247) med instruktion för utrikesrepresenta- tionen avses. Vidare faller Migrationsverkets behandling av person- uppgifter i ärenden om utvisning, förvar m.m. av utlänningar med stöd av lagen (1991:572) om särskild utlänningskontroll under denna punkt.

Punkten 2 omfattar Migrationsverkets behandling av person- uppgifter i anledning av beslut om eller återkallelse av statusförkla- ring enligt 4 kap. 33 c och 5 b5 c §§ UtlL.

Med punkten 3 avses Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande för- ordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Verksamhet som avser ekonomiskt bistånd eller stöd behandlas i punkten 4. Till punkten 3 hör också Migrations- verkets verksamhet i samband med mottagande av kvotflyktingar, alltså flyktingar som blir erbjudna vidarebosättning i Sverige genom FN:s flyktingsorgan.

Punkten 4 rör Migrationsverkets verksamhet som gäller ekono- miskt bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. och den anslutande förordningen (1994:361) om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bi- drag till flyktingar för kostnader för anhörigs resor till Sverige, för- ordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses.

Med punkten 5 avses Migrationsverkets och utlandsmyndigheter- nas verksamhet enligt lagen (2001:82) om svenskt medborgarskap och medborgarskapsförordningen (2001:218).

427

Författningskommentar

SOU 2015:73

Punkten 6 omfattar Migrationsverkets verksamhet som gäller ersättning till kommuner, landsting, kommunalförbund och öppen- vårdsapotek för vissa kostnader för utlänningar. Bestämmelser om sådan ersättning finns i förordningen (1990:927) om statlig ersätt- ning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asyl- sökande och förordningen (2002:1118) om statlig ersättning för asyl- sökande m.fl.

Punkten 7 innefattar Migrationsverkets verksamhet som rör bo- sättning av utlänningar. Bestämmelser om denna verksamhet finns i lagen (1994:137) om mottagande av asylsökande m.fl. och förord- ningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare.

Av uppräkningen ovan följer att lagen inte är tillämplig på myn- digheternas interna administrativa ärendehantering som rör till exempel ekonomi- och personalfrågor. För behandling av person- uppgifter i denna verksamhet gäller bestämmelserna i personuppgifts- lagen. Även verksamhet som rör den europeiska flyktingfonden och den europeiska återvändandefonden faller utanför lagens tillämp- ningsområde.

3 § Denna lag gäller också vid behandling av personuppgifter i Polismyn- dighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

Paragrafen anger lagens tillämpningsområde vad avser Polismyndig- heten och Säkerhetspolisen. Övervägandena finns i avsnitt 7.3.4.

Lagen gäller vid behandling av personuppgifter i den verksamhet som Polismyndigheten utför med stöd av utlänningslagen och med- borgarskapslagen och anslutande förordningar. Även myndighetens verksamhet enligt lagen om särskild utlänningskontroll omfattas. Det innefattar Polismyndighetens personuppgiftsbehandling i sam- band med personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Inom tillämpningsområdet faller också Polismyndighetens personuppgiftsbehandling i samband med beslut om avvisning och verkställighet av sådana beslut samt verkställighet av allmän domstols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning.

428

SOU 2015:73

Författningskommentar

Paragrafen omfattar också personuppgiftsbehandling i samband med verkställighet av utlämningar och personuppgiftsbehandling vid över- lämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375)om utläm- ning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

Även Säkerhetspolisen har vissa uppgifter som regleras i utlän- ningslagstiftningen. Även om Säkerhetspolisen i huvudsak inom detta område bedriver verksamhet som omfattas av polisdatalagen kan det inte uteslutas att myndigheten även utför viss verksamhet där något brottsbekämpande inslag inte finns. Exempel på sådana situationer kan vara vid verkställighetsärenden som rör beslut om avvisning eller utvisning. Utlänningsdatalagen ska tillämpas i dessa fall.

4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I paragrafen anges vilken personuppgiftsbehandling som regleras av lagen. Övervägandena finns i avsnitt 6.4.5 och 7.3.4.

Med personuppgifter avses detsamma som i 3 § PUL, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även begreppet behandling har samma innebörd som i den bestämmelsen. Därmed avses alltså varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, till exempel insam- ling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller sam- körning samt utplåning eller förstöring.

Lagen är endast tillämplig om behandlingen av personuppgifter är helt eller delvis automatiserad eller om de ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är till- gänglig för sökning eller sammanställning enligt särskilda kriterier. Lagen har i detta avseende samma tillämpningsområde som person- uppgiftslagen, se 5 § PUL. Lagens gäller således inte helt manuell

429

Författningskommentar

SOU 2015:73

behandling av personuppgifter som inte ingår i en samling som är tillgänglig för sökning.

5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då per- sonuppgifter behandlas med stöd av

1.lagen (2000:344) om Schengens informationssystem,

2.Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS- förordningen)(1),

3.Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (vise- ringskodex),

4.polisdatalagen (2010:361) eller

5.Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlems- staternas brottsbekämpande myndigheter begär jämförelser med Eurodac- uppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rätt- visa (omarbetning).

Vid behandling av personuppgifter enligt VIS-förordningen gäller bestäm- melserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förord- ningen.

Det finns vissa lagar och EU-förordningar vars tillämpningsområde träffas av den beskrivning av utlänningsdatalagens tillämpningsområde som anges i 2 och 3 §§. I bestämmelsen förtydligas vilka sådana lagar och förordningar som ska ha företräde framför utlännings- datalagen vid överlappande tillämpningsområden. Utlänningsdata- lagen ska således inte tillämpas inom verksamhet som regleras av de i bestämmelsen angivna lagarna och EU-förordningarna. Övervägan- dena finns i avsnitt 7.4.

Lagen (2000:344) Schengens informationssystem reglerar behand- ling av personuppgifter som utförs av främst Polismyndigheten.

Behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informa-

430

SOU 2015:73

Författningskommentar

tionssystemet för viseringar (VIS) och utbytet mellan medlemsstater- na av uppgifter om viseringar för kortare vistelse (VIS-förordningen)

(1) utförs av Migrationsverket, Polismyndigheten och utlandsmyn- digheterna.

Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) reglerar utlandsmyndigheternas och Polismyndig- hetens verksamhet som rör viseringar.

Polismyndighetens och Säkerhetspolisens personuppgiftsbehand- ling i brottsbekämpande verksamhet regleras av polisdatalagen. Se närmare om gränsdragningen mellan brottsbekämpande verksamhet och Polismyndighetens och Säkerhetspolisens verksamhet enligt ut- lännings- och medborgarskapslagstiftningen i avsnitt 7.3.4. Av para- grafen följer att polisdatalagen och inte utlänningsdatalagen ska tillämpas då personuppgifter behandlas med stöd av polisdatalagen.

Bestämmelser som reglerar Migrationsverkets och Polismyndig- hetens personuppgiftsbehandling i det s.k. Eurodacsystemet finns i Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av finger- avtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekäm- pande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning) (Eurodacförordningen).

I andra stycket anges att bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt VIS-förordningen, i den mån inte annat följer av den förord- ningen. Övervägandena finns i avsnitt 7.4 Eftersom personuppgifts- lagens bestämmelser om rättelse m.m. och skadestånd enligt sin ordalydelse endast gäller vid behandling som skett i strid med per- sonuppgiftslagen eller föreskrifter som meddelats med stöd av den lagen, krävs för att bestämmelserna ska vara tillämpliga en uttryck- lig hänvisning till personuppgiftslagens bestämmelser. Bestämmelser

431

Författningskommentar

SOU 2015:73

i VIS-förordningen har företräde framför personuppgiftslagens be- stämmelser.

Den registrerades inställning

6 § Behandling av personuppgifter som är tillåten enligt denna lag får ut- föras även om den enskilde motsätter sig den.

Enligt paragrafen får personuppgiftsbehandling som är tillåten enligt utlänningsdatalagen utföras även om den enskilde motsätter sig den. Övervägandena finns i avsnitt 7.5.

Förhållandet till personuppgiftslagen

7 § Om inte annat anges i 8 §, gäller denna lag i stället för personupp- giftslagen (1998:204) eller föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen reglerar utlänningsdatalagens förhållande till person- uppgiftslagen. Bestämmelsen innebär att utlänningsdatalagen inom sitt tillämpningsområde helt ersätter personuppgiftslagen, utom i de fall som uttryckligen anges i 8 §. Det innebär att vid personupp- giftsbehandling som omfattas av lagen ska bestämmelser i person- uppgiftslagen tillämpas endast om det finns en hänvisning till dem i 8 §. Övervägandena finns i avsnitt 7.6.

8 § Följande bestämmelser i personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § om grundläggande krav på behandling av personuppgifter,

4.22 § om behandling av personnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse m.m.,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8.3335 §§ om överföring av personuppgifter till tredjeland,

9.38–41 §§ om personuppgiftsombud m.m.,

10.42 § om upplysningar till allmänheten om vissa behandlingar,

432

SOU 2015:73

Författningskommentar

11.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12.48 § om skadestånd och

13.51 §, 52 § första stycket och 53 § om överklagande.

Om personuppgifter ska gallras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen gäller inte 8 § andra stycket per- sonuppgiftslagen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Paragrafen anger vilka bestämmelser i personuppgiftslagen som är tillämpliga vid personuppgiftsbehandling i verksamhet enligt 2 och 3 §§. Övervägandena finns i avsnitt 7.7.

Det följer av 7 § att bestämmelserna i personuppgiftslagen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av förevarande lag eller föreskrifter som meddelats i anslutning till lagen. I första stycket anges i tretton punkter vilka bestämmelser i personuppgiftslagen som trots detta ska tillämpas på motsvarande sätt vid behandling av personuppgifter i verksamhet enligt 2 och 3 §§. Uppräkningen är uttömmande.

Av punkten 1 följer att de definitioner som anges i 3 § PUL tilläm- pas även vid behandling av personuppgifter som omfattas av före- varande lag.

Punkten 2 hänvisar till 8 § PUL. Hänvisningen till 8 § PUL första stycket medför att bestämmelserna i utlänningsdatalagen eller de bestämmelser till vilka lagen hänvisar inte ska tillämpas, om de skulle inskränka de tillämpande myndigheternas skyldighet enligt 2 kap. TF att lämna ut allmänna handlingar.

Genom hänvisningen till 8 § andra stycket PUL slås fast att be- stämmelser i personuppgiftslagen inte hindrar att en myndighet arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. För vissa personuppgifter finns det dock särskilda gallringsföreskrifter, se 3, 12 och 13 §§ i utredning- ens förslag till förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen. Dessa bestämmelser har företräde fram- för bestämmelsen i 8 § andra stycket PUL. Det följer av paragrafens andra stycke.

