sou 2015 73

Innehåll

Förkortningar.....................................................................		17
Sammanfattning ................................................................		19
Summary ..........................................................................		29
1	Författningsförslag.....................................................	41
1.1	Förslag till utlänningsdatalag .................................................	41

1.2Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets

beskattningsverksamhet .........................................................

1.3Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens

verksamhet...............................................................................

1.4Förslag till lag om ändring av utlänningslagen

(2005:716)................................................................................

1.5Förslag till lag om ändring i socialförsäkringsbalken

	(2010:110)................................................................................	53
1.6	Förslag till lag om ändring i polisdatalagen (2010:361)........	55
1.7	Förslag till utlänningsdataförordning....................................	58
1.8	Förslag till förordning om ändring i
	folkbokföringsförordning (1991:749) ...................................	62

1.9Förslag till förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets

beskattningsverksamhet .........................................................

Innehåll

SOU 2015:73

1.10 Förslag till förordning om ändring i förordningen
(2001:590) om behandling av uppgifter i
Kronofogdemyndighetens verksamhet.................................	66

1.11Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom

	socialförsäkringens administration........................................		68
1.12	Förslag till förordning om ändring i förordningen
	(2009:284) om identitetskort för folkbokförda i Sverige ....		74
2	Utredningens uppdrag och arbete................................		77
2.1	Uppdraget ...............................................................................		77
2.2	Utredningens arbete...............................................................		78
2.3	Betänkandets disposition .......................................................		78
EN NY UTLÄNNINGSDATALAG
3	Gällande rätt och internationella överenskommelser ......		83
3.1	Inledning .................................................................................		83
3.2	Regeringsformen ....................................................................		83
3.3	Internationella konventioner m.m. .......................................		84
	3.3.1	FN:s allmänna förklaring om de mänskliga
		rättigheterna m.m....................................................	84
	3.3.2	Europakonventionen ..............................................	86
	3.3.3	Europarådets dataskyddskonvention.....................	87
	3.3.4	OECD:s riktlinjer...................................................	88

3.3.5Europeiska unionens stadga om de

		grundläggande rättigheterna...................................	88
3.4	Dataskyddsdirektivet .............................................................		90
3.5	Personuppgiftslagen ...............................................................		93
	3.5.1	Några viktiga begrepp.............................................	93
	3.5.2	Det territoriella tillämpningsområdet....................	96
	3.5.3	Behandling av uppgifter som omfattas av lagen....	96
	3.5.4	Undantag från personuppgiftslagen.......................	97
	3.5.5	Krav på behandlingen av personuppgifter ...........	100

SOU 2015:73		Innehåll
3.5.6	Tillåten behandling av personuppgifter................	101

3.5.7Förbud mot behandling av känsliga

personuppgifter .....................................................

102

3.5.8Undantag från förbudet mot behandling av

	känsliga personuppgifter.......................................	103
3.5.9	Särskilt om begreppet ras......................................	104

3.5.10Behandling av personuppgifter om

		lagöverträdelser m.m..............................................	105
	3.5.11	Behandling av uppgifter om personnummer .......	105
	3.5.12	Rätt till information ..............................................	105
	3.5.13	Rättelse...................................................................	106
	3.5.14	Säkerhet vid behandling ........................................	107
	3.5.15	Överföring av uppgifter till tredjeland.................	107
	3.5.16	Anmälan till datainspektionen..............................	108
	3.5.17	Personuppgiftsombud...........................................	109
	3.5.18	Datainspektionens befogenheter..........................	109
	3.5.19	Skadestånd och straff ............................................	110
3.6	Särskilda registerförfattningar..............................................		110
3.7	Utlänningsdataförordningen................................................		111
	3.7.1	Tillämpningsområde..............................................	111
	3.7.2	Personuppgiftsansvar ............................................	112
	3.7.3	Verksamhetsregister..............................................	112
	3.7.4	Direktåtkomst .......................................................	113
	3.7.5	Sökbegrepp.............................................................	115
	3.7.6	Rättsfallsregister ....................................................	115
	3.7.7	Fingeravtrycksregister...........................................	115
	3.7.8	Landinformationsregister......................................	116
	3.7.9	Rättelse och skadestånd ........................................	116
	3.7.10	Överklagande.........................................................	116
4	Verksamhet enligt utlännings- och
	medborgarskapslagstiftningen...................................		117
4.1	Inledning................................................................................		117
4.2	Generellt om de handläggande myndigheterna...................		117
4.3	Verksamhet enligt utlänningslagen......................................		119
	4.3.1	Bakgrund................................................................	119

Innehåll

SOU 2015:73

4.3.2Internationella åtaganden och

	överenskommelser ................................................	120
4.3.3	EES och EU...........................................................	122
4.3.4	Utlänningslagen ....................................................	129

4.3.5Villkor för att en utlänning ska få resa in,

vistas och arbeta i Sverige .....................................

130

4.3.6Handläggande myndigheter enligt

	utlänningslagen......................................................	137
4.4 Verksamhet enligt medborgarskapslagen............................		144
4.4.1	Medborgarskapslagen ...........................................	144

4.4.2Handläggande myndigheter enligt

medborgarskapslagen............................................

146

4.5Verksamhet enligt nuvarande utlänningsdataförordning

m.m........................................................................................

147

4.5.1Verksamhet som gäller utlänningars vistelse i

och avlägsnande från landet..................................

148

4.5.2Verksamhet som gäller utlänningars rätt att

arbeta i Sverige.......................................................

150

4.5.3Mottagande av asylsökande och vissa andra

utlänningar och verksamhet som rör bistånd
och stöd till utlänningar som enligt lag eller
annan författning handläggs av
Migrationsverket ...................................................	150

4.5.4Verksamhet som avser förvärv, förlust eller

bibehållande av svenskt medborgarskap..............

153

4.5.5Verksamhet som gäller ersättning för och

	bosättning av utlänningar som enligt lag eller
	annan författning handläggs av
	Migrationsverket ...................................................	154
4.6 Övrig verksamhet .................................................................		158
4.6.1	Migrationsverket ...................................................	158
4.6.2	Arbetsförmedlingen och Försäkringskassan.......	159
4.6.3	Kommuner.............................................................	162
4.6.4	Landsting ...............................................................	163
4.6.5	Centrala studiestödsnämnden..............................	164
4.6.6	Övrigt ....................................................................	164

SOU 2015:73 Innehåll

5	Behandling av personuppgifter inom
	verksamhetsområdet ................................................		167
5.1	Inledning................................................................................		167
5.2	Migrationsverket...................................................................		167
	5.2.1	Centrala utlänningsdatabasen ...............................	167
	5.2.2	Stamm.....................................................................	168
	5.2.3	Wilma och W2 .......................................................	169
	5.2.4	Vision .....................................................................	169
	5.2.5	SKAPA...................................................................	169
	5.2.6	KUB .......................................................................	170
	5.2.7	LMA-kortsystemet................................................	170
	5.2.8	Elektronisk dokumenthantering ..........................	170
	5.2.9	Elis och Eskil..........................................................	170
	5.2.10	Lifos........................................................................	171
	5.2.11	VIS..........................................................................	172
	5.2.12	Register över fingeravtryck och fotografier.........	172
	5.2.13	Avställdadatabasen och e-arkivet..........................	173
5.3	Domstolarna..........................................................................		173
5.4	Polismyndigheten och Säkerhetspolisen .............................		174
	5.4.1	Polisens ärendehanteringssystem .........................	175
	5.4.2	Personefterlysnings- och U-boksregistret...........	175
	5.4.3	Schengens informationssystem och SIRENE .....	175
	5.4.4	Fingeravtrycks- och signalementsregister ...........	177
5.5	Utlandsmyndigheterna.........................................................		178

6	Allmänna utgångspunkter vid utformandet av en
	utlänningsdatalag....................................................		179
6.1	Inledning................................................................................		179
6.2 Krav på lagreglering enligt regeringsformen .......................			180
	6.2.1	Regeringsformen ...................................................	180
	6.2.2	Enskildas personliga förhållanden ........................	180
	6.2.3	Samtycke ................................................................	181
	6.2.4	Övervakning och kartläggning .............................	181
	6.2.5	Betydande integritetsintrång ................................	182
	6.2.6	Vilken reglering omfattas?....................................	184

Innehåll

SOU 2015:73

	6.2.7	Behov av en lagreglering .......................................	185
6.3	Lagens syfte ..........................................................................		185
6.4	Lagens utformning ...............................................................		186
	6.4.1	Ramlag ...................................................................	186
	6.4.2	Behandling av personuppgifter i register.............	187
	6.4.3	Tidigare lagstiftningsarbeten................................	189
	6.4.4	Gemensamt tillgängliga uppgifter........................	193
	6.4.5	Utredningens överväganden.................................	195
6.5	EU-rättsliga utgångspunkter ...............................................		200
6.6	Schengens informationssystem ...........................................		203
6.7	En ny domstolsdatalag .........................................................		204
6.8	EU:s uppgiftsskyddsförordning..........................................		204
6.9	Informationshanteringsutredningen ...................................		205

7En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och

	medborgarskapslagstiftningen ...................................		207
7.1	Lagens namn .........................................................................		207
7.2	Lagens syfte ..........................................................................		208
7.3	Lagens tillämpningsområde .................................................		210
	7.3.1	Inledning................................................................	210
	7.3.2	Ska myndigheterna anges i lagen? ........................	211
	7.3.3	Vilka myndigheters behandling av
		personuppgifter ska regleras av lagen?.................	211

7.3.4Vilken personuppgiftsbehandling ska lagen

		tillämpas på? ..........................................................	218
	7.3.5	Vilken personuppgiftsbehandling faller
		utanför lagens tillämpningsområde?....................	232
7.4	Undantag från lagens tillämpningsområde .........................		233
7.5	Den registrerades inställning ...............................................		237
7.6	Förhållandet till personuppgiftslagen .................................		238

SOU 2015:73		Innehåll
7.7 Tillämpliga bestämmelser i personuppgiftslagen ................		240
7.7.1	Definitioner ...........................................................	241
7.7.2	Förhållande till offentlighetsprincipen ................	241

7.7.3Grundläggande krav på behandlingen av

	personuppgifter .....................................................	243
7.7.4	Behandling av personnummer ..............................	245
7.7.5	Information till den registrerade ..........................	246
7.7.6	Rättelse...................................................................	247
7.7.7	Säkerhet vid behandlingen ....................................	248
7.7.8	Överföring av personuppgifter till tredjeland .....	249

7.7.9Anmälningsskyldighet och

		personuppgiftsombud ...........................................	253
	7.7.10	Upplysningar till allmänheten ..............................	254
	7.7.11	Tillsynsmyndighetens befogenheter ....................	255
	7.7.12	Skadestånd och straff ............................................	256
	7.7.13	Överklagande .........................................................	257
7.8	Personuppgiftsansvar............................................................		257
	7.8.1	Allmänt om personuppgiftsansvar .......................	257
	7.8.2	Utredningens överväganden .................................	258
7.9	Ändamål	.................................................................................	260
	7.9.1 .............................................	Allmänt om ändamål	260
	7.9.2 ...........................	Primära och sekundära ändamål	261
	7.9.3 .................................	Utredningens överväganden	262
7.10	Migrationsverkets register över fingeravtryck och
	fotografier..............................................................................		277
	7.10.1 .............	Allmänt om fingeravtrycksregistret m.m	277
	7.10.2 ..................	Särskilt om jämförelser av fotografier	282
	7.10.3 .................................	Utredningens överväganden	284
7.11	Personuppgifter .....................................som får behandlas		288

7.11.1Allmänt om tillåten behandling av

	personuppgifter .....................................................	288
7.11.2	Utredningens överväganden .................................	289
7.11.3 Särskilt om känsliga personuppgifter ...................		291
7.11.4	Utredningens överväganden .................................	292
7.12 Tillgången till personuppgifter.............................................		296
7.12.1	Allmänt om behörighetsbegränsningar................	296

Innehåll

SOU 2015:73

	7.12.2	Utredningens överväganden.................................	297
7.13	Sökbegränsningar .................................................................		298
	7.13.1	Allmänt om sökbegränsningar .............................	298
	7.13.2	Utredningens överväganden.................................	299
7.14	Annat elektroniskt utlämnande än genom
	direktåtkomst........................................................................		301

7.14.1Allmänt om annat elektroniskt utlämnande än

		genom direktåtkomst............................................	301
	7.14.2	Utredningens överväganden.................................	302
7.15	Direktåtkomst ......................................................................		304
	7.15.1	Allmänt om direktåtkomst...................................	304
	7.15.2	Utredningens överväganden.................................	308
7.16	Bevarande och gallring m.m.................................................		320
	7.16.1 Allmänt om bevarande och gallring .....................		320
	7.16.2	Utredningens överväganden.................................	323
7.17	Ytterligare föreskrifter .........................................................		329
7.18	Ikraftträdande och övergångsbestämmelser .......................		330
NÅGRA SÄRSKILDA FRÅGESTÄLLNINGAR
8	Registrering av kvalitetsomdömen..............................		335
8.1	Inledning ...............................................................................		335