Punkten 3 hänvisar till 9 § PUL. Paragrafen innehåller vissa grund- läggande krav på behandlingen av personuppgifter. Hänvisningen till 9 § PUL innebär att den personuppgiftsansvarige ska se till att uppgifterna behandlas bara om det är lagligt och att de behandlas på

433

Författningskommentar

SOU 2015:73

ett korrekt sätt och i enlighet med god sed (9 § första stycket ab PUL). Hänvisningen innebär också att den personuppgiftsansvarige ska se till att personuppgifterna samlas in bara för särskilda, uttryck- ligt angivna ändamål (9 § första stycket c PUL). Genom hänvis- ningen gäller dessutom att personuppgifter inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket de sam- lades in (9 § första stycket d PUL). Finalitetsprincipens närmare betydelse på utlännings- och medborgarskapsområdet framgår av 13 §. För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler. Behandling av personuppgifter för dessa ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket PUL). Vid behandling för historiska, statistiska och vetenskapliga ändamål gäller emellertid vissa begränsningar för hur uppgifterna får användas (9 § fjärde stycket PUL).

Hänvisningen till 9 § PUL medför vidare att den personuppgifts- ansvarige ska se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt med hän- syn till ändamålen för behandlingen, att de behandlade personupp- gifterna är riktiga och, om det är nödvändigt, aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (9 § första stycket e–h PUL). Slut- ligen innebär hänvisningen att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (9 § första stycket i PUL). Bestämmelsen gäller endast för personuppgifter som inte ingår i allmänna handlingar. När det gäller personuppgifter som finns i allmänna handlingar har bestämmelsen i 8 § andra stycket PUL företräde. Enligt 9 § tredje stycket PUL får personuppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som anges i 9 § första stycket i PUL, dock inte längre än som behövs för dessa ändamål.

I punkten 4 hänvisas till 22 § PUL. Bestämmelsen innebär att upp- gifter om personnummer eller samordningsnummer får behandlas i den verksamhet som definieras i 2 och 3 §§ utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

434

SOU 2015:73

Författningskommentar

Hänvisningen i punkten 5 till 23 § och 25–27 §§ PUL medför att den registrerades rätt till information enligt personuppgiftslagen ska tillämpas även vid behandling av personuppgifter enligt utlännings- datalagen. Enligt 23 § PUL ska den personuppgiftsansvarige i sam- band med att personuppgifter samlas in självmant lämna den registre- rade information om behandlingen av uppgifterna. I 25 § första stycket PUL anges att informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med be- handlingen och all övrig information som behövs för att den registre- rade ska kunna ta tillvara sina rättigheter i samband med behand- lingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Av 25 § andra stycket PUL framgår emellertid att infor- mation inte behöver lämnas om sådant som den registrerade redan känner till. Enligt 26 och 27 §§ PUL är den personuppgiftsansva- rige skyldig att en gång per år efter skriftlig ansökan lämna gratis information om huruvida personuppgifter som rör den sökande behandlas. Om sådan behandling sker, ska upplysning också lämnas om bland annat ändamålet med behandlingen. Undantag från infor- mationsskyldigheten gäller för personuppgifter i löpande text som inte fått sin slutliga utformning, minnesanteckningar och liknande. Informationsplikten gäller inte heller i den utsträckning det råder sekretess eller tystnadsplikt för informationen.

I punkten 6 görs en hänvisning till 28 § PUL, som innehåller bestämmelser om rättelse, blockering och utplåning av uppgifter. Den personuppgiftsansvarige är skyldig att på begäran av den registrera- de snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med utlänningsdatalagen eller de be- stämmelser i personuppgiftslagen som lagen hänvisar till.

Punkten 7 hänvisar till 30 och 31 §§ samt 32 § första stycket PUL som rör säkerhet vid behandling av personuppgifter.

I punkten 8 hänvisas till 3335 §§ PUL som rör utlämnande av personuppgifter till tredjeland. Med tredjeland avses enligt 3 § PUL en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Enligt 33 § PUL gäller ett förbud mot att till tredjeland föra över personuppgifter som är under behandling eller ska behandlas i tredjeland, om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna.

435

Författningskommentar

SOU 2015:73

I 34 § PUL och i 19 § utlänningsdatalagen, se nedan, finns undantag från förbudet i 33 § PUL.

I punkten 9 finns en hänvisning till 38–41 §§ PUL om person- uppgiftsombud m.m. I 9 och 10 §§ utlänningsdatalagen finns vissa särskilda bestämmelser om personuppgiftsansvar för Migrations- verket, Polismyndigheten Säkerhetspolisen och utlandsmyndigheter- na. I 3841 §§ PUL regleras personuppgiftsombudets uppgifter.

En hänvisning görs i punkten 10 till 42 § PUL. Bestämmelsen rör upplysningar till allmänheten om vissa behandlingar som inte anmälts till Datainspektionen.

I punkten 11 finns en hänvisning till 43 och 44 §§, 45 § första stycket och 47 § PUL. Bestämmelserna rör Datainspektionens be- fogenheter. Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till de personuppgifter som behandlas, upplys- ningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till den personuppgiftsansvariges lokaler. Om Datainspektionen efter en begäran enligt 43 § PUL inte kan få till- räckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten enligt 44 § PUL förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. Av 45 § första stycket PUL följer vidare att Datainspektionen genom påpekanden eller liknande förfaranden ska försöka åstadkomma rättelse om inspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Om det inte går att få rättelse på något annat sätt eller om saken är brådskande, får inspektionen förbjuda den personupp- giftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. Datainspektionen har också möjlighet att hos förvaltningsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Beslut om ut- plåning får dock inte fattas om det är oskäligt.

I punkten 12 regleras den registrerades rätt till skadestånd. En hänvisning till 48 § PUL innebär att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den person- liga integriteten som en behandling av personuppgifter i strid med utlänningsdatalagen eller bestämmelser som lagen hänvisar till har orsakat. Ersättningsskyldigheten kan i de fall det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

436

SOU 2015:73

Författningskommentar

Slutligen hänvisas, i punkten 13, till 51 §, 52 § första stycket och 53 § PUL. Bestämmelserna rör överklagande. Av hänvisningen till 51 § första stycket PUL följer att Datainspektionens beslut med stöd av utlänningsdatalagen som rör annat än föreskrifter får över- klagas till allmän förvaltningsdomstol. Enligt 51 § andra stycket PUL får Datainspektionen bestämma att ett sådant beslut ska gälla även om det överklagas. Av 52 § första stycket PUL följer att en myndighets beslut om information enligt 26 § PUL om rättelse och underrättelse till tredje man enligt 28 § PUL och om upplysningar enligt 42 § PUL får överklagas hos allmän förvaltningsdomstol. Andra beslut än de ovannämnda får enligt 53 § PUL inte överklagas.

I andra stycket anges hur gallringsbestämmelser i utlänningsdata- lagen eller föreskrifter som har meddelats i anslutning till lagen för- håller sig till bestämmelsen i 8 § andra stycket PUL. I 8 § andra stycket PUL slås fast att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av arkiveringsmyndighet. Utgångs- punkten är att personuppgifter i allmänna handlingar som behand- las i verksamhet enligt 2 och 3 §§ ska bevaras i enlighet arkivlagens bestämmelser. Dock finns det några särskilda bestämmelser om gallring i 3, 12 och 13 §§ i utredningens förslag till förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen. Förevarande bestämmelse innebär att dessa gallringsbestämmelser har företräde framför regler om arkivering och bevarande.

I punkten 11 hänvisas till 44 och 45 §§ PUL. Förbud enligt dessa bestämmelser får enligt personuppgiftslagens lydelse förenas med vite. Av bestämmelsen i tredje stycket följer dock att förbud som meddelats i samband med tillsyn enligt utlänningsdatalagen inte får förenas med vite.

Personuppgiftsansvar

9 § Med undantag för vad som föreskrivs i andra stycket är den myndighet som anges i 2 och 3 §§ personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför eller som det åligger den myndig- heten att utföra.

Migrationsverket är även personuppgiftsansvarig för utlandsmyndig- heternas automatiserade behandling av personuppgifter.

437

Författningskommentar

SOU 2015:73

I paragrafen regleras vilken myndighet som ska vara personuppgifts- ansvarig för behandlingen. Övervägandena finns i avsnitt 7.8.

Av första stycket följer att Migrationsverket, Polismyndigheten och Säkerhetspolisen är personuppgiftsansvariga för den behandling som respektive myndighet utför eller som det åligger myndigheten att utföra. Med detta menas att en myndighet ansvarar för den per- sonuppgiftsbehandling som sker inom ramen för myndighetens verksamhet. Hos vem personuppgiftansvaret ska förläggas och hur det ska avgränsas får bedömas utifrån de faktiska omständigheterna i det särskilda fallet, se vidare härom i SOU 2015: 39 s. 698 f. Av detta följer exempelvis att det är Migrationsverket och inte Polis- myndigheten som ansvarar för den personuppgiftsbehandling som Polismyndigheten utför när myndigheten registrerar och kon- trollerar fingeravtryck åt Migrationsverket i och mot Migrations- verkets eget fingeravtrycksregister (B-filen), se närmare härom i avsnitt 7.10 och kapitel 10.

Av andra stycket följer att Migrationsverket utöver vad som anges i första stycket även är ansvarigt för utlandsmyndigheternas auto- matiserade behandling av personuppgifter i den verksamhet som anges i 2 §. Detta personuppgiftsansvar åvilar enbart Migrationsverket. Ett delat personuppgiftsansvar för utlandsmyndigheternas automa- tiserade behandling av personuppgifter åsyftas således inte. Däremot ansvarar utlandsmyndigheterna ensamma för annan behandling som myndigheterna utför.

10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra. Den per- sonuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt person- uppgiftslagen (1998:204) när ett personuppgiftsombud utses eller ent- ledigas.

I paragrafen regleras Migrationsverkets, Polismyndighetens och Säkerhetspolisens skyldighet att utse personuppgiftsombud. Över- vägandena finns i avsnitt 7.8.

Enligt 37 § PUL behöver en personuppgiftsansvarig inte anmäla helt eller delvis automatiserad personuppgiftsbehandling till Data- inspektionen om ett personuppgiftsombud utses och anmäls till in- spektionen. Paragrafen föreskriver emellertid att det är obligatoriskt för Migrationsverket, Polismyndigheten och Säkerhetspolisen att utse

438

SOU 2015:73

Författningskommentar

ett eller flera personuppgiftsombud. Motsvarande skyldighet före- ligger dock inte för utlandsmyndigheterna. För utlandsmyndig- heterna är det istället frivilligt att utse personuppgiftsombud.

Hänvisningen i 8 § första stycket 9 till 38–40 §§ PUL innebär att personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga vid Migrationsverket, Polismyndigheten och Säkerhetspolisen. Den personuppgiftsansvarige ska anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas.

Ändamål

11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna får behandla personuppgifter om det är nödvändigt för

1.handläggning av ärenden eller en myndighets biträde i sådana ären- den i verksamhet som avses i 2 och 3 §§,

2.kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,

4.tillsyn, kontroll, uppföljning, planering av verksamheten, framställ- ning av statistik samt testverksamhet eller

5.fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

Paragrafen reglerar, tillsammans med 12 §, de primära ändamålen, dvs. de ändamål som personuppgifter får behandlas för vid de be- rörda myndigheterna i deras verksamhet enligt i 2 och 3 §§. De an- givna ändamålen är uttömmande (jfr 13 §). Övervägandena finns i avsnitt 7.9.3.

En grundläggande förutsättning för att behandling ska vara tillåten är att den är nödvändig för ett eller flera i bestämmelsen angivna ändamål. Nödvändighetskravet i utlänningsdatalagen ska tolkas på samma sätt som motsvarande bestämmelse i 10 § PUL.

I punkten 1 anges att personuppgiftsbehandling får ske om det är nödvändigt för handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§. Migrations- verket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheter- na får således inhämta och behandla uppgifter som är nödvändiga för att de ska kunna handlägga ärenden enligt de författningar som omfattas av lagens verksamhetsområde som detta närmare precise-

439

Författningskommentar

SOU 2015:73

ras i 2 och 3 §§. Med handläggning avses här alla åtgärder myndig- heterna kan behöva vidta vid hantering av ett ärende eller vid biträde av en annan myndighets ärende. Bestämmelsen ger inte bara stöd åt behandling av personuppgifter avseende den person som ärendet gäller utan även avseende andra personer om uppgifterna är nödvändiga för handläggningen av ärendet, såsom anhörig, referens- person eller ombud.

Enligt punkten 2 får behandling ske om det är nödvändigt för kontroll av utlänning i samband med inresa och utresa samt kon- troll under vistelsen i Sverige. Detta ändamål innefattar den inre och yttre utlänningskontroll som utförs av Migrationsverket, Polismyn- digheten och Säkerhetspolisen med stöd av utlänningslagen. Inom ändamålet ryms exempelvis behandling av uppgifter för att planera nära förestående kontroller av utlänningar som förväntas resa in i landet. När det gäller Polismyndigheten och Säkerhetspolisen om- fattas inte sådan personuppgiftsbehandling som utförs i den brotts- bekämpande verksamheten. Den regleras i stället av polisdatalagen.

Punkten 3 föreskriver att personuppgiftsbehandling är tillåten om den är nödvändig för utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar. Med asylsökande och andra utlänningar avses utlänningar som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl.

Enligt punkten 4 får personuppgiftsbehandling utföras om den är nödvändig för tillsyn, kontroll, uppföljning, planering av verk- samheten, framställning av statistik samt testverksamhet. Bestäm- melsen omfattar såväl myndigheternas granskning av handläggning av enskilda ärenden som mer övergripande översyn och utvärdering av myndighetens arbete. Under punkten faller även framställning av statistik, både sådan som ska användas inom den egna verk- samheten och sådan som ska användas av andra myndigheter. Den mesta behandlingen av personuppgifter enligt denna punkt torde vara tillåten även utan denna uttryckliga bestämmelse, eftersom den kan anses utgöra en integrerad del av de berörda myndigheternas verksamhet och behandling av statistik får ske genom hänvisningen till 9 § PUL i 8 § ovan. Syftet med bestämmelsen är att tydliggöra dessa ändamål för både myndigheter som ska tillämpa bestämmel- serna och för dem vars uppgifter behandlas.

Av punkten 5 följer att personuppgifter även får behandlas för fullgörande av en rättslig skyldighet att registrera eller på annat sätt

440

SOU 2015:73

Författningskommentar

dokumentera en personuppgift. Exempel på sådan behandling kan vara diarieföring.

12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av

1.avgöranden, rättsutredningar och annan rättslig information eller

2.information rörande förhållanden i andra länder.

Paragrafen, som tillsammans med 11 § anger de primära ändamålen, reglerar Migrationsverkets möjlighet att behandla personuppgifter för ändamålen återsökning av avgöranden, rättsutredningar och annan rättslig information samt återsökning av information rörande för- hållanden i andra länder. Övervägandena finns i avsnitt 7.9.3. Se när- mare om nödvändighetskravet i samma avsnitt.

I avsnitt 5.2.10 beskrivs Lifos, Migrationsverkets informations- system för rättsfall och landinformation. Migrationsverket har be- hov av att samla in och behandla personuppgifter för ändamålen återsökning av avgöranden, rättsutredningar och annan rättslig infor- mation samt återsökning av information rörande förhållanden i andra länder. Sådan behandling förekommer företrädelsevis i samband med handläggning av enskilda ärenden på myndigheten, men också i utbildningssammanhang. Bestämmelsen ger stöd för sådan behand- ling av personuppgifter.

13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behand- las om det är nödvändigt för att tillhandahålla information

1.till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller

2.till en utländsk myndighet, ett EU-organ eller en mellanfolklig orga- nisation, om utlämnande följer av Sveriges medlemskap i Europeiska union- en eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellan- folklig organisation.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Paragrafen reglerar för vilka sekundära ändamål som personupp- gifter får behandlas i de berörda myndigheternas verksamhet. Be- handling enligt denna paragraf förutsätter att uppgifterna har samlats

441

Författningskommentar

SOU 2015:73

in för något primärt ändamål som följer av 11 eller 12 §§. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att be- handla dem enligt förevarande paragraf. Övervägandena och avgräns- ningen av dessa ändamål finns redovisade i avsnitt 7.9.3. I samma avsnitt analyseras även nödvändighetskravet närmare.

Av första stycket punkten 1 framgår att personuppgifter som behandlats med stöd av 11 och 12 §§ även får behandlas om det är nödvändigt för att tillhandahålla information till en annan myndig- het eller enskild, om utlämnandet sker med stöd av lag eller förord- ning. Uppgiftsutlämnande kan ske av olika anledningar. I vissa fall sker utlämnandet på grund av en skyldighet att lämna ut uppgifter till vissa utpekade myndigheter enligt olika författningar. Till exempel har enligt 17 kap. 3 § UtlL Försäkringskassan och Pensionsmyndig- heten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Se även förslaget till 17 kap. 4 § UtlL. I andra fall är myndigheterna enligt lag eller förordning skyldiga att på begäran lämna ut upp- gifter till andra.

Den grundlagsfästa skyldigheten i 2 kap. TF att lämna ut all- männa handlingar som inte innehåller några sekretessbelagda upp- gifter gäller oavsett vad som föreskrivs i författningar av lägre rang.

Vidare finns det ett antal författningar med bestämmelser som medger att uppgifter får lämnas ut även om någon skyldighet att göra så inte föreligger. Ett exempel på en sådan bestämmelse är 10 kap. 15 § offentlighets- och sekretesslagen (2009:400, OSL). I bestäm- melsen anges att sekretess inte hindrar att uppgift lämnas till rege- ringen eller riksdagen. Ett annat exempel är 10 kap. 27 § i samma lag som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.

Av första stycket punkten 2 framgår att personuppgifter som be- handlats med stöd av 11 och 12 §§ även får behandlas om det är nödvändigt för att tillhandahålla information till en utländsk myn- dighet, ett EU-organ eller en mellanfolklig organisation, om utläm- nandet följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Bestämmelse ger således stöd för själva behandlingen av personuppgifterna, medan utrymmet för att utläm- na dem kan begränsas av bestämmelser om sekretess.

442

SOU 2015:73

Författningskommentar

Om uppgifterna är sekretessbelagda, måste det vara fråga om ett tillåtet utlämnande enligt offentlighets- och sekretesslagen, jfr 8 kap. 3 § OSL angående utlämnande till utländska myndigheter eller mellan- folkliga organisationer. Är det fråga om en särskilt föreskriven upp- giftsskyldighet i lag eller förordning följer av 8 kap. 3 § första punkten OSL att sekretess inte hindrar ett utlämnande. Med lag eller för- ordning likställs en EU-förordning, se SOU 2015:39 s. 490.

Utgångspunkten är att de nu redovisade sekundära ändamålen i allt väsentligt ska täcka in det tillhandahållande av information som kan komma i fråga för de berörda myndigheterna. I andra stycket tydliggörs dock att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i första stycket måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Det innebär att den nya behandlingen ska stå i överensstämmelse med finalitets- principen. Någon annan vidarebehandling än den nu beskrivna är inte tillåten.

Migrationsverkets fingeravtrycks- och fotografiregister

14 § Migrationsverket får föra automatiserade register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap. 1–2 a §§ utlänningslagen åberopas, i ärenden om avvisning och utvisning samt i testverksamhet.

Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet foto- grafi.

Uppgift om fingeravtryck får även behandlas när det är nödvändigt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11–17 §§ polisdatalagen (2010:361).

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela när- mare föreskrifter om vilka uppgifter som får behandlas och om gallring.

I paragrafen anges att Migrationsverket får behandla personupp- gifter i automatiserade register över de fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § UtlL. Övervägandena finns i av- snitt 7.10.3.

443

Författningskommentar

SOU 2015:73

Av skäl som anges i avsnitt 7.10.3 regleras behandling av person- uppgifter i Migrationsverkets fingeravtrycks- och fotografiregister särskilt. Att Migrationsverket har möjlighet att behandla uppgifter om fingeravtryck och fotografier följer redan av bestämmelserna i 2 och 11 §§. Paragrafen innebär dock att möjligheten till behandling inskränks i förhållande till vad som gäller enligt dessa bestämmel- ser. Registren får endast innehålla fingeravtryck och fotografier som Migrationsverket har tagit med stöd av 9 kap. 8 § UtlL, dvs. om utlänningen fyllt 14 år och inte kan styrka sin identitet när han eller hon kommer till Sverige, ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att be- sluta om förvar. Paragrafen anger även uttömmande för vilka ändamål uppgifterna i registret får användas. I sista meningen i paragrafens första stycke anges att registren endast får användas vid prövning av ansökningar om uppehållstillstånd där utlänningen åberopar att han eller hon är flykting, alternativt skyddsbehövande eller övrig skyddsbehövande, i ärenden om avvisning och utvisning samt i test- verksamhet.

I andra stycket anges att Migrationsverkets fotografiregister även vid behov får användas för att kontrollera identiteten av en person på ett till verket inkommet fotografi, se närmare härom i avsnitt 7.10.2 och 7.10.3.

I tredje stycket anges att personuppgifter som behandlas enligt första stycket även får behandlas när det är nödvändigt för att till- handahålla information för att verket ska kunna kontrollera finger- avtryck mot fingeravtrycksregister som Polismyndigheten för en- ligt 4 kap. 11–17 §§ polisdatalagen (2010:361), se närmare härom i kapitel 10.