8.2Allmänt om Migrationsverkets förordnande av offentliga biträden, tolkar, översättare och

språkanalytiker......................................................................		336
8.2.1	Den rättsliga regleringen m.m..............................	336

8.2.2Migrationsverkets uppfattning om behovet att

	kunna registrera kvalitetsomdömen.....................	345
8.3 Utredningens överväganden ................................................		349
8.3.1	Inledning................................................................	349
8.3.2	Problemens omfattning och allvar .......................	351
8.3.3	Alternativa sätt till personregistreringar..............	352
8.3.4	Förväntad nytta av avvikelseregistreringar..........	355
8.3.5	Integritetsaspekter m.m........................................	356

SOU 2015:73 Innehåll

	8.3.6	Sammanfattande slutsatser....................................	357
	8.3.7	Behov av författningsreglering m.m.....................	358
9	Ett effektivare informationsutbyte vid handläggning
	av uppehållstillstånd för arbete och arbetstillstånd .....		361
9.1	Inledning................................................................................		361

9.2Allmänt om Migrationsverkets handläggning av

uppehållstillstånd för arbete och arbetstillstånd .................		363
9.2.1	Den rättsliga regleringen för handläggningen .....	363

9.2.2Migrationsverkets uppfattning om behovet av

	direktåtkomst till vissa personuppgifter ..............	366
9.2.3	Särskilt om tillämpliga sekretessbestämmelser....	376

9.2.4Personuppgiftsbehandlingen hos berörda

	myndigheter...........................................................	378
9.2.5	Sekretessbrytande bestämmelser ..........................	378
9.3 Utredningens överväganden.................................................		379

9.3.1Migrationsverkets uppgiftsbehov vid handläggning av ärenden som rör uppehållstillstånd för arbete och

arbetstillstånd.........................................................

380

9.3.2Förutsättningar för att ge Migrationsverket

direktåtkomst till efterfrågade uppgifter finns.... 382

9.3.3Utformningen av bestämmelser om

		direktåtkomst m.m................................................	388
	9.3.4	Sekretessbrytande bestämmelser ..........................	390
	9.3.5	Slutsats ...................................................................	391
10	Migrationsverkets rätt att ta del av uppgifter från
	Polismyndighetens fingeravtrycksregister ...................		393
10.1	Inledning................................................................................		393
10.2	Allmänt om Migrationsverkets kontroller av
	fingeravtryck .........................................................................		394
	10.2.1	Den rättsliga regleringen.......................................	394

10.2.2Polismyndighetens och Migrationsverkets uppfattning om behovet av en kompletterande

reglering .................................................................

398

Innehåll

SOU 2015:73

10.3 Utredningens överväganden ................................................	400
10.3.1 Inledning................................................................	401

10.3.2Migrationsverkets behov av att kontrollera fingeravtryck med hjälp av Polismyndighetens

fingeravtrycksregister m.m...................................

401

10.3.3Alternativ till kontroller mot

		Polismyndighetens fingeravtrycksregister	.......... 402
	10.3.4	Integritetsaspekter m.m........................................	403
	10.3.5	Sammanfattande slutsats.......................................	405
	10.3.6 Behov av författningsreglering m.m. ...................		405
11	Skadeståndsskyldighet efter kontroller av
	Schengenviseringar..................................................		409
11.1	Inledning ...............................................................................		409
11.2	Allmänt om kontroller av Schengenviseringar m.m. .............		410

11.2.1Fingeravtryckskontroller enligt kodexen om

		Schengengränserna och utlänningslagen	............. 410
	11.2.2	Skadeståndsskyldighet vid olaglig
		personuppgiftsbehandling ....................................	412
11.3	Utredningens överväganden ................................................		413
	11.3.1	Inledning................................................................	414
	11.3.2 Behovet av särskilda bestämmelser om
		skadestånd m.m.....................................................	414
12	Konsekvenser ..........................................................		419
12.1	Allmänt om konsekvensanalyser .........................................		419
12.2	Utredningens överväganden ................................................		420
	12.2.1 Förslaget till utlänningsdatalag m.m....................		420
	12.2.2	De särskilda frågorna ............................................	422
13	Författningskommentar ............................................		425
13.1	Förslaget till utlänningsdatalag............................................		425

13.2Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets

beskattningsverksamhet.......................................................

453

SOU 2015:73 Innehåll

13.3	Förslaget till lag om ändring i lagen (2001:184) om
	behandling av uppgifter i Kronofogdemyndighetens
	verksamhet.............................................................................	454
13.4	Förslaget till lag om ändring av utlänningslagen
	(2005:716)..............................................................................	455
13.5	Förslaget till lag om ändring i socialförsäkringsbalken
	(2010:110)..............................................................................	456
13.6	Förslaget till lag om ändring i polisdatalagen (2010:361)...	458
Särskilt yttrande ..............................................................		461
Bilaga
1	Kommittédirektiv 2014:76 ...................................................	463

Förkortningar

AFIS	automatiserat fingeravtrycksidentifieringssystem
CUD	centrala utlänningsdatabasen
Dnr	diarienummer
Ds	Departementsserien
EU	Europeiska unionen
EES	Europeiska ekonomiska samarbetsområdet
HBTQ	homosexuella, bisexuella, transpersoner och queer
JO	Riksdagens ombudsmän
OSL	offentlighets- och sekretesslagen (2009:400)
PDF	polisdataförordningen (2010:1155)
PDL	polisdatalagen (2010:361)
prop.	regeringens proposition
PUF	personuppgiftsförordningen (1998:1191)
PUL	personuppgiftslagen (1998:204)
RF	regeringsformen
SOU	Statens offentliga utredningar
TF	tryckfrihetsförordningen
UtlF	utlänningsförordning (2006:97)
UtlL	utlänningslagen (2005:716)

Sammanfattning

SOU 2015:73

för personuppgifter, eftersom detta arbete ännu inte (juni 2015) är klart.

Lagen, som föreslås heta utlänningsdatalag, samt en föreslagen anslutande förordning ska ersätta den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Lagens övergripande syften föreslås vara att ge berörda myndig- heter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstift- ningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen har utformats som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten finns i lagen. Kompletterande bestämmelser finns i författningar på lägre nivå.

Lagförslaget, som gjorts teknikoberoende, syftar till att göra det möjligt för berörda myndigheter att använda moderna och ända- målsenliga it-system för att verksamheten ska kunna bedrivas så effektivt som möjligt.

Lagens tillämpningsområde

Utlänningsdatalagen föreslås vara tillämplig vid behandlingen av per- sonuppgifter i verksamhet enligt utlännings- och medborgarlag- stiftningen som utförs av Migrationsverket, Polismyndigheten, Säker- hetspolisen och utlandsmyndigheterna.

Vari denna verksamhet består preciseras närmare och uttöm- mande i lagen. Vad gäller Migrationsverkets och utlandsmyndig- heternas verksamhet föreslås att lagen ska tillämpas vid behandling av personuppgifter som rör:

1.utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.statusförklaring,

3.mottagande av asylsökande och andra utlänningar,

4.bistånd och stöd till utlänningar,

SOU 2015:73

Sammanfattning

5.svenskt medborgarskap,

6.statlig ersättning för kostnader för utlänningar eller

7.bosättning av utlänningar.

Vad gäller Polismyndighetens och Säkerhetspolisens verksamhet före- slås lagen tillämpas vid behandling av personuppgifter som rör ut- länningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

Viss personuppgiftsbehandling hos de aktuella myndigheterna föreslås dock falla utanför lagens tillämpningsområde trots att lagen i och för sig hade kunnat vara tillämplig. Det gäller bland annat personuppgiftsbehandling enligt lagen (2000:344) om Schengens in- formationssystem samt enligt de EU-förordningar som brukar be- nämnas VIS-förordningen, Viseringskodexen och Eurodacförord- ningen. Den nya lagen ska inte heller tillämpas då personuppgifter behandlas med stöd av polisdatalagen (2010:361).

I likhet med personuppgiftslagen föreslås lagen gälla då person- uppgiftsbehandlingen är helt eller delvis automatiserad samt då per- sonuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier. Det föreslagna tillämpnings- området har alltså i viss mån utvidgats jämfört med vad som gäller enligt nuvarande utlänningsdataförordning, som i första hand gäller personuppgiftsbehandling i olika verksamhetsregister.

Förhållandet till personuppgiftslagen

Bestämmelserna i den nya lagen föreslås som huvudregel ha före- träde framför personuppgiftslagens bestämmelser. Vissa bestämmel- ser i personuppgiftslagen ska dock vara tillämpliga i verksamheten enligt utlännings- och medborgarskapslagstiftningen. I den nya lagen pekas dessa bestämmelser särskilt ut. Det gäller bland annat person- uppgiftslagens bestämmelser om förhållandet till offentlighetsprin- cipen (8 §), grundläggande krav på behandlingen av personuppgifter (9 §), behandling av uppgifter om personnummer (22 §), överföring av personuppgifter till tredjeland (33–35 §§) och skadestånd (48 §).

Sammanfattning

SOU 2015:73

Personuppgiftsansvar

Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behand- lingen. Ett undantag från denna huvudregel föreslås i det att Migra- tionsverket ska vara personuppgiftsansvarig för utlandsmyndig- heternas automatiserade personuppgiftsbehandling.

Migrationsverket, Polismyndigheten och Säkerhetspolisen föreslås vidare vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.

Ändamål m.m.

Personuppgifter föreslås endast få behandlas med stöd av utlännings- datalagen om det är nödvändigt för vissa särskilt angivna ändamål.

Ändamålen, både primära och sekundära, framgår av lagen.

De primära ändamålen för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehand- ling föreslås vara följande:

1.handläggning av ärenden eller en myndighets biträde i sådana ären- den i verksamhet inom lagens tillämpningsområde (se ovan),

2.kontroll av utlänning i samband med inresa och utresa samt kon- troll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bosätt- ning av asylsökande och andra utlänningar,

4.tillsyn, kontroll, uppföljning, planering av verksamheten, fram- ställning av statistik samt testverksamhet eller

5.fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

Migrationsverket föreslås därutöver få behandla personuppgifter om det är nödvändigt för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information rörande förhållan- den i andra länder.

Vidare föreslås att personuppgifter som behandlas enligt ovan nämnda primära ändamål även ska få behandlas enligt nedan följande

SOU 2015:73

Sammanfattning

sekundära ändamål om det är nödvändigt för att tillhandahålla in- formation:

1.till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller

2.till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internatio- nell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

Personuppgifter ska i ett enskilt fall även få behandlas för att till- handahålla information för något annat ändamål än som nu angetts under förutsättning att ändamålet inte är oförenligt med det ända- mål som uppgifterna samlades in för (finalitetsprincipen).

För Migrationsverkets register över fingeravtryck och fotografier föreslås en särreglering med mer begränsade ändamålsbestämmelser.

Känsliga personuppgifter

Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygel- se, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter måste i stor utsträckning behandlas på utlännings- och medborgarskapsområdet. Utredningen föreslår att känsliga personuppgifter ska få behandlas för i princip alla de ända- mål för vilka behandling är tillåtna. En förutsättning är dock, om inte den registrerade har lämnat sitt uttryckliga samtycke till behand- lingen eller på ett tydligt sätt offentliggjort uppgifterna, att upp- gifterna är absolut nödvändiga för syftet med behandlingen. Med att uppgifterna ska vara absolut nödvändiga markeras att behand- lingen av dem bör ske med försiktighet och aldrig slentrianmässigt.

Tillgången till personuppgifter

Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i enskildas personliga integritet. Som ett led i att stärka

Sammanfattning

SOU 2015:73

integritetsskyddet föreslås en bestämmelse i lagen om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Migrationsverket, Polis- myndigheten, Säkerhetspolisen föreslås vidare få möjlighet att med- dela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Enligt ut- redningens förslag bör Migrationsverket även få meddela föreskrifter av aktuellt slag när det gäller uppgifter som behandlas automatiserat hos utlandsmyndigheterna.

Sökbegränsningar

Som ytterligare en åtgärd för att stärka integritetsskyddet föreslås begränsningar avseende vilka sökbegrepp som får användas vid sök- ningar av uppgifter för vissa ändamål i vissa fall.

Känsliga personuppgifter föreslås endast få användas som sök- begrepp för behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverk- samhet samt för återsökning i vissa fall. Migrationsverket behöver kunna använda känsliga personuppgifter som sökbegrepp för exem- pelvis framställning av viss statistik och för att förbereda verksam- heten med anledning av förväntade flyktingströmmar.