I fjärde stycket finns en upplysning om att ytterligare bestämmel- ser om vilka uppgifter som får behandlas och om gallring meddelas av regeringen. I utredningens förslag till en förordning med kom- pletterande föreskrifter rörande personuppgiftsbehandlingen finns dessa bestämmelser i 2 och 3 §§.

444

SOU 2015:73

Författningskommentar

Behandling av känsliga personuppgifter

15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifter- na. Därutöver får känsliga personuppgifter behandlas endast

1.för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller

2.i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Paragrafen reglerar personuppgiftsbehandling av känsliga person- uppgifter enligt 13 § PUL. Övervägandena finns i avsnitt 7.11.4.

Enligt 13 § PUL är det förbjudet att behandla personuppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga personupp- gifter. I 15 § PUL görs undantag från förbudet om den registrerade har lämnat sitt samtycke eller på ett tydligt sätt offentliggjort upp- gifterna. I 1620 §§ PUL finns ytterligare undantag från förbudet.

Paragrafen gör undantag från förbudet genom att tillåta behand- ling av känsliga personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen i sådan verksamhet som anges i 2 och 3 §§. Känsliga personuppgifter får behandlas om den registrerade har lämnat sitt samtycke eller på ett tydligt sätt offentliggjort upp- gifterna. Vad gäller den praktiska betydelsen av kravet på samtycke, se avsnitt 7.11.4. Bestämmelserna motsvarar 15 § PUL. Därutöver får känsliga personuppgifter endast behandlas för de ändamål som anges i punkterna 1 och 2.

Enligt punkten 1 får känsliga personuppgifter behandlas för ända- målen handläggning av ärenden eller en myndighets biträde i sådana ärenden, inre och yttre utlänningskontroll, mottagande och bosätt- ning av asylsökande och andra utlänningar, tillsyn, kontroll, uppfölj- ning, planering av verksamheten eller framställning av statistik och testverksamhet, dokumenteringsskyldighet samt uppgiftsutlämnan- de i vissa fall. Ett ytterligare krav är att behandling endast är tillåten om uppgifterna är absolut nödvändiga för syftet med behandlingen. Vad som avses med rekvisitet absolut nödvändig har preciserats i avsnitt 7.11.4.

445

Författningskommentar

SOU 2015:73

I Migrationsverkets behandling av personuppgifter som rör för- hållanden i andra länder är det av vikt att kunna behandla även känsliga personuppgifter, till exempel uppgifter om sexuell läggning. Punkten 2 ger Migrationsverket stöd för behandling av känsliga personuppgifter i löpande text för återsökning av information rörande förhållanden i andra länder. Behandling får dock endast ske om uppgifterna är absolut nödvändiga för att fullgöra arbetsupp- gifter i sådan verksamhet som anges i 2 §. Däremot är det över huvud taget inte tillåtet att behandla känsliga personuppgifter för återsökning av avgöranden, rättsutredningar och annan rättslig in- formation.

I 21 § finns en upplysning om att regeringen kan meddela när- mare föreskrifter om gallring av känsliga personuppgifter.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om till- gången till personuppgifter.

Paragrafen reglerar den interna tillgången till personuppgifter för per- sonal som arbetar inom Migrationsverket, Polismyndigheten, Säker- hetspolisen och utlandmyndigheterna i verksamhet som faller under lagens tillämpningsområde. Övervägandena finns i avsnitt 7.12.2.

I första stycket slås fast att tillgången till personuppgifter hos ovannämnda myndigheter ska begränsas till vad varje tjänsteman be- höver för att kunna fullgöra sina arbetsuppgifter. Bakgrunden till bestämmelsen är att integritetsrisken vid behandling av personupp- gifter är större ju fler personer som har tillgång till uppgifterna. Till- gången till uppgifter ska därför i så stor utsträckning som möjligt begränsas till den krets av personer som är i behov av dem för att kunna utföra sina arbetsuppgifter. Det är den personuppgiftsansva- riga myndigheten som har ansvar för att avgöra vilka uppgifter respektive anställd behöver för att kunna fullgöra sina uppgifter. Myndigheten ansvarar också för att datasystemen utformas så att det är möjligt att på ett ändamålsenligt sätt begränsa tillgången till in- formation på individnivå. Bestämmelsen har särskilt stor betydelse i

446

SOU 2015:73

Författningskommentar

de fall som myndigheterna medges direktåtkomst till andra myn- digheters personuppgifter, se avsnitten 7.15.2 och 9.3.2.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela när- mare föreskrifter om förutsättningarna för tillgången till personupp- gifter. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns dessa bestäm- melser i 4 och 5 §§.

Sökning

17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av person- uppgifter för ändamål som anges i 11 § 1−3 och 5 samt 13 §

Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § person- uppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.

I paragrafen finns bestämmelser som begränsar användningen av sökbegrepp vid behandling av personuppgifter som omfattas av utlänningsdatalagens tillämpningsområde. Övervägandena finns av- snitt 7.13.2.

Bestämmelsen i första stycket medför att känsliga personuppgifter trots bestämmelsen i 15 § inte får användas som sökbegrepp för de ändamål som anges i 11 § 13 och 5 samt 13 §. Känsliga person- uppgifter får alltså däremot användas som sökbegrepp vid behand- ling av personuppgifter om det är nödvändigt för behandling av personuppgifter för tillsyn, kontroll, uppföljning, planering av verk- samheten, framställning av statistik eller testverksamhet (11 § 4).

När det gäller återsökning av information rörande förhållanden i andra länder får enligt andra stycket personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Känsliga personuppgifter får över huvud taget inte behandlas för återsökning av avgöranden, rättsutredningar och annan rättslig information och kan därför inte heller användas som sökbegrepp vid behandling för detta ändamål.

447

Författningskommentar

SOU 2015:73

Inte heller får personuppgifter om lagöverträdelser som inne- fattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden användas som sökbegrepp. Upp- gifter om förvar får dock användas som sökbegrepp.

Direktåtkomst

18 § Direktåtkomst till personuppgifter som behandlas automatiserat hos Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.

Direktåtkomst till personuppgifter som Migrationsverket behandlar får medges

1.Polismyndigheten för ändamål som anges i 11 § 1–3 och 14 §,

2.Säkerhetspolisen för ändamål som anges i 11 § 1–3 samt

3.utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket för ändamål som anges i 11 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om om- fattningen av direktåtkomsten samt om behörighet och säkerhet.

I paragrafen anges under vilka förutsättningar direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket får medges. Vad som avses med direktåtkomst redovisas i avsnitt 7.15.2. Paragrafen har ingen sekretessbrytande effekt.

Av första stycket följer att regleringen när direktåtkomst får med- ges är uttömmande. Det innebär att Migrationsverket inte kan medge ytterligare direktåtkomst utöver den som regleras i paragrafen, vare sig till andra myndigheter eller till enskilda.

I andra stycket anges både vilka myndigheter som får medges direktåtkomst till personuppgifter som Migrationsverket behandlar automatiserat och för vilka ändamål som detta får ske. De myndig- heter som får medges direktåtkomst är Polismyndigheten, Säker- hetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensions- myndigheten och Skatteverket.

De myndigheter som medges direktåtkomst får inte använda direktåtkomsten för andra ändamål än de som paragrafen tillåter myndigheterna att ha direktåtkomst för. Det innebär till exempel att Polismyndigheten i brottsutredande syfte inte får använda direkt- åtkomsten till Migrationsverkets uppgifter för att kontrollera en brottsmisstänkt utlänning. Polismyndighetens och Säkerhetspolisens

448

SOU 2015:73

Författningskommentar

direktåtkomst för ändamålet kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige avser så- ledes utlänningskontroll utan samband med brottsbekämpning.

I 14 § utlänningsdatalagen finns bestämmelser om bland annat Migrationsverkets fingeravtrycksregister. Det är Polismyndigheten som handhar, förvaltar och underhåller Migrationsverkets finger- avtrycksregister utan att verket har någon tillgång till sitt eget register. Det är således Polismyndigheten som registrerar och gör finger- avtrycksjämförelser i registret för Migrationsverkets räkning, se avsnitt 7.10. För att detta ska vara möjligt måste Polismyndigheten medges direktåtkomst till Migrationsverkets uppgifter för detta ända- mål.

I tredje stycket finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. I utredningens förslag till en förordning med kompletterande före- skrifter rörande personuppgiftsbehandlingen finns sådana bestäm- melser i 6−9§§. I dessa bestämmelser specificeras i viss utsträckning vilka uppgifter som får omfattas av direktåtkomsten.

Överföring av personuppgifter till tredjeland

19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.

I paragrafen görs ytterligare undantag från personuppgiftlagens grundläggande förbud mot överföring av personuppgifter till tredje- land. Övervägandena finns i avsnitt 7.7.8.

Som följer av 8 § första stycket 8 är 3335 §§ PUL tillämpliga i verksamhet inom utlännings- och medborgarskapslagstiftningen. I 33 § PUL finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av person- uppgifterna.

449

Författningskommentar

SOU 2015:73

Bestämmelsen, som kompletterar undantagen i 34 § PUL, inne- bär att det utan den registrerades samtycke är tillåtet att även föra över personuppgifter till tredjeland om överföringen är absolut nöd- vändig för i paragrafen angivna ändamål.

I andra stycket finns en upplysning om att ytterligare bestäm- melser om vilka personuppgifter som får föras över till tredjeland och om till vilka mottagare överföringen får ske meddelas av regeringen. I utredningens förslag till en förordning med kompletterande före- skrifter rörande personuppgiftsbehandlingen finns dessa bestäm- melser i 10 §.

Avskiljande

20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § ska avskiljas från automatiserad behandling i myn- dighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.

Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om av- skiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

I paragrafen regleras avskiljande av personuppgifter som inte längre är nödvändiga för verksamheten. Övervägandena finns i avsnitt 7.16.2.

Enligt paragrafens första stycke ska den personuppgiftsansvariga myndigheten avskilja personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 13 och 13 § när uppgifterna inte längre är nödvändiga för verksamheten. Elektroniskt bevarande av personuppgifter i den verksamhet som regleras i utlänningsdata- lagen ska styras av det arkivrättsliga regelverket. Det innebär att uppgifterna som huvudregel ska bevaras. Med hänsyn till integri- tetsintresset kan myndigheterna inte tillåtas ha en oförändrad åtkomst till personuppgifter som inte längre är nödvändiga för de uppgifter som det åligger respektive myndighet att utföra. När uppgifterna inte längre behövs för den löpande verksamheten ska de därför av- skiljas. Med avskiljande menas att personuppgifter tas bort från

450

SOU 2015:73

Författningskommentar

automatiserade uppgiftssamlingar som används i verksamheten en- ligt 2 och 3 §§. Det åligger den personuppgiftsansvariga myndig- heten att införa rutiner för när avskiljande ska ske och på vilket sätt. Avskiljandet får inte innebära att uppgifter gallras i strid med arkiv- lagens (1990:782) bestämmelser eller föreskrifter som har meddelats med stöd av den lagen.