Personuppgifter om lagöverträdelser föreslås med vissa undantag inte få användas som sökbegrepp.

Elektroniskt utlämnande av personuppgifter

Även om ett elektroniskt utlämnande av personuppgifter medför vissa integritetsrisker anser utredningen, med undantag för utläm- nande genom direktåtkomst, att det inte finns något behov av att införa en särskild reglering om när elektroniskt utlämnande får före- komma. Några sådana bestämmelser föreslås därför inte.

Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, För- säkringskassan, Pensionsmyndigheten och Skatteverket föreslås för vissa särskilda ändamål få medges direktåtkomst till vissa person- uppgifter som behandlas automatiserat hos Migrationsverket. Direkt- åtkomsten föreslås regleras uttömmande.

SOU 2015:73

Sammanfattning

Reglerna om direktåtkomst har utformats med tanke på de sär- skilda risker som direktåtkomsten innebär för enskildas integritet. Det innebär bland annat att mottagarmyndigheterna ska ha ett verk- ligt behov av uppgifterna och att uppgifterna som får göras till- gängliga är så preciserat angivna som möjligt i författning. Vidare ska Migrationsverket innan direktåtkomst medges förvissa sig om att mottagarmyndigheten uppfyller kraven på behörighet och säker- het. Ytterligare krav som föreslås är att tillgången till uppgifterna hos mottagarmyndigheterna begränsas till vad den enskilde tjänste- mannen behöver för att kunna fullgöra sina uppgifter.

Utredningen föreslår några sekretessbrytande bestämmelser med anledning av direktåtkomsten.

Överföring av personuppgifter till tredjeland

Enligt utredningen finns det i vissa fall behov av att föra över per- sonuppgifter till tredjeland oavsett om samtycke från den enskilde till detta föreligger. En bestämmelse om ytterligare undantag från förbudet mot överföring av personuppgifter till tredjeland i 33 § PUL föreslås därför för dessa fall.

Undantaget föreslås innebära att överföring av personuppgifter till tredjeland får ske om det är absolut nödvändigt för 1) handlägg- ning av ärenden eller biträde i sådana ärenden, 2) kontroll av utlän- ning i samband med inresa och utresa samt kontroll under vistelsen i Sverige samt för 3) sådan behandling som sker för ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig in- formation.

Bevarande och gallring samt avskiljande

Automatiserat behandlade personuppgifter i allmänna handlingar i verksamheten bör enligt utredningen, i likhet med hur det är i dag, som huvudregel bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Vad som talar för bevarande är enligt ut- redningen allmänhetens intresse av insyn i verksamheten. Inte minst finns ett intresse från forskare och journalister. Det är inte heller självklart enligt utredningen att integritetsintresset bäst tillgodoses

Sammanfattning

SOU 2015:73

genom att personuppgifter förstörs. I verksamheten är det också ofta nödvändigt att ta fram uppgifter från tidigare ärenden.

Utredningen anser dock att det i vissa fall bör göras undantag från denna huvudregel. Undantag från arkivlagens bestämmelser föreslås således gälla 1) för Migrationsverkets fingeravtrycks- och fotografiregister där uppgifter förslås gallras enligt nuvarande ord- ning, 2) för känsliga personuppgifter som har behandlats för ända- målen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som föreslås gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen och 3) för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag som föreslås gallras efter kort tid.

För att stärka de enskildas personliga integritet föreslår utred- ningen att tillgången till uppgifter som inte längre behövs för de i lagen angivna ändamålen ska begränsas genom en bestämmelse om avskiljande av sådana uppgifter. Genom bestämmelsen föreslås att personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter föreslås vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Ytterligare föreskrifter

Den nya lagen föreslås vara en ramlag som endast innehåller de grundläggande bestämmelserna om skydd för enskildas personliga integritet. I lagförslaget ges möjlighet till föreskrifter på lägre nivå. Sådana föreskrifter kan meddelas när det gäller Migrationsverkets fingeravtrycks- och fotografiregister, tillgången till personuppgifter, direktåtkomst, överföring av personuppgifter till tredjeland, avskil- jande, gallring och säkerhetsåtgärder.

Ikraftträdande och övergångsbestämmelser

Utlänningsdatalagen och den nya utlänningsdataförordningen före- slås träda i kraft den 1 januari 2016.

SOU 2015:73

Sammanfattning

Några särskilda frågor

Registrering av kvalitetsomdömen

Utredningens förslag innebär att Migrationsverket kan registrera identitetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, över- sättare och språkanalytiker. Med avvikelser avses i huvudsak upp- gifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag. Registreringen av aktuella uppgifter syftar till att stärka rättssäkerheten för enskilda i asylprocessen. Av integri- tetsskäl föreslås dock att uppgifter om avvikelser ska gallras efter kort tid.

Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd

Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Krono- fogdemyndighetens utsöknings- och indrivningsdatabas samt För- säkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Migrationsverket har redan i dag tillgång till de flesta uppgifterna. Det nya är alltså att verket nu föreslås få direktåtkomst till uppgifterna. Utredningen har särskilt analyserat Migrationsverkets behov av direktåtkomst till uppgifterna samt behovet av regler som ger enskilda ett bra skydd för den personliga integriteten vid direktåtkomsten. Sistnämnda regler föreskriver ett ansvar för såväl de utlämnande myndigheterna som mottagarmyndigheten.

Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister

Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlän- ningslagen (2005:716, UtlL). Enligt den sistnämnda paragrafen får

Summary

SOU 2015:73

The act – which it is proposed will be called the ‘Aliens Data Act’

– and a proposed associated ordinance will replace the current Ordinance on the Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).

The proposed overall purpose of the act is to enable relevant authorities to process personal data effectively in their activities under the aliens and citizenship legislation and to protect people from violations of their personal privacy in connection with such processing. The act has been drawn up as a framework law. The basic provisions for the purpose of protecting the data subject against infringements of personal privacy are given in the act. Supplemen- tary provisions are given in subordinate statutes.

The proposed act, which has been made technology-neutral, aims to make it possible for the authorities concerned to use modern and appropriate IT systems to enable the activities to be conducted as effectively as possible.

Scope of the act

Under the proposal, the Aliens Data Act will be applicable to the processing of personal data in activities under the aliens and citizenship legislation conducted by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad.

The act specifies more exactly and exhaustively what these activi- ties consist of. With regard to the activities of the Swedish Migration Agency and Swedish missions abroad, the proposed application of the act will concern personal data processing relating to:

1.the entry of aliens into Sweden or some other state that belongs to the European Union or the European Economic Area, residence or work in Sweden, and exit from Sweden;

2.status declarations;

3.the reception of asylum seekers and other aliens;

4.financial assistance and allowances paid to aliens;

5.Swedish citizenship;

SOU 2015:73

Summary

6.compensation from central government for costs relating to aliens; and

7.the settlement of aliens.

With regard to the activities of the Swedish Police Authority and the Swedish Security Service, the proposed application of the act will concern personal data processing relating to aliens’ entry into, exit from, residence in or removal from Sweden.

However, under the proposal, certain personal data processing by the authorities concerned will fall outside the scope of the act even though, in and of itself, the act could have applied. This concerns, for example, the processing of personal data under the Schengen Information System Act (2000:344) and the EU regula- tions generally referred to as the VIS Regulation, the Visa Code and the Eurodac Regulation. Moreover, the act will not be applicable when personal data is processed pursuant to the Police Data Act (2010:361).

Like the Personal Data Act, it is proposed that the act apply when the processing of personal data is wholly or partly automated, and when the personal data is included in, or is intended to form part of, a structured compilation of searchable personal data or a compilation according to particular criteria. The proposed scope has therefore been widened somewhat compared with what applies under the current Aliens Data Ordinance, which primarily concerns the processing of personal data in various records of activities.

Relationship to the Personal Data Act

Under the proposal, the provisions in the new act will generally take precedence over the provisions of the Personal Data Act. However, certain provisions in the Personal Data Act will be applicable to activities under the aliens and citizenship legislation. These provisions are specifically indicated in the new act. They include the provisions of the Personal Data Act on the relationship to the principle of public access to official documents (Section 8), fundamental requirements concerning the processing of personal data (Section 9), the pro- cessing of data concerning personal identity numbers (Section 22),

Summary

SOU 2015:73

the transfer of personal data to third countries (Sections 33–35) and damages (Section 48).

Control of personal data

It is proposed that the authority undertaking processing or respon- sible for doing so should be the controller of personal data in the process. As an exception to this general rule, it is proposed that the Swedish Migration Agency should be the controller of personal data for automated processing of personal data by Swedish missions abroad.

In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service should be obliged to appoint one or more personal data representatives for the processing of personal data that they undertake or are respon- sible for undertaking.

Purposes etc.

Under the proposal, the processing of personal data pursuant to the Aliens Data Act will only be permitted if necessary for certain specifically stated purposes.

The purposes, which may be primary or secondary, will be clari- fied by the act.

The proposed primary purposes of personal data processing by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad are as follows:

1.processing of matters or assistance by an authority in such matters in activities within the scope of the act (see above);

2.controls of aliens in connection with entry and exit and controls during residence in Sweden;

3.performance of working duties relating to the reception and settlement of asylum seekers and other aliens;

4.supervision, control, monitoring, planning of activities, pro- duction of statistics and pilot activities; or

SOU 2015:73

Summary

5.fulfilment of a legal obligation to register or otherwise document personal data.

Furthermore, it is proposed that the Swedish Migration Agency be permitted to process personal data if this is necessary to retrieve decisions, judicial investigations and other legal information or infor- mation relating to conditions in other countries.

In addition, it is proposed that personal data processed in accor- dance with the above-listed primary purposes should also be per- mitted to be processed in accordance with the secondary purposes listed below if this is necessary to make information available:

1.to another public authority or individual, if the data is disclosed pursuant to an act or ordinance; or

2.to a foreign authority, an EU body or an international organi- sation, if the disclosure of data follows from Sweden’s member- ship of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag.

In an individual case, personal data processing will also be permitted to make information available for a purpose other than those now mentioned, provided that the purpose is not incompatible with the purpose for which the data was obtained (the ‘principle of finality’).

Separate regulations with more limited provisions on purposes are proposed for the records of fingerprints and photographs kept by the Swedish Migration Agency.

Sensitive personal data

The term ‘sensitive personal data’ refers to data that reveals a person’s race or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership and data relating to health and sex life. Such data has to be processed extensively in the aliens and citizenship area. The Inquiry proposes that sensitive personal data should be permitted to be processed, in principle, for all the pur- poses for which processing is permitted. However, one condition, if the data subject has not given explicit consent to processing or

Summary

SOU 2015:73

made the data public in some obvious way, is that the data is absolute- ly essential for the purpose of the processing. The condition that the data must be absolutely essential underlines that it should be processed with caution, never as a matter of routine.

Access to personal data

Generally speaking, large collections of information stored in a manner that makes them easily searchable by electronic means entail an increased risk of violations of individuals’ privacy. As a step in strengthening the protection of privacy, a provision is proposed in the act to the effect that access to personal data will be limited to what each official needs in order to carry out their duties. In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service be able to issue more detailed regulations on access to personal data for persons working in that authority. Under the Inquiry’s proposals, the Swedish Migration Agency should also be able to issue relevant regulations regarding data processed by automated means at Swedish missions abroad.

Restrictions on searches

As an additional measure to strengthen the protection of privacy, restrictions are proposed on the search terms that may be used when searching personal data for certain purposes in certain cases.

It is proposed that the use of sensitive personal data as search terms will be restricted to processing for the purpose of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, and for data retrieval in certain cases. The Swedish Migration Agency needs to be able to use sensitive personal data as search terms for the production of certain statistics, for example, and in preparing activities in response to expected refugee flows.

With certain exceptions, it is proposed that personal data on violations of the law should not be permitted to be used as search terms.

SOU 2015:73

Summary

Electronic disclosure of personal data

Even if electronic disclosure of personal data involves certain risks to privacy, the Inquiry considers that, with the exception of dis- closure via direct access, there is no need to introduce special regulations on when electronic disclosure may occur. Consequently, no such provisions are proposed.

It is proposed that for certain special purposes, the Swedish Police Authority, the Swedish Security Service, Swedish missions abroad, the Swedish Social Insurance Agency, the Swedish Pensions Agency and the Swedish Tax Agency be allowed direct access to certain personal data processed by automated means by the Swedish Migration Agency. Exhaustive regulation of direct access is proposed.

The regulations on direct access have been designed bearing in mind the special risks that direct access entails for individuals’ privacy. Among other things, the receiving authorities must have a real need for the data and the data that may be made available is specified by statute as precisely as possible. In addition, before direct access is permitted, the Swedish Migration Agency must make sure that the receiving authority meets the authorisation and security require- ments. Further requirements proposed are that access to the data at the receiving authorities be restricted to what the individual official needs to be able to fulfil his or her duties.

The Inquiry proposes some provisions overriding secrecy in consequence of direct access.

Transfer of personal data to third countries

The Inquiry has found that in certain cases personal data needs to be transferred to third countries irrespective of whether the indi- vidual has consented to this. A provision on further exceptions to the prohibition against transferring personal data to third countries enacted in Section 33 of the Personal Data Act is therefore pro- posed for these cases.

The proposed exception will mean that personal data may be transferred to a third country if this is absolutely essential for (1) the processing of a matter or assistance in such a matter; (2) controls of an alien in connection with entry or exit or controls during the alien’s stay in Sweden; or (3) processing undertaken for the

Summary

SOU 2015:73

purpose of retrieving decisions, judicial investigations and other legal information.

Retention, deletion and detachment

In the Inquiry’s opinion, personal data processed by automated means in public documents in the activities concerned should in general be retained or deleted as directed by the provisions of the Archives Act (1990:782), as is currently the case. As the Inquiry sees it, the argument in favour of retention is the public interest in the trans- parency of the activities. This interest is particularly manifested by researchers and journalists. Furthermore, the Inquiry considers it far from obvious that the interests of privacy are best served by destroying personal data. Moreover, in these activities it is often necessary to retrieve data from previous matters.

However, the Inquiry considers that exceptions should be made to this general rule in certain cases. Accordingly, exceptions to the provisions of the Archives Act are proposed for (1) the Swedish Migration Agency’s fingerprint and photograph records, where it is proposed that data be deleted in accordance with the current arrange- ments; (2) sensitive personal data processed for the purposes of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, where it is proposed that this data be deleted immediately the processing is no longer necessary for any of the purposes stated; and (3) personal data processed by auto- mated means by the Swedish Migration Agency because a public counsel, an interpreter, a translator or a language analyst may be unsuitable for future commissions, where it is proposed that this data be deleted after a short time.

To strengthen individual privacy, the Inquiry proposes that access to data that is no longer needed for the purposes stated in the act be limited by means of a provision on the detachment of such data. The proposed provision will direct that personal data in auto- mated data compilations that are used in the authorities’ day-to- day activities shall be detached when it is no longer needed for these activities. It is proposed that access to detached data be limited to persons who are in absolute need of the data in order to carry out their duties.

SOU 2015:73

Summary

Additional regulations

Under the proposal, the new act will be a framework law containing only the basic provisions on protection of individuals’ personal privacy. The proposed act allows the possibility of regulations at a lower level. Such regulations may be issued with regard to the Swedish Migration Agency’s fingerprint and photograph records, access to personal data, direct access, transfer of personal data to third countries, detachment of data, deletion and security measures.

Entry into force and transitional provisions

The proposed date for entry into force of the new Aliens Data Act and Aliens Data Ordinance is 1 January 2016.

Specific issues

Registration of quality assessments

The Inquiry’s proposal means that the Swedish Migration Agency will be able to register data on the identity, special expertise and defects relating to public counsels other than members of the Swedish Bar Association and legal associates, interpreters, translators and language analysts. The term ‘defects’ refers chiefly to data on negli- gence, inadequacy and incompetence, but also data showing that a contractor has committed an offence or been declared bankrupt. Such defects can mean that a contractor is unsuitable for commis- sions. The registration of these types of data is intended to enhance the legal security of individuals in the asylum process. However, for reasons of integrity, it is proposed that data on defects be de- leted after a short time.

More efficient information exchange in the processing of residence permits for purposes of employment and work permits

The Inquiry proposes that the Swedish Migration Agency should be allowed direct access to certain personal data in the Swedish Tax Agency’s taxation database, the Swedish Enforcement Authority’s

Summary

SOU 2015:73

enforcement and collection database and the Swedish Social In- surance Agency’s and Swedish Pensions Agency’s social insurance database. The Swedish Migration Agency already has access to most of this data. What is new is the proposal that the Agency should now be given direct access to the data. The Inquiry has made a special analysis of the Swedish Migration Agency’s need for direct access to the data and the need for rules that give the individual good privacy protection in the event of direct access. These rules entail a responsibility for both the disclosing authority and the receiving authority.

The right of the Swedish Migration Agency to access data in the Swedish Police Authority’s fingerprint records

The Inquiry proposes that the Swedish Migration Agency should have the right to access data from the Swedish Police Authority’s fingerprint records (the A file in the automated fingerprint identi- fication system, AFIS) when checking fingerprints taken pursuant to Chapter 9, Section 8 of the Aliens Act (2005:716). This section of the Act allows the Swedish Migration Agency to take an alien’s fingerprints in certain cases. This is allowed, for example, if the alien is unable to provide proof of identity. The thinking behind the Inquiry’s proposal is that checking against the Swedish Police Authority’s fingerprint records improves the prospects of establishing the correct identity of the alien. On balance, the Inquiry considers that this interest outweighs the possible integrity risks that may be associated with this possibility.

Liability for damages after controls of Schengen visas

Under the provisions of Chapter 9, Section 8c of the Aliens Act, an alien is obliged to allow a policeman, a specially appointed passport official or an official at the Swedish Customs, the Swedish Coast Guard or the Swedish Migration Agency to take his or her finger- prints in order to check the alien’s identity and the genuineness of the Schengen visa by searching in the Visa Information System (VIS). A corresponding obligation also applies to an alien who is unable to prove his or her identity during entry or exit controls and who may

Författningsförslag

SOU 2015:73

3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlän- ningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personupp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då personuppgifter behandlas med stöd av

1.lagen (2000:344) om Schengens informationssystem,

2.Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),

3.Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om vise- ringar (viseringskodex),

4.polisdatalagen (2010:361) eller

5.Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av finger- avtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myn- digheter begär jämförelser med Eurodacuppgifter för brottsbekäm- pande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (om- arbetning).

Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förordningen.

SOU 2015:73

Författningsförslag

Den registrerades inställning

6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.

Förhållandet till personuppgiftslagen

7 § Om inte annat anges i 8 §, gäller denna lag i stället för person- uppgiftslagen (1998:204) eller föreskrifter som har meddelats i an- slutning till den lagen.

8 § Följande bestämmelser i personuppgiftslagen (1998:204) tilläm- pas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § om grundläggande krav på behandling av personuppgifter,

4.22 § om behandling av personnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse m.m.,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid be- handling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.38–41 §§ om personuppgiftsombud m.m.,

10.42 § om upplysningar till allmänheten om vissa behandlingar,

11.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndig- hetens befogenheter,

12.48 § om skadestånd och

13.51 §, 52 § första stycket och 53 § om överklagande.

Om personuppgifter ska gallras enligt denna lag eller enligt före- skrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Författningsförslag

SOU 2015:73

Personuppgiftsansvar

9 § Med undantag för vad som föreskrivs i andra stycket är den myn- dighet som anges i 2 och 3 §§ personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför eller som det åligger den myndigheten att utföra.

Migrationsverket är även personuppgiftsansvarigt för utlands- myndigheternas automatiserade behandling av personuppgifter.

10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgifts- behandling som myndigheten utför eller som det åligger myndigheten att utföra. Den personuppgiftsansvarige ska anmäla till tillsynsmyn- digheten enligt personuppgiftslagen (1998:204) när ett personupp- giftsombud utses eller entledigas.

Ändamål

11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna får behandla personuppgifter om det är nöd- vändigt för

1.handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,

2.kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bo- sättning av asylsökande och andra utlänningar,

4.tillsyn, kontroll, uppföljning, planering av verksamheten, fram- ställning av statistik samt testverksamhet eller

5.fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av

1.avgöranden, rättsutredningar och annan rättslig information

eller

2.information rörande förhållanden i andra länder.

SOU 2015:73

Författningsförslag

13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas om det är nödvändigt för att tillhandahålla information

1.till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller

2.till en utländsk myndighet, ett EU-organ eller en mellanfolk- lig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Migrationsverkets fingeravtrycks- och fotografiregister

14 § Migrationsverket får föra automatiserade register över finger- avtryck och fotografier som tas med stöd av 9 kap. 8 § utlännings- lagen (2005:716). Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap. 1–2 a §§ utlännings- lagen åberopas, i ärenden om avvisning och utvisning samt i test- verksamhet.

Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet fotografi.

Uppgift om fingeravtryck får även behandlas när det är nödvän- digt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11–17 §§ polisdatalagen (2010:361).

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.

Författningsförslag

SOU 2015:73

Behandling av känsliga personuppgifter

15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryck- liga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Därutöver får känsliga personuppgifter behandlas en- dast

1.för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller

2.i löpande text för det ändamål som anges i 12 § 2, om upp- gifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

Sökning

17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 11 § 1−3 och 5 samt 13 §.

Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § per- sonuppgiftslagen får inte användas som sökbegrepp. Beslut om för- var enligt utlänningslagen (1989:529) får dock användas som sök- begrepp.

SOU 2015:73

Författningsförslag

Direktåtkomst

18 § Direktåtkomst till personuppgifter som behandlas automatise- rat hos Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.

Direktåtkomst till personuppgifter som Migrationsverket behand- lar får medges

1.Polismyndigheten för ändamål som anges i 11 § 1–3 och 14 §,

2.Säkerhetspolisen för ändamål som anges i 11 § 1–3 samt

3.utlandsmyndigheterna, Försäkringskassan, Pensionsmyndig- heten och Skatteverket för ändamål som anges i 11 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säker- het.

Överföring av personuppgifter till tredjeland

19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över person- uppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredje- land.

Avskiljande

20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § ska avskiljas från automatiserad behand- ling i myndighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.

Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter

SOU 2015:73

Författningsförslag

1.4Förslag till

lag om ändring av utlänningslagen (2005:716)

Härigenom föreskrivs i fråga om utlänningslagen (2005:716) dels att 9 kap. 8 c § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 17 kap. 4 §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9 kap.

8 c §

Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polisman, en särskilt förordnad passkontrollant eller en tjänste- man vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av vise- ringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om infor- mationssystemet för viseringar (VIS) och utbytet mellan medlems- staterna av uppgifter om viseringar för kortare vistelse (VIS-för- ordningen), i den ursprungliga lydelsen.

Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.

När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.

Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör finger- avtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.

SOU 2015:73

Författningsförslag

1.5Förslag till

lag om ändring i socialförsäkringsbalken (2010:110)

Härigenom föreskrivs i fråga om socialförsäkringsbalken (2010:110)

dels att 114 kap. 1 och 17 §§ ska ha följande lydelse,

dels att en ny paragraf, 114 kap. 23 a §, ska införas av följande

lydelse.
Nuvarande lydelse	Föreslagen lydelse

114 kap.

1 §

I detta kapitel finns allmänna bestämmelser i 2−5 §§. Vidare finns bestämmelser om

–personuppgiftslagen och personuppgiftsansvar i 6 §,

–ändamål för behandling av personuppgifter i 7–10 §§,

–behandling av känsliga personuppgifter m.m. i 11–13 §§,

–behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

–tilldelning av behörighet i 17 §,

– direktåtkomst i 18–23 §§,

– direktåtkomst i 18–23 a §§,

–utlämnande på medium för automatisk behandling i 24–26 a §§,

–sökbegrepp i 27 och 28 §§,

–överföring av personuppgifter till tredjeland i 29 §,

–information i 30 §,

–gallring i 31 §,

–avgifter i 32 §,

–rättelse och skadestånd i 33 §,

–kontrollverksamhet i 34 §,

–tystnadsplikt i 35 §, och

–överklagande i 36 §

	17 §
Behörighet för åtkomst	till	Behörighet för åtkomst	till
socialförsäkringsdatabasen	ska	socialförsäkringsdatabasen	ska
inom socialförsäkringens admi-		inom socialförsäkringens admi-
nistration tilldelas genom en sär-		nistration tilldelas genom en sär-

Författningsförslag SOU 2015:73

skild handling i enlighet med			skild handling i enlighet med
föreskrifter som	meddelas	av	föreskrifter som	meddelas	av
regeringen eller den myndighet			regeringen eller den myndighet
som regeringen bestämmer.			som regeringen bestämmer.
Behörighet för	åtkomst	till	Behörighet för	åtkomst	till
socialförsäkringsdatabasen		ska	socialförsäkringsdatabasen och till
begränsas till vad som behövs			personuppgifter hos Migrations-
för att den enskilde ska kunna			verket ska begränsas till vad som
fullgöra sina arbetsuppgifter.			behövs för att den enskilde ska
			kunna fullgöra sina arbetsupp-
			gifter.