I andra stycket anges att behörighet för åtkomst till avskilda per- sonuppgifter endast får ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter. Genom kravet på att det ska föreligga ett absolut behov för att få tillgång till uppgifterna betonas att åtkomsten ska vara starkt begränsad. I främst Migrationsverkets verksamhet finns dock ett behov av att kunna komma åt uppgifter i redan avslutade ärenden. Det kan till exempel vara aktuellt när en person åberopar anknytning som skäl för uppehållstillstånd och en tjänsteman därför behöver komma åt uppgifter som rör anknytningspersonen i ett avslutat ärende. Åt- komst ska därför inte bara beviljas arkiveringspersonal utan även handläggare som kan vara i behov av uppgifter som är avskilda i sitt dagliga arbete. Det åligger den personuppgiftsansvariga myndig- heten att se till att tillgången till avskilda uppgifter begränsas på redo- visat sätt. Avskilda uppgifter får inte omfattas av direktåtkomst enligt 18 §.

I tredje stycket finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om av- skiljande såvitt avser personuppgifter som behandlas av annan myn- dighet men för vars behandling verket är personuppgiftsansvarig. Med annan myndighet avses här i praktiken Migrationsverket. Be- stämmelsen ger stöd för den personuppgiftsansvariga myndigheten att meddela närmare föreskrifter om avskiljande avseende de upp- gifter som behandlas i den egna verksamheten. Migrationsverket är enligt 9 § emellertid personuppgiftsansvarig myndighet även för utlandsmyndigheternas automatiserade behandling av personupp- gifter. Eftersom Migrationsverket inte är överordnat utlandsmyn- digheterna, krävs en uttrycklig bestämmelse om Migrationsverkets föreskriftsrätt. I utredningens förslag till en förordning med kom- pletterande föreskrifter rörande personuppgiftsbehandlingen finns bestämmelser härom i 11 §.

451

Författningskommentar

SOU 2015:73

Gallring

21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om gallring av känsliga personuppgifter och av per- sonuppgifter som har behandlats därför att offentliga biträden, tolkar, över- sättare och språkanalytiker kan vara olämpliga för framtida uppdrag.

Övervägandena finns i avsnitten 7.11.4 och 8.3.7. Paragrafen upplyser om regeringens möjlighet att meddela föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga biträden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag. Föreskrifter härom finns i 12 och 13 §§ i utredningens förslag till en ny utlänningsdataförord- ning.

Säkerhetsåtgärder

22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om säker- hetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyn- digheterna under Migrationsverkets personuppgiftsansvar.

Övervägandena finns i avsnitt 7.17. Paragrafen upplyser om rege- ringens möjlighet att meddela föreskifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets ansvar. Föreskriftsmöjligheten kan överlåtas till myndighet som regeringen bestämmer, i praktiken Migrations- verket. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns bestämmelser härom i 14 §.

452

SOU 2015:73

Författningskommentar

13.2Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

2 kap.

8 b § Migrationsverket får medges direktåtkomst till uppgifter som avses i 3 § 1–5 och 11 om uppgifterna behövs vid

1.handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),

2.handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3.kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd

av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Paragrafen är ny. Paragrafen har sin bakgrund i Migrationsverkets behov av uppgifter vid verkets handläggning av ärenden som rör uppe- hållstillstånd för arbete och arbetstillstånd. Övervägandena finns i avsnitt 9.3.

I första stycket regleras vilka uppgifter i beskattningsdatabasen som Migrationsverket får medges direktåtkomst till och under vilka förutsättningar direktåtkomst får förekomma. Uppgifterna ska be- hövas vid handläggning av sådana ärenden som anges i paragrafen.

I andra stycket finns en upplysning om att ytterligare bestämmel- ser om omfattningen av direktåtkomsten samt om behörighet och säkerhet meddelas av regeringen.

Utredningen föreslår att sekretessbrytande bestämmelser och bestämmelser som preciserar omfattningen av direktåtkomsten och som rör behörighet och säkerhet tas in i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.

453

Författningskommentar

SOU 2015:73

13.3Förslaget till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

2 kap.

27 a § Migrationsverket får medges direktåtkomst till uppgifter som avses i 5 § första stycket 3 om uppgifterna behövs vid

1.handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),

2.handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3.kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlännings-

lagen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Paragrafen är ny. Paragrafen har sin bakgrund i Migrationsverkets behov av uppgifter vid verkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd. Övervägandena finns i avsnitt 9.3.

I första stycket regleras vilka uppgifter i utsöknings- och indriv- ningsdatabasen som Migrationsverket får medges direktåtkomst till och under vilka förutsättningar direktåtkomst får förekomma. Upp- gifterna ska behövas vid handläggning av sådana ärenden som anges i paragrafen.

I andra stycket finns en upplysning om att ytterligare bestämmel- ser om omfattningen av direktåtkomsten samt om behörighet och säkerhet meddelas av regeringen.

Utredningen föreslår att sekretessbrytande bestämmelser och be- stämmelser som preciserar omfattningen av direktåtkomsten och som rör behörighet och säkerhet tas in i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.

454

SOU 2015:73

Författningskommentar

13.4Förslaget till lag om ändring av utlänningslagen (2005:716)

9 kap.

8 c § Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polis- man, en särskilt förordnad passkontrollant eller en tjänsteman vid Tull- verket, Kustbevakningen eller Migrationsverket ta hans eller hennes finger- avtryck för kontroll av identiteten och av viseringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), i den ursprungliga lydelsen.

Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med arti- kel 20 i VIS-förordningen.

När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.

Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör fingeravtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.

Enligt paragrafen är vissa personer vid in- eller utresekontroll skyl- diga att låta en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrations- verket ta hans eller hennes fingeravtryck för olika kontroller.

I fjärde stycket, som är nytt, regleras visst skadeståndsansvar. Över- vägandena finns i avsnitt 11.3. Regleringen innebär att bestämmel- serna om skadestånd i 48 § personuppgiftslagen (1998:204) ska tilläm- pas på motsvarande sätt om en myndighet som utfört kontroller enligt första eller andra stycket inte förstör fingeravtryck och bio- metriska data på sätt som föreskrivs i tredje stycket. Hänvisningen innebär att en person som lider skada och drabbas av en kränkning av den personliga integriteten därför att uppgifterna inte förstörs kan få skadestånd.

455

Författningskommentar

SOU 2015:73

17 kap.

4 § Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att ta del av sådana uppgifter som myndigheterna får medges direktåtkomst till enligt utlänningsdatalagen (0000:00).

Paragrafen är ny. Övervägandena finns i avsnitten 7.10.3, 7.15.2 och 10.3.

Paragrafen innehåller en uppgiftsskyldighet för Migrationsverket gentemot Polismyndigheten, Säkerhetspolisen och utlandsmyndig- heterna. Uppgiftsskyldigheten bryter den sekretess som kan gälla för uppgifterna hos Migrationsverket, se 10 kap. 28 § OSL. Genom paragrafen har Polismyndigheten, Säkerhetspolisen och utlands- myndigheterna rätt att ta del av sådana uppgifter som myndigheter- na får medges direktåtkomst till enligt 18 § utlänningsdatalagen (0000:00). Paragrafen innebär bland annat att Migrationsverket kan lämna fingeravtryck som verket har tagit till Polismyndigheten för registrering i verkets fingeravtrycksregister (B-filen). Fingeravtryck kan också lämnas till Polismyndigheten för kontroll mot verkets eget fingeravtrycksregister och Polismyndighetens fingeravtycksregister.

Frågan om Migrationsverkets och Polismyndighetens person- uppgiftsansvar behandlas närmare i kapitel 10.

13.5Förslaget till lag om ändring i socialförsäkringsbalken (2010:110)

114 kap.

1 § I detta kapitel finns allmänna bestämmelser i 25 §§. Vidare finns bestämmelser om

personuppgiftslagen och personuppgiftsansvar i 6 §,

ändamål för behandling av personuppgifter i 7–10 §§,

behandling av känsliga personuppgifter m.m. i 11–13 §§,

behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

tilldelning av behörighet i 17 §,

direktåtkomst i 18–23 a §§,

utlämnande på medium för automatisk behandling i 24–26 a §§,

sökbegrepp i 27 och 28 §§,

överföring av personuppgifter till tredjeland i 29 §,

information i 30 §,

456

SOU 2015:73

Författningskommentar

gallring i 31 §,

avgifter i 32 §,

rättelse och skadestånd i 33 §,

kontrollverksamhet i 34 §,

tystnadsplikt i 35 § och

överklagande i 36 §

Paragrafen utgör en innehållsförteckning till kapitlet, som reglerar behandling av personuppgifter i verksamhet som bland annat gäller förmåner enligt socialförsäkringsbalken. Övervägandena finns i av- snitt 9.3.

Sjätte strecksatsen i paragrafen har utökats med en hänvisning till en ny paragraf i kapitlet, 23 a §.

17 § Behörighet för åtkomst till socialförsäkringsdatabasen ska inom social- försäkringens administration tilldelas genom en särskild handling i enlig- het med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.

Behörighet för åtkomst till socialförsäkringsdatabasen och till person- uppgifter hos Migrationsverket ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.

Paragrafen reglerar tilldelning av behörighet. Övervägandena finns i avsnitt 9.3.

Första stycket är oförändrat. I andra stycket, som reglerar åtkomst- behörighet, har en ny begränsning vad gäller den enskilde tjänste- mannens åtkomst till personuppgifter införts. Ändringen innebär att behörigheten för åtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndighten ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter. Ändringen är föranledd av att Försäkringskassan och Pensionsmyndigheten får medges direktåtkomst till personuppgifter hos Migrationsverket i vissa fall, se 18 § utlänningsdatalagen (0000:00).

23 a § Migrationsverket får medges direktåtkomst till uppgifter i socialförsäk- ringsdatabasen om uppgifterna behövs vid

1.handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),

2.handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

457

Författningskommentar

SOU 2015:73

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlännings- lagen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om om- fattningen av direktåtkomsten samt om behörighet och säkerhet.

Paragrafen är ny. Paragrafen har sin bakgrund i Migrationsverkets behov av uppgifter vid verkets handläggning av ärenden som rör uppe- hållstillstånd för arbete och arbetstillstånd. Övervägandena finns i avsnitt 9.3.

I första stycket föreskrivs att Migrationsverket får medges direkt- åtkomst till uppgifter i socialförsäkringsdatabasen och under vilka förutsättningar direktåtkomst får förekomma. Uppgifterna ska be- hövas vid handläggning av sådana ärenden som anges i paragrafen.

I andra stycket finns en upplysning om att ytterligare bestämmel- ser om omfattningen av direktåtkomsten samt om behörighet och säkerhet meddelas av regeringen.

Utredningen föreslår att sekretessbrytande bestämmelser och bestämmelser som preciserar omfattningen av direktåtkomsten och som rör behörighet och säkerhet tas in i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens admi- nistration.

13.6Förslaget till lag om ändring i polisdatalagen (2010:361)

2 kap.

8 § Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyn- digheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatte- verket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellan- folklig organisation,

3.sådan verksamhet hos Polismyndigheten som avser handräcknings- uppdrag,

4.annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

458

SOU 2015:73

Författningskommentar

5.verksamhet hos Kriminalvården för att förebygga brott och upp- rätthålla säkerheten,

6.verksamhet hos Migrationsverket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11–17 §§ eller

7.en myndighets verksamhet

a)om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller

b)om informationen tillhandahålls inom ramen för myndighetsöverskri- dande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behand- las enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får till- handahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de

som anges i förstatredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen reglerar de s.k. sekundära ändamålen för behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet. Övervägandena finns i avsnitt 10.3.

I första stycket 6 har en ny bestämmelse införts som ger stöd för att Polismyndigheten får behandla personuppgifter för att tillhanda- hålla Migrationsverket information, som Polismyndigheten fått fram då myndigheten har jämfört fingeravtryck tagna av Migrationsverket mot Polismyndighetens fingeravtrycksregister. Den bestämmelsen som tidigare fanns i första stycket 6 har placerats i första stycket 7. I övrigt har endast redaktionella ändringar gjorts.

18 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakning- en och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalements- register enligt 4 kap. 11–17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Motsvarande gäller för

459

Författningskommentar

SOU 2015:73

Migrationsverket avseende personuppgifter som behandlas i fingeravtrycks- register enligt första stycket, om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.

Paragrafen innehåller en sekretessbrytande bestämmelse. Övervägan- dena finns i avsnitt 10.3.

Paragrafen har kompletterats med en andra mening som innebär att Polismyndigheten kan lämna ut uppgifter ur myndighetens finger- avtrycksregister till Migrationsverket trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § OSL. För att uppgifter ska få lämnas ut krävs att Migrationsverket behöver uppgifterna för att kon- trollera fingeravtryck som verket tagit.

460

Särskilt yttrande

av experten Christer Pettersson

Jag delar i huvudsak utredningens bedömningar. Detta särskilt mot utredningens förmåga att på ett mycket bra sätt omhänderta komp- lexa registerlagsfrågor gällande Migrationsverkets personuppgifts- behandling.

Jag har emellertid en annan uppfattning än utredningen när det gäller frågan om bestämmelsen gällande direktåtkomst. Min uppfatt- ning är att det av bestämmelsen om direktåtkomst borde framgå att part, dvs. sökande ska ingå i kretsen av berättigade till direkt- åtkomst gällande uppgifter som hänför sig till parten. Med part avses också partens ombud/biträde.

Det är i sig viktigt att en bestämmelse om direktåtkomst är ut- tömmande och därmed integritetsskyddande gällande vilka myn- digheter som ska beviljas direktåtkomst. Men det skulle bli en ytterst olycklig situation för arbetet med att öka tillgängligheten, förkorta handläggningstiden och förbättra partens möjlighet till partsinsyn ifall part inte skulle kunna ta del av ett antal uppgifter i egna ärenden. Rätten till partsinsyn talar för att part bör ingå i den krets som kan beviljas en direktåtkomst till uppgifter i det egna ärendet. Med detta följer ett ansvar för personuppgiftsansvarig, dvs. myndigheten att säkerställa att åtkomsten är säker genom en behovs- och riskanalys, informationsklassning, gallringsregler, autentiserings- lösningar och andra säkerhetsåtgärder.

Utgångspunkten är att säkerställa partens rätt till service och partsinsyn enligt förvaltningslagen (1986:223). Part behöver ofta få uppgifter från myndigheten, framför allt i fråga om handläggningen. Om part ges möjlighet att ha direktåtkomst till vissa uppgifter i egna ärenden kan tid sparas både för dem själva och för myndigheten. För enskilda parter skulle direktåtkomsten kunna leda till ökad

461

Särskilt yttrande

SOU 2015:73

tillgänglighet till myndigheten. En sådan utveckling är positiv och ligger i linje med en allmänna strävan att utveckla e-förvaltning. De ovan beskrivna intressena av effektivitet, tillgänglighet och insyn väger tungt, samtidigt som integritetsriskerna är begränsade om direkt- åtkomsten endast avser uppgifter i egna ärenden. Ovanstående har även delvis berörts inom ramen för Domstolsdatalags- och Infor- mationshanteringsutredningen.

Även om ovanstående fråga väcktes sent inom ramen för utred- ningens arbete är det i vart fall väsentligt att frågan blir omhänder- tagen inom ramen för det fortsatta lagstiftningsarbetet.

462

Bilaga 1

Kommittédirektiv 2014:76

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Beslut vid regeringssammanträde den 28 maj 2014

Sammanfattning

En särskild utredare ska utarbeta förslag till en lag om behand- lingen av personuppgifter i verksamhet enligt utlännings- och med- borgarskapslagstiftningen och anpassa författningsregleringen på området till nationella bestämmelser och internationella åtaganden.

Utredaren ska bl.a.

kartlägga nuvarande behandling och analysera framtida behov av att behandla personuppgifter enligt utlännings- och medborgar- skapslagstiftningen,

beakta enskildas behov av skydd för sin personliga integritet,

beakta behovet av en rättslig reglering som ger myndigheter möjlighet att hantera information på ett effektivt sätt,

analysera förutsättningarna för att i författning ge Migrations- verket en möjlighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advo- katbyråer, tolkar, översättare och språkanalytiker, och

analysera behovet av och förutsättningarna för ett effektivare informationsutbyte mellan Migrationsverket och vissa andra myn- digheter.

Uppdraget ska redovisas senast den 31 juli 2015.

463

Bilaga 1

SOU 2015:73

Skydd för den personliga integriteten

Gällande nationell rätt och internationella åtaganden

Grundläggande bestämmelser om skydd för den personliga integri- teten finns i regeringsformen (RF). Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket RF att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock enligt 2 kap. 20 § första stycket 2 RF under vissa förutsättningar göras i lag. I en övergångsbestämmelse anges att äldre föreskrifter som innebär betydande intrång i den person- liga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Grundlagsändringen medför bl.a. att viss person- uppgiftsbehandling som för närvarande regleras i förordning i fram- tiden måste regleras i lag.

I Europarådets konvention om skydd för enskilda vid automa- tisk databehandling av personuppgifter (dataskyddskonventionen) finns bestämmelser om automatisk databehandling av personupp- gifter. Konventionens bestämmelser träffar bl.a. asyl- och migrations- området. Konventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Konventionens innehåll kan ses som en precisering av skyddet för enskilda vid användning av automatisk databehandling enligt artikel 8 i Europeiska konventionen om skydd för de mänsk- liga rättigheterna och de grundläggande friheterna (Europakonven- tionen). En bestämmelse om respekt för privatlivet och familjelivet finns även i artikel 7 i Europeiska unionens stadga om de grundläg- gande rättigheterna. Av artikel 8 i stadgan följer vidare bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

I personuppgiftslagen (1998:204), förkortad PUL, finns allmänna bestämmelser till skydd för den enskildes personliga integritet vid behandling av personuppgifter. Med behandling avses t.ex. insam- ling, registrering och olika former av utlämnande av uppgifter. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter

464

SOU 2015:73

Bilaga 1

(dataskyddsdirektivet). Direktivet innehåller bestämmelser som preciserar och skärper de krav på regleringen som ställs i dataskydds- konventionen och gäller även det bl.a. på asyl- och migrations- området. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.

PUL är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde. I vissa verksamheter regleras behandling av personuppgifter i sär- skilda registerförfattningar. Dessa har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register inom den offentliga sektorn. Registerförfattningar reglerar myndigheternas behandling av personuppgifter främst i syfte att skydda enskildas personliga integritet. En utgångspunkt vid utarbetandet av register- författningar är att regleringen så långt som möjligt ska vara i över- ensstämmelse med personuppgiftslagen. En särlagstiftning i förhåll- ande till personuppgiftslagen bör begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen.

Särskilda regler för utlännings- och medborgarskapsområdet finns i förordningen (2001:720) om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen.

Översynen av EU:s dataskyddsreglering

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personupp- gifter. Kommissionen har bl.a. lämnat förslag till en ny förordning med en generell reglering av uppgiftsskyddet som ska ersätta data- skyddsdirektivet. Förhandlingarna om förslaget pågår inom EU. Det är i nuläget oklart hur lång tid det kan ta innan rättsakten antas slutligt av Europaparlamentet och rådet. Det är också oklart vilka effekter de nya reglerna kommer att få i Sverige. Om dataskydds- direktivet ersätts av en EU-förordning kommer dock åtminstone personuppgiftslagen att behöva upphävas eller lagens tillämpnings- område snävas in avsevärt. I vilken utsträckning det kommer att

465

Bilaga 1

SOU 2015:73

finnas utrymme att behålla en sektorspecifik registerlagstiftning och i vilken mån det blir möjligt att komplettera en eventuell EU- förordning med generella nationella normer är för närvarande svårt att förutse. I förhandlingarna förespråkar Sverige att regleringen ges formen av ett direktiv i stället för en förordning, men stödet för detta har visat sig vara svagt bland övriga medlemsstater. Mot den bakgrunden arbetar regeringen för att förordningen utformas på ett sätt som ger medlemsstaterna stor flexibilitet att precisera vill- koren för behandling av personuppgifter främst inom den offentliga sektorn. För en sådan inriktning finns det ett brett stöd också bland övriga medlemsstater.

Uppdraget

En lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Verksamhet enligt utlännings- och medborgarskapslagstiftningen bedrivs främst av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. I myndigheternas verksamhet enligt denna lagstiftning behandlas personuppgifter som ofta är av mycket inte- gritetskänslig natur. Dessutom omfattar verksamheten ett mycket stort antal registrerade personer. Redan dessa förhållanden indi- kerar att verksamheten kräver särregler i en registerförfattning. Mycket talar för att den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen efter den 31 december 2015 inte är förenlig med grundlagen. Det finns därför ett behov av en lag- reglering på området. En särskild utredare bör därför få i uppdrag att ta fram ett sådant förslag. I arbetet med utformningen av den nya lagen måste utredaren anlägga ett helhetsperspektiv och se till att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen passar väl in i personuppgiftslagens regelsystem. När det gäller dom- stolarnas behandling av personuppgifter måste beaktas det arbete som pågår med en domstolsdatalag. I departementspromemorian Domstolsdatalag (Ds 2013:10) föreslås en ny lagstiftning som bl.a. ska ge domstolarna och nämnderna möjlighet att behandla person- uppgifter på ett effektivt och ändamålsenligt sätt i sin rättskipande

466

SOU 2015:73

Bilaga 1

och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Promemo- rian har remitterats.