23 a §

Migrationsverket får medges direktåtkomst till uppgifter i social- försäkringsdatabasen om uppgif- terna behövs vid

1. handläggning av ansökning- ar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716), 2. handläggning av ansökning- ar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen

eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket ut- länningslagen.

Regeringen eller den myn- dighet som regeringen bestämmer kan med stöd av 8 kap. 7 § rege- ringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

SOU 2015:73

Författningsförslag

1.6Förslag till

lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att 2 kap. 8 § och 18 § polisdatalagen (2010:361) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap.

8 §

Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3.sådan verksamhet hos Polismyndigheten som avser handräck- ningsuppdrag,

4.annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5.verksamhet hos Kriminal- vården för att förebygga brott och upprätthålla säkerheten, eller

6.en myndighets verksamhet a) om det enligt lag eller för-

ordning åligger Polismyndigheten att bistå myndigheten med viss uppgift, eller

b) om informationen tillhanda- hålls inom ramen för myndighets- överskridande samverkan mot brott.

5.verksamhet hos Kriminal- vården för att förebygga brott och upprätthålla säkerheten,

6.verksamhet hos Migrations- verket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § ut- länningslagen (2005:716) mot fingeravtrycksregister som Polis- myndigheten för enligt 4 kap. 11– 17 §§ eller

7.en myndighets verksamhet a) om det enligt lag eller för-

ordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller

Säkerhetspolisen, Ekobrotts- myndigheten, Tullverket, Kust- bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess- lagen (2009:400), rätt att ta del av personuppgifter som behand- las i fingeravtrycks- och signale- mentsregister enligt 4 kap. 11– 17 §§, om den mottagande myn- digheten behöver uppgifterna i sin brottsbekämpande verksam- het. Motsvarande gäller för Migrationsverket avseende person- uppgifter som behandlas i finger- avtrycksregister enligt första stycket,

Författningsförslag

SOU 2015:73

b) om informationen till- handahålls inom ramen för myn- dighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna upp- gifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som be- handlas enligt 7 § och som avser efterlysta personer och avlägsnan- den ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsätt- ning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

18 §

Författningsförslag

SOU 2015:73

1.7Förslag till utlänningsdataförordning

Härigenom föreskrivs följande.

Allmän bestämmelse

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen (0000:00). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

Migrationsverkets fingeravtrycks- och fotografiregister

2 § Registren får endast innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordnings- nummer, födelsetid, kön, medborgarskap eller annan identifierings- uppgift.

3 § En uppgift i registren ska gallras när den registrerade blir svensk medborgare. I andra fall ska gallring ske senast tio år efter det att uppgiften registrerades.

Tillgången till personuppgifter

4 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive myndigheter. Migrations- verket får även meddela sådana föreskrifter såvitt avser den automa- tiserade behandlingen av personuppgifter hos utlandsmyndigheterna. För tilldelning av behörighet för åtkomst till personuppgifter ska särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

5 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och ut- landsmyndigheterna ansvarar för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbun- den uppföljning av behörigheter för åtkomst till personuppgifter.

SOU 2015:73

Författningsförslag

Migrationsverket ansvarar också för att det finns sådana rutiner hos utlandsmyndigheterna såvitt avser den automatiserade behandlingen av personuppgifter.

Direktåtkomst

6 § Migrationsverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 18 § utlänningsdatalagen (0000:00).

Direktåtkomst till uppgifterna får inte medges innan Migrations- verket har försäkrat sig om att den mottagande myndigheten upp- fyller kraven på behörighet och säkerhet.

7 § Polismyndighetens och Säkerhetspolisens direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) får inte avse andra uppgifter än sådana som är absolut nödvändiga för att myndigheterna ska kunna utföra de arbetsuppgifter som ankommer på dem.

8 § Försäkringskassans och Pensionsmyndigheten direktåtkomst enligt 18 § utlänningsdatalagen (0000:000) ska begränsas till upp- gifter som behövs inom Försäkringskassans och Pensionsmyndig- hetens verksamhet som underlag för att bedöma eller fastställa för- mån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd.

Direktåtkomsten får endast avse uppgift om

1.namn, personnummer och i förekommande fall samordnings- nummer,

2.bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,

3.dag för beslut om uppehållstillstånd, arbetstillstånd eller ut- färdande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehålls- kort har utfärdats,

4.inresedatum,

5.datum för ansökan om uppehållstillstånd, arbetstillstånd eller uppehållskort,

6.särskilt bevis enligt 5 kap. 4 § tredje stycket utlänningsförord- ningen (2006:97),

Författningsförslag

SOU 2015:73

7.att uppehållstillstånd har beviljats den enskilde som flykting enligt 4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § utlänningslagen (2005:716) eller motsvarande äldre bestämmelser,

8.att statusförklaring har beviljats enligt 4 kap. 3 c § utlännings- lagen eller motsvarande äldre bestämmelser,

9.att uppehållstillstånd har beviljats den enskilde för studier eller som familjemedlem till en sådan person och

10.beslut om återkallelse av uppehållstillstånd eller arbetstillstånd, uppgift om från och med vilket datum uppehållstillstånd eller arbets- tillstånd har återkallats och uppgift om vilket datum beslut om återkallelse av uppehållstillstånd eller arbetstillstånd har vunnit laga kraft.

9 § Skatteverkets direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige.

Direktåtkomsten får endast avse uppgift om

1.namn och personnummer,

2.längd,

3.fotografi,

4.underskrift,

5.typ av resehandling, resehandlingens nummer och giltighets- tid samt

6.bevis om uppehållstillstånd.

Överföring av personuppgifter till tredjeland

10 § Personuppgifter som behandlas för ändamål som anges i 12 § 1 utlänningsdatalagen (0000:00) får föras över till tredjeland endast om uppgifterna inte direkt pekar ut den registrerade.

Avskiljande

11 § Migrationsverket får meddela föreskrifter om avskiljande av per- sonuppgifter som behandlas av utlandsmyndigheterna under Migra- tionsverkets personuppgiftsansvar.

Författningsförslag

SOU 2015:73

1.8Förslag till

förordning om ändring i folkbokföringsförordning (1991:749)

Härigenom föreskrivs att 5 a § folkbokföringsförordningen (1991:749) ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		5 a §
Samordningsnummer får till-			Samordningsnummer får till-
delas en person om det inte råder			delas en person om det inte råder
osäkerhet om hans eller hennes			osäkerhet om hans eller hennes
identitet.			identitet.
Även om det råder osäkerhet			Även om det råder osäkerhet
om en persons identitet, får sam-			om en persons identitet, får sam-
ordningsnummer tilldelas för			ordningsnummer tilldelas för
1. registrering i register som			1. registrering i register som
förs enligt lagen (1998:620) om			förs enligt lagen (1998:620) om
belastningsregister,	lagen		belastningsregister,	lagen
(1998:621) om misstankeregist-			(1998:621) om misstankeregist-
er, lagen (2010:362) om polisens			er, lagen (2010:362) om polisens
allmänna spaningsregister		och	allmänna spaningsregister	och
polisdatalagen (2010:361),			polisdatalagen (2010:361),
2. annan behandling av upp-			2. annan behandling av upp-
gifter enligt polisdatalagen, eller			gifter enligt polisdatalagen, eller
i övrigt inom rättsväsendets in-			i övrigt inom rättsväsendets in-
formationssystem,			formationssystem,
3. registrering i	Migrations-		3. Migrationsverkets behandling
verkets verksamhetsregister enligt			av uppgifter med stöd av utlän-
förordningen (2001:720) om be-			ningsdatalagen (0000:00) när det
handling av personuppgifter i verk-			gäller personer som omfattas av
samhet enligt utlännings- och med-			lagen (1994:137) om mottagan-
borgarskapslagstiftningen när		det	de av asylsökande m.fl., eller

gäller personer som omfattas av lagen (1994:137) om mottagan- de av asylsökande m.fl., eller

Författningsförslag

SOU 2015:73

1.9Förslag till

förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

Härigenom föreskrivs i fråga om förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

dels att det ska införas två nya paragrafer, 7 e § och 17 a §, av följande lydelse,

dels att rubriken närmast före 17 a § ska lyda ”Direktåtkomst för myndigheter”.

Nuvarande lydelse	Föreslagen lydelse
	7 e §
	Migrationsverket har rätt att
	ta del av personuppgifter som avses
	i 2 kap. 3 §	1–5	och 11 lagen
	(2001:181) om behandling av upp-
	gifter i Skatteverkets beskattnings-
	verksamhet, om uppgifterna behövs
	vid
	1. handläggning av ansökning-
	ar om uppehållstillstånd för att
	bedriva näringsverksamhet enligt
	5 kap. utlänningslagen (2005:716),
	2. handläggning av ansökning-
	ar om arbetstillstånd enligt 6 kap.
	2 § första stycket utlänningslagen
	eller
	3. kontroll	av	arbetstillstånd
	enligt 6 kap. 2 § första stycket ut-
	länningslagen.

17 a §

Migrationsverket får vid direkt- åtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen (2001:181) om behandling av

Författningsförslag

SOU 2015:73

1.10Förslag till

förordning om ändring i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att det i förordningen (2001:590) om be- handling av uppgifter i Kronofogdemyndighetens verksamhet ska införas två nya paragrafer, 8 a § och 10 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	8 a §
	Migrationsverket har rätt			att
	ta del av personuppgifter som avses
	i 2 kap. 5 § första stycket 3 lagen
	(2001:184)	om	behandling	av
	uppgifter i	Kronofogdemyndig-
	hetens verksamhet, om uppgifter-
	na behövs vid
	1. handläggning av ansökning-
	ar om uppehållstillstånd för att
	bedriva näringsverksamhet enligt
	5 kap. utlänningslagen (2005:716),
	2. handläggning av ansökning-
	ar om arbetstillstånd enligt 6 kap.
	2 § första stycket utlänningslagen
	eller
	3. kontroll av		arbetstillstånd
	enligt 6 kap. 2 § första stycket ut-
	länningslagen.

10 a §

Migrationsverket får vid direkt- åtkomst enligt 2 kap. 27 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet endast medges rätt att ta del av

Utöver de fall som anges i

114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de be- gränsningar som anges i samma stycke samt i 11 och 12 §§ sam- ma kapitel, i socialförsäkrings- databasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt upp- gifter om

1. kön,

2. civilstånd,

3. medborgarskap,

4. födelseort,

5. studiemedel och andra eko- nomiska förhållanden,

6. värnpliktstjänstgöring, utbildning, yrke och arbetsupp- gifter,

Författningsförslag

SOU 2015:73

1.11Förslag till

förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Härigenom föreskrivs i fråga om förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administra- tion

dels att 2 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 3 d § och 5 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Utöver de fall som anges i

1. kön,

2. civilstånd,

3. medborgarskap,

4. födelseort,

5. studiemedel och andra eko- nomiska förhållanden,

6. värnpliktstjänstgöring, utbildning, yrke och arbetsupp- gifter,

SOU 2015:73

Författningsförslag

7.arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8.preliminärskatt, inkomstbe- skattning och fastighetstaxering,

9.hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10.uppgifter i och formerna för ansökningar eller anmälning- ar,

11.förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårds- stöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårds- åtgärder som begäran avser,

13.åtgärdskoder enligt förord- ningen (2008:193) om statligt tandvårdsstöd,

15.patientavgifter och tand- vårdsersättningar,

16.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

17.nedsatt arbetsförmåga,

18.förmåns- eller ersättnings- relaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19.förmåns- eller ersättnings- relaterad information i rehabili- teringsutredningar eller andra utredningar i rehabiliteringsären- den samt rehabiliteringsplaner,

20.arten av, kostnaderna och tidpunkterna för föreslagna, pla- nerade och vidtagna rehabilite-

7.arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8.preliminärskatt, inkomstbe- skattning och fastighetstaxering,

9.hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10.uppgifter i och formerna för ansökningar eller anmälning- ar,

13.åtgärdskoder enligt förord- ningen (2008:193) om statligt tandvårdsstöd,

15.patientavgifter och tand- vårdsersättningar,

16.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

17.nedsatt arbetsförmåga,

18.förmåns- eller ersättnings- relaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19.förmåns- eller ersättnings- relaterad information i rehabili- teringsutredningar eller andra utredningar i rehabiliteringsären- den samt rehabiliteringsplaner,

20.arten av, kostnaderna och tidpunkterna för föreslagna, pla- nerade och vidtagna rehabilite-

Författningsförslag SOU 2015:73

ringsåtgärder,						ringsåtgärder,
21. leverantörer av produkter						21. leverantörer av produkter
och tjänster inom rehabiliterings-						och tjänster inom rehabiliterings-
området,						området,
22. vårdgivare,						22. vårdgivare,
23. remisser,						23. remisser,
24. läkaren som utfärdat intyg						24. läkaren som utfärdat intyg
eller utlåtanden som ligger till						eller utlåtanden som ligger till
grund för beslutet om ersättning,						grund för beslutet om ersättning,
25. diagnoser,						25. diagnoser,
26. förekomsten av sådan sär-						26. förekomsten av sådan sär-
skild grund för beaktande av						skild grund för beaktande av
högre bostadskostnad som avses						högre bostadskostnad som avses
i 97 kap. 18 § andra stycket och						i 97 kap. 18 § andra stycket och
27 § andra stycket socialförsäk-						27 § andra stycket socialförsäk-
ringsbalken,						ringsbalken,
27. bevakningsanledningar,						27. bevakningsanledningar,
28. frågor om återbetalnings-						28. frågor om återbetalnings-
skyldighet har uppkommit,						skyldighet har uppkommit,
29. anledningen			till	att	ett	29. anledningen			till	att	ett
ärende har avslutats,						ärende har avslutats,
30. avgöranden			av	domstol,		30. avgöranden			av	domstol,
Försäkringskassan eller Pensions-						Försäkringskassan eller Pensions-
myndigheten som är av betydel-						myndigheten som är av betydel-
se för enskilda ärenden i fråga						se för enskilda ärenden i fråga
om uppgifter om utgången, de						om uppgifter om utgången, de
bestämmelser som har tillämpats						bestämmelser som har tillämpats
och om avgörandet har överkla-						och om avgörandet har överkla-
gats,						gats,
31. beslut i ärenden,						31. beslut i ärenden,
32. att	den	registrerade			får	32. att	den	registrerade			får
aktivitetsstöd		eller	utvecklings-			aktivitetsstöd		eller	utvecklings-
ersättning	enligt		förordningen			ersättning	enligt		förordningen
(1996:1100) om aktivitetsstöd,						(1996:1100) om aktivitetsstöd,
33. att den registrerade har rätt						33. att den registrerade har rätt
till ersättning		enligt		16–22 §§		till ersättning		enligt		16–22 §§
förordningen om aktivitetsstöd,						förordningen om aktivitetsstöd,
34. registrerade som får eller						34. registrerade som får eller
har fått vård eller försörjning helt						har fått vård eller försörjning helt

SOU 2015:73

Författningsförslag

eller delvis på det allmännas be- kostnad,

35.den registrerade från ut- söknings- och indrivningsdata- basen,

36.att den registrerade är häk- tad, intagen i kriminalvårds- anstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

37.att den registrerade vistas eller bor i en särskild boende- form enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,

38.att godmanskap eller för- valtarskap är anordnat enligt för- äldrabalken,

39.vilken personkrets enligt 52 kap. 10–13 §§ socialförsäk- ringsbalken som den registrerade hör till,

40.att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

41.den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,

42.den registrerade i verk- samhetsregister som förs av Migrationsverket enligt förord- ningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgar- skapslagstiftningen, och

43.att den registrerade eller dennes make eller sambo får

eller delvis på det allmännas be- kostnad,

35.den registrerade från ut- söknings- och indrivningsdata- basen,

36.att den registrerade är häk- tad, intagen i kriminalvårds- anstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

37.att den registrerade vistas eller bor i en särskild boende- form enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,

38.att godmanskap eller för- valtarskap är anordnat enligt för- äldrabalken,

39.vilken personkrets enligt 52 kap. 10–13 §§ socialförsäk- ringsbalken som den registrerade hör till,

40.att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

41.den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,

42.den registrerade i ärenden hos Migrationsverket som behand- las med stöd av utlänningsdata- lagen (0000:00) och

43.att den registrerade eller dennes make eller sambo får

Författningsförslag SOU 2015:73

vårdnadsbidrag enligt lagen	vårdnadsbidrag enligt lagen
(2008:307) om kommunalt vård-	(2008:307) om kommunalt vård-
nadsbidrag.	nadsbidrag.
	3 d §
	Migrationsverket får vid direkt-
	åtkomst	till		socialförsäkrings-
	databasen		enligt 114 kap. 23 a §
	socialförsäkringsbalken (2010:110)
	endast medges rätt att ta del av
	1. uppgift			om	inlämnad		an-
	sökan	om	föräldraledighet				till
	Försäkringskassan				och	utbetald
	föräldrapenning från Försäkrings-
	kassan,
	2. uppgift			om	omfattning		av
	sjukfrånvaro och av Försäkrings-
	kassan utbetald sjukpenning och
	3. uppgift			om	beviljade assi-
	stanstimmar.
	Försäkringskassan får meddela
	närmare föreskrifter om vad som
	krävs i fråga om behörighet och
	säkerhet för att myndigheten ska
	kunna	medge direktåtkomst					till
	uppgifter för Migrationsverket.
	Direktåtkomst till uppgifterna
	får inte medges innan Försäkrings-
	kassan har försäkrat sig om att
	Migrationsverket uppfyller kraven
	på behörighet och säkerhet.
	5 b §
	Migrationsverket har					rätt	att
	ta del av personuppgifter till så-
	dana uppgifter i socialförsäkrings-
	databasen som avses i 2 § 16, om
	uppgifterna behövs vid

Om sökanden har uppehålls- tillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin iden- titet om de uppgifter som läm- nas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppe- hållstillståndet när det gäller så- dana uppgifter som avses i 9 § utlänningsdataförordningen (0000:00).

Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.

Författningsförslag

SOU 2015:73

1.12Förslag till

förordning om ändring i förordningen (2009:284) om identitetskort för folkbokförda i Sverige

Härigenom föreskrivs att 3 a § och 16 a § i förordningen (2009:284) om identitetskort för folkbokförda i Sverige ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 a §

Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.

16 a §

Migrationsverket ska på be-	Migrationsverket ska på be-
gäran av Skatteverket lämna de	gäran av Skatteverket lämna de
uppgifter som anges i 6 b § för-	uppgifter som anges i 9 § utlän-
ordningen (2001:720) om behand-	ningsdataförordningen (0000:00)
ling av personuppgifter i verksam-	och som behövs för handlägg-
het enligt utlännings- och med-	ning av ansökan om identitets-
borgarskapslagstiftningen och som	kort.

Utredningens uppdrag och arbete

SOU 2015:73

2.2Utredningens arbete

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden. Utredningen har sammanträtt med de förordnade experterna vid sammanlagt sex tillfällen, varav ett i form av ett två- dagars internatsammanträde. Arbetet har även i övrigt bedrivits i nära samråd med experterna.

Den särskilda utredaren och utredningens sekreterare har besökt Migrationsverkets huvudkontor i Norrköping. Syftet med besöket var framför allt att få information om den behandling av person- uppgifter som för närvarande pågår eller planeras i verksamhet en- ligt utlännings- och medborgarskapslagstiftningen. Härutöver har utredningens sekreterare besökt Polismyndigheten (gränspolisenhe- ten) i Malmö.

Vid utförandet av uppdraget har utredningen löpande haft sam- råd med Migrationsverket, Polismyndigheten och Datainspektionen. Utredningen har även haft samråd med Säkerhetspolisen, Försäk- ringskassan, Pensionsmyndigheten, Skatteverket, Kronofogde- myndigheten och Informationshanteringsutredningen (Ju 2011:11) i vissa frågeställningar.

2.3Betänkandets disposition

Betänkandet består i huvudsak av två delar, en del som behandlar frågan om en ny utlänningsdatalag (kapitel 3−7) och en del som tar upp särskilda frågeställningar (kap. 8−11).

I kapitel 3 redogör utredningen för gällande rätt och internatio- nella överenskommelser. I kapitel 4 och 5 redovisas verksamhet enligt utlännings- och medborgarskapslagstiftningen och behandling av personuppgifter inom verksamhetsområdet. I kapitel 6 presenterar utredningen allmänna utgångspunkter vid utformandet av en utlän- ningsdatalag och i kapitel 7 redovisar utredningen sina närmare över- väganden om hur en ny lag om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen bör utformas.

I kapitel 8 behandlas frågan om registrering av kvalitetsomdöme av vissa aktörer som har uppdrag i asylprocessen. I kapitel 9 analy- serar och lämnar utredningen förslag till ett effektivare informations-

Gällande rätt och internationella överenskommelser

SOU 2015:73

samhet, men har inte någon bindande verkan för det allmänna. Den kan därför inte ligga till grund för några individuella rättigheter (se prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173).

I 2 kap. 4 och 5 §§ RF finns bestämmelser om förbud mot all- varliga fysiska integritetsintrång (bland annat dödsstraff och kropps- straff) och enligt 2 kap. 6 § RF är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestäm- melsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden.

Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demo- kratiskt samhälle. Begränsningen får inte gå utöver vad som är nöd- vändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsikts- bildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskåd- ning. För andra än svenska medborgare här i riket får särskilda begränsningar göras genom lag (se 2 kap. 25 § första stycket 3 RF).

Grundlagsändringen innebär att regler om behandling av informa- tion om enskildas personliga förhållanden som sker från det allmän- nas sida utan den enskildes samtycke och som innebär ett betydande intrång i den personliga integriteten i vissa fall måste anges i lag.

Bestämmelsen och motiven till denna behandlas vidare i avsnitt 6.2.

3.3Internationella konventioner m.m.

3.3.1FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och med- borgerliga rättigheter men även sociala, ekonomiska och kulturella rättigheter. Den allmänna förklaringen är inte bindande för med- lemsstaterna, men ses numera som ett uttryck för sedvanerättsliga regler.

SOU 2015:73

Gällande rätt och internationella överenskommelser

Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för an- grepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.

Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättig- heter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om med- borgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen.

I artikel 17 i konventionen upprepas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kontroller införts, bland annat rapporteringsskyldighet för medlemsstaterna. Kommittén för mänsk- liga rättigheter (Human Rights Committee) har inrättats för att över- vaka att medlemsstaterna efterlever sina skyldigheter enligt konven- tionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personupp- gifter (Guidelines concerning computerized personal data files).

Riktlinjerna anger tio grundläggande principer som medlemsstater- na ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta är för att försäkra att alla personupp- gifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ända- målet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.3.2Europakonventionen

De rättigheter som anges i FN:s allmänna förklaring om de mänsk- liga rättigheterna har utvecklats vidare i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Konven- tionen inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.

Av 2 kap. 19 § RF framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den all- männa säkerheten, landets ekonomiska välstånd, till förbyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsom- rådet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättig- heten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättig- heter i europeisk praxis, 4 uppl., 2012, s. 347 f.). Bestämmelsen medför en skyldighet för medlemsstaterna att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyl- dighet för myndigheter att agera i enskilda fall.

En inskränkning i en konventionsskyddad rättighet ska ha stöd i inhemsk lag. Med det följer också krav på att lagen ska vara så pre- ciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Intrånget ska vidare vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.3.3Europarådets dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i Europeiska union- en (EU) har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden. Rekommendationerna är inte bindande.

Dataskyddskonventionen innehåller principer för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning.

Konventionen har enligt artikel 1 till syfte att säkerställa respek- ten för grundläggande fri- och rättigheter, särskilt rätten till person- lig integritet i samband med automatisk databehandling av person- uppgifter. Konventionens tillämpningsområde är enligt artikel 2 automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En konventions- stat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet.

Den centrala delen av konventionen är kapitel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter som undergår auto- matisk databehandling ska hämtas in och behandlas på ett korrekt och lagligt sätt för särskilt angivna ändamål. Uppgifterna ska vara relevanta för dessa ändamål och får inte senare användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna får inte bevaras längre tid än vad som är nödvändigt med avseende på ändamålet. Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd. Konventionen innehåller också bestäm- melser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel vid brott mot en konventionsskyddad rättighet. Konventionens bestämmelser kan ses som en precisering av skyddet för enskilda vid användning av auto- matisk databehandling enligt artikel 8 i Europakonventionen.

Det grundläggande skyddet vid automatiserad behandling av per- sonuppgifter inom EU regleras i dag främst genom dataskydds- direktivet (se avsnitt 3.4). Direktivet gäller dock inte vid behandling

Gällande rätt och internationella överenskommelser

SOU 2015:73

av personuppgifter på områden som faller utanför EU:s kompetens- område, till exempel allmän säkerhet, försvar och statens säkerhet. På sådana områden är dataskyddskonventionen således fortfarande relevant.

3.3.4OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integri- tetsskyddet och flödet av personuppgifter över gränserna (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data).

Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs en rekommendation till medlemsländernas regeringar att beakta rikt- linjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna.

Riktlinjerna, som är att uppfatta som minimiregler, motsvarar i princip de bestämmelser som finns i dataskyddskonventionen. De är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras automatiskt och uppgifter som förs manuellt. Riktlinjerna innehåller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande prin- cip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

3.3.5Europeiska unionens stadga om de grundläggande rättigheterna

Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlems- stater Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Lissabonfördraget, som trädde i kraft 2009, innebär att EU-stadgan numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler. Genom stadgan

SOU 2015:73

Gällande rätt och internationella överenskommelser

kodifierades de grundläggande fri- och rättigheterna som EU redan hade erkänt.