Utredaren ska mot denna bakgrund

noggrant kartlägga användningen av personuppgifter i all verk- samhet enligt utlännings- och medborgarskapslagstiftningen,

analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehand- ling som finns för att skapa förutsättningar för en effektiv verk- samhet,

identifiera de integritetsintressen och övriga intressen som kan beröras av uppgiftsbehandlingen och i samband med detta särskilt beakta enskildas behov av skydd för sin personliga integritet,

lämna förslag till en lagreglering av personuppgiftsbehandling på utlännings- och medborgarskapsområdet som är utformad så att den är förenlig med den kommande regleringen av domstolarnas personuppgiftsbehandling,

uppmärksamma frågor om bevarande och gallring samt behand- ling av personuppgifter för forsknings- och statistikändamål, och

i sitt arbete noga följa den fortsatta behandlingen inom EU av förslaget till ny dataskyddsreglering samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.

Regleringen ska möjliggöra moderna och ändamålsenliga it-system

Regeringens utgångspunkt är att verksamhet enligt utlännings- och medborgarskapslagstiftningen ska kunna bedrivas så effektivt som möjligt med bl.a. användning av moderna och ändamålsenliga it- system. Behandlingen av personuppgifter inom rättsområdet är till en betydande del av internationell karaktär. Överförande av upp- gifter till andra EU-länder eller till tredjeland är vanligt förekom- mande inom ramen för olika former av samarbete.

467

Bilaga 1

SOU 2015:73

Utredaren ska därför

se till att den reglering som föreslås ger möjlighet att utveckla moderna och ändamålsenliga it-system.

Relationen till bland annat grundlag och offentlighets- och sekretesslagen

Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndig- het på begäran av en annan myndighet lämna över uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra ärendets behöriga gång. Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 6 § förvaltningslagen (1986:223). Såsom bl.a. Integritetsskyddskommittén har uppmärksammat i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22), förekom- mer det emellertid numera att uttömmande ändamålsreglering leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt register- författningen (SOU 2007:22 s. 464 f.).

Utredaren ska därför

se till att föreslagen reglering inte innehåller några uttömmande ändamålsregleringar, och

även i övrigt se till att de författningsförslag som lämnas har- monierar med tryckfrihetsförordningen, offentlighets- och sekre- tesslagen samt Sveriges internationella åtaganden.

Registrering av uppgifter om offentliga biträden m.fl.

Migrationsverket har bl.a. till uppgift att förordna offentliga bi- träden i ärenden enligt utlänningslagen (2005:716). Till offentligt biträde får förordnas en advokat, en biträdande jurist på en advo- katbyrå eller någon annan som är lämplig för uppdraget. Advokat är den som, efter prövning av bl.a. lämplighet, har antagits som ledamot i Sveriges advokatsamfund. En biträdande jurist står under tillsyn av en advokat vid den advokatbyrå där han eller hon är an- ställd. I Utvärderingsutredningen (SOU 2008:65, Sekretess och offentliga biträden i utlänningsärenden) uppmärksammades att det

468

SOU 2015:73

Bilaga 1

förekommer offentliga biträden som inte är lämpliga för sina upp- drag. Vidare har Statskontoret i rapporten En ny modell för Migra- tionsverkets offentliga biträden (2013:30) angett att lämplighets- prövningarna i samband med Migrationsverkets förordnanden inte genomförs enhetligt. Migrationsverket har i en framställan till rege- ringen utryckt att verket behöver ha möjlighet att registrera kvali- tetsomdömen om biträdena för att kunna förordna lämpliga bi- träden som kan tillvarata sökandes rätt på bästa sätt. En sådan möj- lighet finns inte enligt nu gällande författning. Uppgifter som vid Migrationsverkets lämplighetsprövningar har ansetts betydelsefulla är t.ex. tillräckliga kunskaper om utlänningsrätt, processvana och personlig lämplighet. Uppgifter om personlig lämplighet är typiskt sett integritetskänsliga. Frågan om det ska vara möjligt att kunna registrera omdömen av den typen och hur en sådan reglering i så fall ska utformas kräver därför noggranna överväganden. Mot bak- grund av den lämplighetsprövning och den tillsyn som sker av advokater och biträdande justister anställda vid advokatbyråer finns det dock inte någon anledning att överväga någon registrering av den typen av uppgifter om de personerna. Migrationsverket har även framfört önskemål om att kunna behandla motsvarande uppgifter när det gäller tolkar, översättare och språkanalytiker. Detta för att skydda enskilda sökandes utsatta position och ställning samt upp- fylla Migrationsverkets ansvar enligt såväl asylprocedurdirektivet som allmänna rättsgrundsatser.

Utredaren ska därför

analysera förutsättningarna för att ge Migrationsverket en möj- lighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker,

för det fall utredaren anser att det finns förutsättningar för en sådan reglering när det gäller en eller flera av dessa grupper, utforma ett förslag till sådan reglering i den nya lag som föreslås och även undersöka förutsättningarna för att låta domstolar och andra myndigheter ta del av uppgifterna,

beakta såväl intresset av att Migrationsverket kan förordna eller anlita lämpliga offentliga biträden m.fl. som berörda parters inte- gritetsintressen, och

469

Bilaga 1

SOU 2015:73

uppmärksamma frågor om huruvida ett sådant register ska vara offentligt, huruvida den enskilde ska kunna överklaga en registre- ring, hur beslut om registrering av uppgifter ska fattas och när uppgifterna ska gallras.

Ett effektivare informationsutbyte

I departementspromemorian Åtgärder mot missbruk av reglerna för arbetskraftsinvandring (Ds 2013:57) föreslås bl.a. att Migra- tionsverket under löpande tillståndstid ska få möjlighet att utföra efterkontroller avseende beviljade arbetstillstånd. Det föreslås också bestämmelser om återkallelse av uppehållstillstånd som be- viljats för arbete om förutsättningarna för arbetstillståndet inte längre är uppfyllda eller det arbete som arbetstillståndet beviljats för inte påbörjats inom rimlig tid. För att Migrationsverkets hand- läggning av ärenden som rör uppehållstillstånd för arbete och arbets- tillstånd ska kunna ske snabbt och effektivt är det angeläget att Migrationsverket har tillgång till vissa uppgifter hos Skatteverket, Försäkringskassan och Kronofogdemyndigheten. I promemorian förslås därför bestämmelser som medger Migrationsverket direkt- åtkomst till uppgifter i Skatteverkets beskattningsdatabas, Krono- fogdemyndighetens utsöknings- och indrivningsdatabas samt Försäk- ringskassans och Pensionsmyndighetens socialförsäkringsdatabas.

Datainspektionen anför i sitt remissvar över promemorian att det kan innebära ett betydande intrång i de registrerades personliga integritet om en myndighet, för dess särskilda verksamhet, ges direktåtkomst till en samling av personuppgifter som en annan myndighet samlat in om enskilda personer för helt andra specifika verksamhetsändamål. Vidare anförs att de föreslagna sekretessbryt- ande bestämmelserna är otydliga och inkonsekventa samt att det behövs tekniska spärrar som uppfyller kravet på integritetsskyddande begränsningar av Migrationsverkets direktåtkomst. Enligt Data- inspektionen behövs det också ytterligare analys av vilka uppgifter som är nödvändiga för Migrationsverket att inhämta och vilka ändringar som behövs i den registerförfattning som reglerar Migra- tionsverkets behandling av personuppgifter. Försäkringskassan fram- för i sitt remissvar att utformningen av den sekretessbrytande be- stämmelsen som rör Försäkringskassans socialförsäkringsdatabas

470

SOU 2015:73

Bilaga 1

inte bryter sekretessen på ett sådant sätt att den kan läggas till grund för direktåtkomst. I en lagrådsremiss beslutad den 10 april 2014 lämnas bl.a. förslag som innebär att den typ av efterkontroller som föreslogs i promemorian införs. Mot bakgrund av remisskritiken innehåller lagrådsremissen inte promemorians förslag om direkt- åtkomst. I den delen bedömer regeringen att det behövs ytterligare analys.

Utredaren ska mot denna bakgrund

analysera uppgiftsbehovet hos Migrationsverket när det gäller arbetet med handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd,

analysera förutsättningarna för att ge Migrationsverket direkt- åtkomst till dessa uppgifter och, om analysen ger stöd för att sådana förutsättningar finns, ta fram förslag till sådana bestäm- melser,

om utredaren gör bedömningen att bestämmelser om direktåt- komst inte går att motivera, föreslå bestämmelser som möjliggör någon annan form av elektroniskt utlämnande som tillgodoser önskvärda krav på effektivitet och integritet för den enskilde,

utreda om det finns behov av och bör införas särskilda sekre- tessbrytande bestämmelser som gör att Migrationsverket kan få tillgång till efterfrågade uppgifter och i så fall ge förslag till hur de bör utformas, och

utreda vilka tekniska eller andra begränsningar som måste finnas för att inte överskottsinformation ska röjas för Migrationsverket.

Bestämmelser om skadeståndsskyldighet efter kontroll av Schengenviseringar

Av Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (gräns- kodexen) framgår att en utlänning som har en Schengenvisering är skyldig att låta gränskontrolltjänstemän ta hans eller hennes finger- avtryck vid in- eller utresa för kontroll av identiteten och av vise- ringens äkthet.

471

Bilaga 1

SOU 2015:73

I en departementspromemoria som behandlar gränskodexen (EU:s gränskodex, Ds 2011:28) föreslås att det i utlänningslagen införs bestämmelser som anger att när en kontroll har genomförts ska de fingeravtryck och biometriska data som har tagits för kon- trollen omedelbart förstöras. Datainspektionen framhåller i sitt remissvar över promemorian att det inte föreslås någon särskild bestämmelse om skadeståndsskyldighet för det fall uppgifter skulle behandlas i strid med förstöringsskyldigheten. Datainspektionen anger vidare att det kan behöva övervägas närmare om någon av de befintliga skadeståndsbestämmelserna i personuppgiftslagen eller annan lagstiftning blir tillämplig eller om det finns behov av en sär- skild sådan bestämmelse.

Utredaren ska därför

överväga behovet av särskilda bestämmelser om skadestånd för det fall fingeravtryck och biometriska data som tagits vid in- eller utresekontroll för kontroll av identitet och av en Schengen- viserings äkthet inte omedelbart förstörs efter att kontrollen har genomförts i enlighet med de bestämmelser som föreslås i pro- memorian EU:s gränskodex, och

för det fall utredaren anser att ett sådant behov finns, utforma förslag till sådana bestämmelser.

Genomförande och redovisning av uppdraget

Utredaren ska samråda med Informationshanteringsutredningen (Ju 2011:11), Migrationsverket, Datainspektionen, Försäkringskassan, Pensionsmyndigheten och polisen samt, i den utsträckning som utredaren finner det behövligt, med kommittéer och utredare med närliggande frågeställningar.