I stadgan anges de grundläggande rättigheterna under sex huvud- rubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och den ger ett skydd för män- niskans rätt till frihet och säkerhet och rätten till en rättvis rätte- gång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, till exempel personuppgiftsskydd.

När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (arti- kel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för person- uppgifter som rör honom eller henne (artikel 8).

I artikel 8 anges vidare att personuppgifter ska behandlas lag- enligt för bestämda ändamål och på grundval av den berörda per- sonens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. I artikeln stadgas också att en oberoende myndighet ska kontrollera att reglerna efterlevs.

Stadgan är enligt artikel 51 tillämplig i verksamhet som utförs av unionens institutioner, organ och byråer samt av medlemsstaterna när dessa tillämpar unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftnings- kompetens.

Av artikel 52 följer att varje begränsning av stadgans fri- och rättigheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och be- gränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. I de fall stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd.

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.4Dataskyddsdirektivet

Inom EU regleras behandling av personuppgifter i Europaparlamen- tets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Syftet med direktivet är enligt artikel 1.1 att skydda fysiska per- soners grundläggande fri- och rättigheter (särskilt rätten till privat- liv) i samband med behandling av personuppgifter. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma, men de in- hemska reglerna får inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automatisk behandling av personuppgifter om de ingår eller är avsedda att ingå i ett register. Med register avses i sammanhanget varje strukturerad samling av personuppgifter som är tillgänglig en- ligt särskilda kriterier, oavsett om samlingen är centraliserad, decentra- liserad eller spridd på grundval av funktionella eller geografiska förhållanden. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verk- samhet på straffrättens område eller register för privat bruk. Även behandling av personuppgifter för uteslutande journalistiska, konst- närliga och litterära ändamål undantas.

Personuppgifter får samlas in endast för särskilda, uttryckligt an- givna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller veten- skapliga ändamål ska inte anses oförenlig med dessa ändamål, förut- satt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Personuppgifter får behandlas när den enskilde lämnat sitt sam- tycke. Därutöver får personuppgifter behandlas endast 1) när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, 2) när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, 3) när det är nödvändigt för att skydda den enskildes grundläggande intressen, 4) när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller 5) om det i övrigt

SOU 2015:73

Gällande rätt och internationella överenskommelser

skett en intresseavvägning som resulterat i att behandling av person- uppgifter ska få ske.

Medlemsstaterna ska förbjuda behandling av känsliga person- uppgifter, dvs. uppgifter som avslöjar ras, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration.

Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från för- budet än dem som anges i direktivet, dock endast under förutsätt- ning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.

När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon in- formation i de fall den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den registrerade har också rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blocke- rade. Direktivet innehåller vidare regler om säkerhet vid behand- lingen.

All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten.

Den registrerade ska ha rätt att få sina rättigheter enligt den natio- nella lagen prövad av tillsynsmyndigheten och av domstol. Tillsyns- myndigheten ska vara ett oberoende organ. Den ska ha befogenhet att undersöka och ingripa effektivt mot otillåten behandling av per- sonuppgifter.

Överföring av personuppgifter till ett tredjeland, dvs. ett land utanför EU, får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.

Gällande rätt och internationella överenskommelser

SOU 2015:73

Reformarbete

Europeiska kommissionen presenterade i november 2010 meddelan- det Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (KOM/2010/0609) som innehöll en strategi för att stärka EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I början av år 2012 lade kom- missionen fram ett förslag till reform av EU:s regler om skydd för personuppgifter. Syftet var att modernisera reglerna i dataskydds- direktivet och få till stånd en mer enhetlig tillämpning inom EU. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en uppgiftsskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även nationell lagstiftning. För Sveriges del berörs bland annat personuppgifts- lagen (1998:204).

I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Ett förslag till betänkande lades fram i december 2012 och i oktober 2013 röstade LIBE-utskottet fram ett förslag.

Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för för- slaget till uppgiftsskyddsförordning. I resolutionen beträffande upp- giftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg.

Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande (juni 2015). Hittills har emellertid tre delöverens- kommelser uppnåtts och det synes föreligga en relativt stor enighet inom rådet om bland annat att det finns behov av att skapa ytter- ligare flexibilitet för den offentliga sektorn.

Den fortsatta processen med uppgiftsskyddsförordningen är beroende av att förhandlingarna inom rådet kan slutföras. Ambition- en synes vara att RIF-rådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Europeiska rådet

SOU 2015:73

Gällande rätt och internationella överenskommelser

(stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under år 2015.

Ett införande av förordningen har bedömts viktigt för att för- verkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för år 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om in- förande av förordningen inom en inte alltför avlägsen tid. Enligt kom- missionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.

3.5Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom person- uppgiftslagen (1998:204, PUL) och personuppgiftsförordningen (1998:1191, PUF). Personuppgiftslagen följer i princip dataskydds- direktivets text och disposition och innehåller bland annat bestäm- melser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, skadestånd och straff. Syftet med lagen är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som av- viker från personuppgiftslagen, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i särskilda register- författningar som reglerar behandling av personuppgifter hos vissa myndigheter eller inom viss verksamhet på det offentliga området.

3.5.1Några viktiga begrepp

I 3 § PUL finns definitioner av vissa grundläggande begrepp. Be- handling (av personuppgifter) avser varje åtgärd eller serie av åtgär- der som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i bestäm- melsen insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter,

Gällande rätt och internationella överenskommelser

SOU 2015:73

sammanställning eller samkörning, blockering, utplåning eller för- störing.

Så snart personuppgifter på något sätt hanteras är det enligt för- arbetena fråga om en behandling som faller inom personuppgifts- lagens tillämpningsområde, oavsett om behandlingen är automatisk eller avser ett manuellt personregister (se SOU 1997:39 s. 332). Av- sikten är att alla former av hantering ska omfattas.

Mottagare definieras som den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Som exem- pel på personuppgifter kan nämnas personnummer, registrerings- nummer för fordon och kundnummer. Definitionen av personupp- gifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena till personuppgiftslagen anförs att en uppgift om en persons arvs- anlag (DNA) kan vara en uppgift som avser flera personer, eftersom denna uppgift i kombination med andra uppgifter kan ge upplys- ning om den personens föräldrar och avkomma (se SOU 1997:39 s. 338). Enligt förarbetena omfattas även krypterade personuppgifter av lagen om uppgifterna kan göras läsbara och därmed identifiera individer. Även sådana uppgifter som i sig är anonyma, men som möjliggör identifikation genom s.k. bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den personuppgiftsansvarige själv förfogar över samtliga upp- gifter som gör identifieringen möjlig.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av person- uppgifter i lagens mening finns det en eller flera personuppgifts- ansvariga för den behandlingen. Den personuppgiftsansvarige har ansvar för att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Om behandling sker i strid med lagen kan den personuppgiftsansvarige bli skadeståndsskyldig. Som huvudregel kan

SOU 2015:73

Gällande rätt och internationella överenskommelser

därför bara fysiska och juridiska personer, utländska filialer och myndigheter betraktas som personuppgiftsansvariga.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträden. Den personuppgiftsan- svarige har skadeståndsansvar gentemot de registrerade för person- uppgiftsbiträdets behandling av personuppgifter. Personuppgifts- biträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.

Ett personuppgiftsombud är en fysisk person som, efter förord- nande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Den registrerade är den som en personuppgift avser. Av defini- tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.

Med samtycke avses enligt definitionen varje slag av frivillig, sär- skild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I personuppgiftslagen finns inte några sär- skilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade (se SOU 1997:39 s. 342) Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som kan avge en frivillig viljeyttring, som innebär att han eller hon god- tar behandlingen, kan lämna ett rättsligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respek- terar individen i den meningen att den som förstår vad det handlar om får bestämma själv. Frågan om när någon har sådan mognad att han eller hon förstår vad samtycket innebär får avgöras med beak- tande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.

Tillsynsmyndigheten är den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyn- dighet.

Gällande rätt och internationella överenskommelser

SOU 2015:73

Tredjeland är en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES).

3.5.2Det territoriella tillämpningsområdet

Det följer av 4 § PUL att bestämmelserna gäller för sådana person- uppgiftsansvariga som är etablerade i Sverige. Lagen ska som huvud- regel också tillämpas när den personuppgiftsansvarige är etablerad i en stat som inte ingår i EU eller är ansluten till EES, men som för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.

3.5.3Behandling av uppgifter som omfattas av lagen

I 5 § PUL slås det fast att lagen gäller för all behandling av person- uppgifter som är helt eller delvis automatiserad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binärform), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som automatiserad behandling (se SOU 1997:39 s. 344). Så snart en personuppgift har kommit in i en dator eller motsvarande maskin är det att betrakta som sådan auto- matiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bild- uppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller avses att ingå i ett register.

Även delvis automatiserad behandling av personuppgifter om- fattas av lagen. Exempel på sådan användning är att personuppgifter samlas in manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat.

Av andra stycket 5 § PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automati- serad. Den behandling som avses är manuellt behandlade person- uppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett re- gister, dvs. en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

SOU 2015:73

Gällande rätt och internationella överenskommelser

Ett register är enligt förarbetena en samling av personuppgifter som innehåller uppgifter om fler än en person (se SOU 1997:39 s. 339). För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. De kan till exempel inte röra sig om en hög med lösa papper på ett skrivbord, även om pappren för tillfället är sorte- rade i bokstavsordning efter efternamn. Uppgiftssamlingen måste också vara strukturerad. Det innebär att uppgifterna ska vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkterna 15 och 27 i ingressen till dataskyddsdirektivet framgår att kriterier- na ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter, men som inte är sökbart med hjälp av någon personuppgift (till exempel namn eller personnummer) om- fattas således inte.

3.5.4Undantag från personuppgiftslagen

Undantag för behandling av personuppgifter i ostrukturerat material

Enligt 5 a § PUL behöver vissa i bestämmelsen angivna regler i lagen inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har struk- turerats för att påtagligt underlätta sökning efter eller sammanställ- ning av personuppgifter, s.k. ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behandling emellertid inte får utföras om den innebär en kränkning av den registrerades per- sonliga integritet.

Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sam- manställning av just personuppgifter. I det undantagna området ingår till exempel löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem (se SOU 2004:6 s. 12

Gällande rätt och internationella överenskommelser

SOU 2015:73

och prop. 2005/06:173 s. 21). Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.

Undantag för privat behandling av personuppgifter

Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verk- samhet av rent privat natur.

Förhållandet till tryck- och yttrandefriheten

Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträck- ning det skulle strida mot bestämmelserna om tryck- och yttrande- frihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrund- lagen (YGL).

Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av per- sonuppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel i en tryckt skrift eller ett radio- program.

Bestämmelsen innebär vidare undantag för den grundlagsskyd- dade rätten att sprida yttranden, meddelarfriheten och anskaffar- friheten.

Enligt bestämmelsens andra stycke ska vissa bestämmelser i per- sonuppgiftslagen inte tillämpas på sådan behandling av personupp- gifter som sker uteslutande för journalistiska ändamål eller konst- närligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behand- ling.

Förhållandet till offentlighetsprincipen

Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelser- na om offentlighetsprincipen i 2 kap. TF att lämna ut personupp- gifter.

SOU 2015:73

Gällande rätt och internationella överenskommelser

Offentlighetsprincipen innebär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar i den utsträckning handlingarna inte innehåller uppgifter som är sekretess- belagda. Av betydelse för principen är också myndigheternas skyldig- het enligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym.

Offentlighetsprincipen innebär således en skyldighet för myndig- heter att bevara ett stort antal uppgifter under en icke förutbestämd tid samt att som huvudregel lämna ut sådana uppgifter utan att veta för vilket ändamål de ska behandlas. Det är tydligt att förhållandet mellan dataskyddsdirektivet och offentlighetsprincipen inte är helt klart och frågan behandlades bland annat under lagstiftningsarbetet inför införandet av personuppgiftslagen (se prop. 1997/98:44 s. 43 f.). Bland annat invände Lagrådet mot tolkningen att direktivet gick att förena med offentlighetsprincipen.

Förhållandet till arkivlagstiftningen

Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Utgångspunkten i arkivlagstiftningen är att myndigheter ska bevara uppgifter och inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Även i detta sammanhang har fråga uppkommit om hur de olika regelverken förhåller sig till varandra. Hur arkivlagstiftningens krav på bevarande ska tillämpas i förhållande till personuppgiftslagens krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras diskuteras bland annat i förarbetena till personuppgifts- lagen (se prop. 1997/98:44 s. 47 f.).