I uppdraget ingår att lämna fullständiga författningsförslag ut- ifrån de överväganden som görs. Utredaren är oförhindrad att ta upp även andra frågor som har samband med de frågeställningar som ska utredas.

472

SOU 2015:73

Bilaga 1

Utredaren ska bedöma de kostnader och konsekvenser som för- slaget kan komma att medföra. Om förslaget förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

Uppdraget ska redovisas senast den 31 juli 2015.

(Justitiedepartementet)

473

Statens offentliga utredningar 2015

Kronologisk förteckning

1.Deltagande med väpnad styrka

iutbildning utomlands. En utökad beslutsbefogenhet för regeringen. Fö.

2.Värdepappersmarknaden

MiFID II och MiFIR. + Bilagor. Fi.

3.Med fokus på kärnuppgifterna. En angelägen anpassning av Polismyndig- hetens uppgifter på djurområdet. Ju.

4.Ett svenskt tonnageskattesystem. Fi.

5.En ny svensk tullagstiftning. Fi.

6.Mer gemensamma tobaksregler.

Ett genomförande av tobaksprodukt- direktivet. S.

7.Krav på privata aktörer i välfärden. Fi.

8.En översyn av årsredovisningslagarna. Ju.

9.En modern reglering

av järnvägstransporter. Ju.

10.Gränser i havet. UD.

11.Kunskapsläget på kärnavfallsområdet 2015. Kontroll, dokumentation och finansiering för ökad säkerhet. M.

12.Överprövning av upphandlingsmål

m.m.Fi.

13.Tillämpningsdirektivet till utstationeringsdirektivet – Del I. A.

14.Sedd, hörd och respekterad. Ett ändamålsenligt klagomålssystem

ihälso- och sjukvården. S.

15.Attraktiv, innovativ och hållbar – strategi för en konkurrenskraftig jordbruks- och trädgårdsnäring. N L.

16.Ökat värdeskapande ur immateriella tillgångar. N.

17.För kvalitet – Med gemensamt ansvar. S.

18.Lösöreköp och registerpant. Ju.

19.En ny ordning för redovisningstillsyn. Fi.

20.Trygg och effektiv utskrivning från sluten vård. S.

21.Mer trygghet och bättre försäkring. Del 1 + 2. S.

22. Rektorn och styrkedjan. U.

23.Informations- och cybersäkerhet

iSverige. Strategi och åtgärder för säker information i staten. Ju Fö.

24.En kommunallag för framtiden. Del A + B . Fi.

25.En ny säkerhetsskyddslag. Ju.

26.Begravningsclearing. Ku.

27.Skatt på dubbdäcksanvändning i tätort? Fi.

28.Gör Sverige i framtiden – digital kompetens. N.

29.En yrkesinriktning inom teknik­ programmet. U.

30.Kemikalieskatt. Skatt på vissa konsu- mentvaror som innehåller kemikalier. Fi.

31.Datalagring och integritet. Ju.

32.Nästa fas i e-hälsoarbetet. S.

33.Uppgiftslämnarservice för företagen. N.

34.Ett effektivare främjandeförbud i lotterilagen. Fi.

35.Service i glesbygd. N.

36.Systematiska jämförelser. För lärande

istaten. S.

37.Översyn av lagen om skiljeförfarande. Ju.

38.Tillämpningsdirektivet till utstationeringsdirektivet – Del II. A.

39.Myndighetsdatalag. Ju.

40.Stärkt konsumentskydd på bolånemarknaden. Ju.

41.Ny patentlag. Ju.

42.Koll på anläggningen. N.

43.Vägar till ett effektivare miljöarbete. M.

44.Arbetslöhet och ekonomiskt bistånd. S

45.SÖK – statsbidrag för ökad kvalitet. U.

46. Skapa tilltro. Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen. S.

47.Kollektiv rättighetsförvaltning på upphovsrättsområdet. Ju.

48.Bostadsmarknaden och den ekono- miska utvecklingen. Fi.

49.Nya regler för revisorer och revision. Ju.

50.Hela lönen, hela tiden. Utmaningar för ett jämställt arbetsliv. A.

51.Klimatförändringar och dricksvatten- försörjning. N.

52.Rapport från Bergwallkommissionen. Ju.

53.The Welfare State and Economic Performance. Fi.

54.Europeisk kvarstad på bankmedel. Ju.

55.Nationell strategi mot mäns våld mot kvinnor och hedersrelaterat våld och förtryck. U.

56.Får vi det bättre?

Om mått på livskvalitet. Fi.

57.Tillsyn över polisen och Kriminalvården. Ju.

58.EU och kommunernas bostadspolitik. N.

59.En ny regional planering – ökad samordning och bättre bostads- försörjning. N.

60.Delrapport från Sverigeförhandlingen. Ett författningsförslag om värdeåterföring. N.

61.Ett stärkt konsumentskydd vid telefon- försäljning. Ju.

62.UCITS V. En uppdaterad fond- lagstiftning. Fi.

63.Straffrättsliga åtgärder mot terrorismresor. Ju.

64.En fondstruktur för innovation och tillväxt. N.

65.Om Sverige i framtiden – en antologi om digitaliseringens möjligheter. N.

66. En förvaltning som håller ihop. N.

67.För att brott inte ska löna sig. Ju.

68.Tjänstepension – tryggandelagen och skattereglerna. Fi.

69.Ökad trygghet för hotade och förföljda personer. Fi.

70.Högre utbildning under tjugo år. U.

71.Barns och ungas rätt vid tvångsvård. Förslag till ny LVU. S.

72.Skärpt exportkontroll av krigsmateriel

– DEL 1 + 2, bilagor. UD.

73.Personuppgiftsbehandling på utlän- nings-och medborgarskapsområdet. Ju.

Statens offentliga utredningar 2015

Systematisk förteckning

Arbetsmarknadsdepartementet

Tillämpningsdirektivet till utstationeringsdirektivet – Del I. [13]

Tillämpningsdirektivet till utstationeringsdirektivet – Del II. [38]

Hela lönen, hela tiden. Utmaningar för ett jämställt arbetsliv. [50]

Finansdepartementet

Värdepappersmarknaden

MiFID II och MiFIR. + Bilagor [2] Ett svenskt tonnageskattesystem. [4] En ny svensk tullagstiftning. [5]

Krav på privata aktörer i välfärden. [7]

Överprövning av upphandlingsmål m.m. [12]

En ny ordning för redovisningstillsyn. [19]

En kommunallag för framtiden. Del A + B. [24]

Skatt på dubbdäcksanvändning i tätort? [27]

Kemikalieskatt. Skatt på vissa konsu- mentvaror som innehåller kemikalier. [30]

Ett effektivare främjandeförbud i lotterilagen. [34]

Bostadsmarknaden och den ekonomiska utvecklingen. [48]

The Welfare State and Economic Performance. [53]

Får vi det bättre?

Om mått på livskvalitet. [56]

UCITS V. En uppdaterad fondlagstiftning. [62]

Tjänstepension – tryggandelagen och skattereglerna. [68]

Ökad trygghet för hotade och förföljda personer. [69]

Försvarsdepartementet

Deltagande med väpnad styrka

i utbildning utomlands. En utökad beslutsbefogenhet för regeringen. [1]

Justitiedepartementet

Med fokus på kärnuppgifterna. En ange- lägen anpassning av Polismyndig- hetens uppgifter på djurområdet. [3]

En översyn av årsredovisningslagarna. [8]

En modern reglering

av järnvägstransporter. [9] Lösöreköp och registerpant. [18]

Informations- och cybersäkerhet

i Sverige. Strategi och åtgärder för säker information i staten. [23]

En ny säkerhetsskyddslag. [25] Datalagring och integritet. [31]

Översyn av lagen om skiljeförfarande. [37] Myndighetsdatalag. [39]

Stärkt konsumentskydd på bolånemarknaden. [40]

Ny patentlag. [41]

Kollektiv rättighetsförvaltning på upphovsrättsområdet. [47]

Nya regler för revisorer och revision. [49] Rapport från Bergwallkommissionen. [52] Europeisk kvarstad på bankmedel. [54]

Tillsyn över polisen och Kriminalvården. [57]

Ett stärkt konsumentskydd vid telefonförsäljning. [61]

Straffrättsliga åtgärder mot terrorismresor. [63]

För att brott inte ska löna sig. [67]

Personuppgiftsbehandling på utlännings- och medborgarskapsområdet. [73]

Kulturdepartementet

Begravningsclearing. [26]

Miljö- och energidepartementet

Kunskapsläget på kärnavfallsområdet 2015. Kontroll, dokumentation och finansie- ring för ökad säkerhet. [11]

Vägar till ett effektivare miljöarbete. [43]

Näringsdepartementet

Attraktiv, innovativ och hållbar – strategi för en konkurrenskraftig jordbruks- och trädgårdsnäring. [15]

Ökat värdeskapande ur immateriella tillgångar. [16]

Gör Sverige i framtiden – digital kompetens. [28]

Uppgiftslämnarservice för företagen. [33] Service i glesbygd. [35]

Koll på anläggningen. [42]

Klimatförändringar och dricksvatten- försörjning. [51]

EU och kommunernas bostadspolitik. [58]

En ny regional planering – ökad samordning och bättre bostads- försörjning. [59]

Delrapport från Sverigeförhandlingen. Ett författningsförslag om värdeåterföring. [60]

En fondstruktur för innovation och tillväxt. [64]

Om Sverige i framtiden – en antologi om digitaliseringens möjligheter. [65]

En förvaltning som håller ihop. [66]

Socialdepartementet

Mer gemensamma tobaksregler. Ett genomförande av tobaks- produktdirektivet. [6]

Sedd, hörd och respekterad. Ett ändamålsenligt klagomålssystem i hälso- och sjukvården. [14]

För kvalitet – Med gemensamt ansvar. [17]

Trygg och effektiv utskrivning från sluten vård. [20]

Mer trygghet och bättre försäkring. Del 1 + 2. [21]

Nästa fas i e-hälsoarbetet. [32]

Systematiska jämförelser. För lärande i staten. [36]

Arbetslöhet och ekonomiskt bistånd. [44]

Skapa tilltro. Generell tillsyn,

enskildas klagomål och det allmänna ombudet inom socialförsäkringen. [46]

Nationell strategi mot mäns våld mot kvinnor och hedersrelaterat våld och förtryck. [55]

Barns och ungas rätt vid tvångsvård. Förslag till ny LVU. [71]

Utbildningsdepartementet

Rektorn och styrkedjan. [22]

En yrkesinriktning inom teknik­ programmet. [29]

SÖK – statsbidrag för ökad kvalitet. [45] Högre utbildning under tjugo år. [70]

Utrikesdepartementet

Gränser i havet. [10]

Skärpt exportkontroll av krigsmateriel

– DEL 1 + 2, bilagor. [72]