Regeringens möjlighet att meddela föreskrifter om undantag

Av 8 a § PUL följer att regeringen får meddela föreskrifter om undantag från flera bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.5.5Krav på behandlingen av personuppgifter

9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att person- uppgifter behandlas bara om det är lagligt och att de alltid behand- las på ett korrekt sätt och i enlighet med god sed (punkten a och b). Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). Bestämmelsen innebär att ända- målen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen, men det finns inte något krav på att ändamålsangivelsen ska ned- tecknas.

Efter insamlingen får uppgifterna inte behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in (punkten d). Denna s.k. finalitetsprincipen är av central betydelse vid behandling av personuppgifter. Den innebär att det, när behand- ling för nya ändamål ska ske, måste göras en prövning av om dessa ändamål är oförenliga med de ursprungligen angivna ändamålen. Den som utlämnar personuppgifterna måste beakta vad mottagaren ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen.

Personuppgifterna ska vidare vara adekvata och relevanta i för- hållande till ändamålen med behandlingen (punkten e). Den person- uppgiftsansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (punk- terna f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofull- ständiga med hänsyn till ändamålen med behandlingen (punkten h). Slutligen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (punkten i). Bestämmelsen innebär att uppgifterna därefter måste avidentifieras eller förstöras. Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras.

För personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler. Behandling av sådana uppgifter ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter

100

SOU 2015:73

Gällande rätt och internationella överenskommelser

kan användas för till exempel vetenskaplig forskning oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Vidare får sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som behandlas för histo- riska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Det är som anges ovan den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen.

3.5.6Tillåten behandling av personuppgifter

I 9 § PUL anges de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av person- uppgifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL föreligga. Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Vid be- handling av känsliga personuppgifter, uppgifter om lagöverträdelser m.m. samt personnummer eller samordningsnummer krävs det dess- utom att behandlingen är tillåten enligt de bestämmelser som gäller för behandling av sådana uppgifter (13–22 §§ PUL).

Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som avses med samtycke fram- går av definitionen i 3 § PUL. Om den registrerade återkallar sitt samtycke får ytterligare personuppgifter om den registrerade inte behandlas därefter (12 § första stycket PUL).

Personuppgifter får under vissa förutsättningar behandlas även om den enskilde inte lämnat sitt samtycke. I sådana fall krävs det att behandlingen är nödvändig för ett i lagen angivet syfte. Vad som avses med att behandlingen är nödvändig är inte helt klart. Som an- förs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mer och tar betydligt längre tid än att behandla personupp- gifterna automatiserat (se SOU 1997:39 s. 359). I senare förarbeten

101

Gällande rätt och internationella överenskommelser

SOU 2015:73

har det konstaterats att nödvändighetskravet inte rimligen kan inne- bära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbets- uppgift däremot utföras nästan lika enkelt och billigt utan att person- uppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter be- handlas på automatiserad väg.

Om nödvändighetskravet är uppfyllt får personuppgifter behand- las utan den enskildes samtycke i följande fall.

a)Ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl- dighet,

c)vitala intressen för den registrerade ska kunna skyddas,

d)en arbetsuppgift av allmänt intresse ska kunna utföras,

e)om det är nödvändigt för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna ut- föra en arbetsuppgift i samband med myndighetsutövning och

f)ett ändamål som rör ett berättigat intresse hos den personupp- giftsansvarige eller hos en sådan tredje man till vilken person- uppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränk- ning av den personliga integriteten.

3.5.7Förbud mot behandling av känsliga personuppgifter

Enligt 13 § PUL är det förbjudet att behandla uppgifter som av- slöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filo- sofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga personuppgifter.

102

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.5.8Undantag från förbudet mot behandling av känsliga personuppgifter

Det följer av 14 § PUL att det trots förbudet i 13 § är tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§. Så kan till exempel ske om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort upp- gifterna, se 15 § PUL.

Om den enskilde inte lämnat sitt samtycke får känsliga person- uppgifter behandlas om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, se 16 § PUL. Personuppgifter får dock i sådana fall lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utläm- nandet. Förbudet mot behandling av känsliga personuppgifter gäller vidare inte om den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller rättsliga anspråk ska kunna fastställas, göras gällande eller för- svaras, se 16 § PUL.

Enligt 17 § PUL får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regel- bunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Det följer av 18 § PUL att känsliga personuppgifter får behand- las för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Slutligen gäller att känsliga personuppgifter under vissa förhållan- den får behandlas för forsknings- och statistikändamål, se 19 § PUL.

103

Gällande rätt och internationella överenskommelser

SOU 2015:73

Regeringen eller den myndighet som regeringen bestämmer, i det här fallet Datainspektionen, får meddela föreskrifter om ytterligare undantag från förbudet i 13 § PUL, om det behövs med hänsyn till ett viktigt allmänt intresse, se 20 § PUL.

3.5.9Särskilt om begreppet ras

Användningen av begreppet ras har diskuterats i olika sammahang under senare år. Riksdagen har uttalat att det inte finns någon veten- skaplig grund för att dela in människor i skilda raser och från bio- logisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor (se bet. 1997/98:KU 29 s. 7). Användningen av ordet ras i författningstexter riskerar enligt riksdagen att under- blåsa fördomar. Riksdagen har dock konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det i princip uteslutande används i författningar som grun- das på internationella överenskommelser eller författningar som genomför EU-direktiv. I propositionen En reformerad grundlag före- slog regeringen att begreppet ras skulle utmönstras ur regerings- formen (se prop. 2009/10:80 s. 152). Riksdagen antog förslaget och i regeringsformen används i dag i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (se 2 kap. 12 och 24 §§ RF). I förarbetena till kustbevakningsdatalagen konstateras att unionsrätten inte kräver att ett direktiv införlivas ordagrant i natio- nell rätt utan snarare att ändamålet med regleringen uppfylls. Det torde därmed i och för sig inte finnas något omedelbart hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med ett annat begrepp som har samma ändamål (se prop. 2011/12:45 s. 94). Det anses, enligt propositionen, emellertid inte lämpligt att endast i ett specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personupp- gifter. Det anförs att det dock är regeringens avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning.

Mot denna bakgrund använder utredningen begreppet ras i detta betänkande.

104

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.5.10Behandling av personuppgifter om lagöverträdelser m.m.

I 21 § PUL regleras behandling av personuppgifter som rör lagöver- trädelser m.m. Enligt bestämmelsen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling. Sådana upp- gifter får dock behandlas för forskningsändamål av andra än myndig- heter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får enligt i 21 § tredje och fjärde stycket PUL meddela föreskrifter om undantag från förbudet och de får även besluta om undantag i enskilda fall.

3.5.11Behandling av uppgifter om personnummer

Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får där- emot fritt besluta hur de materiella reglerna ska utformas.

Behandling av personnummer och samordningsnummer utan den enskildes samtycke regleras i 22 § PUL. Enligt bestämmelsen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ända- målet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

3.5.12Rätt till information

Personuppgiftslagen medför vissa skyldigheter för den personupp- giftsansvarige. Den personuppgiftsansvarige ska, om personuppgiften samlas in från personen själv, självmant lämna den registrerade in- formation om behandlingen av uppgifterna, se 23 § PUL. Om upp- gifterna har samlats in från någon annan källa ska sådan information lämnas till den registrerade när uppgifterna registreras, se 24 § PUL. Är uppgifterna avsedda att lämnas ut till tredje man behöver infor- mationen dock inte ges förrän uppgifterna lämnas ut första gången.

105

Gällande rätt och internationella överenskommelser

SOU 2015:73

Informationskravet gäller inte om det finns bestämmelser om regi- strerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade ska dock information lämnas senast i samband med att åtgärden vidtas.

Den information som lämnas till den registrerade ska innehålla all information som kan behövas för att den registrerade ska kunna ta tillvara sina rättigheter under behandlingen, till exempel uppgift om den personuppgiftsansvariges identitet och ändamålet med be- handlingen, se 25 § PUL. Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per år gratis lämna besked om huruvida personuppgifter som rör den sökande behand- las eller inte, se 26 § PUL. Behandlas sådana uppgifter ska informa- tion lämnas om vilka uppgifter som behandlas, varifrån de har häm- tats, ändamålen med behandlingen och till vem de lämnas ut. Sådan information behöver dock inte lämnas avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör en minnesanteckning eller liknande i vissa fall. Åsyftade situationer är om inte uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller om uppgifterna har behandlats under längre tid än ett år.

Av 27 § PUL följer att bestämmelserna om informationsplikt inte gäller om uppgifterna om sekretess eller tystnadsplikt är före- skriven för uppgifterna.

3.5.13Rättelse

Den personuppgiftsansvarige är på begäran av den registrerade skyl- dig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som meddelats med stöd av lagen, se 28 § PUL. Med blockering avses enligt definitionen i 3 § PUL en åtgärd som vidtas för att personuppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och för att

106

SOU 2015:73

Gällande rätt och internationella överenskommelser

personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF.

Om felaktiga uppgifter har lämnats ut till tredje man är den personuppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

3.5.14Säkerhet vid behandling

För att säkerställa en hög säkerhetsnivå vid behandling av person- uppgifter finns särskilda bestämmelser om detta i 30−32 §§ PUL. Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får be- handla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Behandlingen ska framgå av ett skriftligt avtal. Den personuppgiftsansvarige är vidare skyldig att vidta lämp- liga tekniska och organisatoriska åtgärder för att skydda de person- uppgifter som behandlas. Åtgärderna ska garantera en säkerhetsnivå som är lämplig med hänsyn till de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den person- uppgiftsansvarige ska vidta. Ett sådant beslut får förenas med vite.

3.5.15Överföring av uppgifter till tredjeland

Det är enligt 33 § PUL förbjudet att föra över personuppgifter till tredjeland, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyddet av personuppgifterna.

Vid bedömningen om ett land har adekvat skyddsnivå ska hänsyn tas till samtliga omständigheter som har samband med överföringen. Av särskild betydelse är uppgifternas art, ändamålet med behand- lingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga

107

Gällande rätt och internationella överenskommelser

SOU 2015:73

bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.

I 34 och 35 §§ PUL finns undantag från förbudet mot överföring till tredjeland, bland annat vid den enskildes samtycke. Överföring till tredjeland får också ske om överföringen bedöms nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas eller ett avtal mellan den person- uppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras. Undantag gäller vidare om överföring krävs för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Det är också tillåtet att föra över personuppgifter för an- vändning enbart i en stat som har anslutit sig till dataskyddskonven- tionen.

Regeringen får meddela föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen och, i de fall regeringen förordnat om det, Datainspektionen, får vidare med- dela föreskrifter om undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller Datainspektionen får också under vissa förutsättningar i enskilda fall besluta om undantag från förbudet.

3.5.16Anmälan till datainspektionen

Den personuppgiftsansvarige ska göra en skriftlig anmälan till Data- inspektionen innan en behandling av personuppgifter som är helt eller delvis automatiserad påbörjas, se 36 § PUL. Om den person- uppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till inspektionen behöver sådan anmälan emellertid inte göras, se 37 §. Personuppgiftsombudet ska dock föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.

Vidare får regeringen eller, om regeringen bestämmer det, Data- inspektionen, meddela föreskrifter om undantag från anmälnings- skyldigheten för sådana typer av behandlingar som sannolikt inte

108

SOU 2015:73

Gällande rätt och internationella överenskommelser

kommer att leda till otillbörligt intrång i den personliga integriteten. Regeringen får också meddela föreskrifter om att sådana behand- lingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhands- kontroll till Datainspektionen. I sådana fall måste anmälan göras även om det finns ett personuppgiftsombud.

Den personuppgiftsansvarige är skyldig att till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om behandling av personuppgifter som inte har anmälts till Datainspek- tionen, se 42 § PUL. Skyldighet föreligger dock inte om uppgifter- na är belagda med sekretess eller tystnadsplikt.

3.5.17Personuppgiftsombud

Som framgår ovan har en personuppgiftsansvarig möjlighet att utse ett personuppgiftsombud och anmäla det till Datainspektionen.

Personuppgiftsombudets uppgift är att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att påpeka even- tuella brister för honom eller henne, se 38 §.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse efter på- pekande, ska personuppgiftsombudet anmäla förhållandet till Data- inspektionen. Personuppgiftsombudet ska vidare samråda med Data- inspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas. I personuppgifts- ombudets uppgifter ingår också att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personupp- gifter är felaktiga eller ofullständiga.

3.5.18Datainspektionens befogenheter

Tillsynsmyndigheten har för det första rätt att utöva tillsyn. Myn- digheten har således rätt att på begäran få tillgång till de person- uppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och till- träde till sådana lokaler som har anknytning till behandlingen av

109

Gällande rätt och internationella överenskommelser

SOU 2015:73

personuppgifter, se 43 § PUL. Om dessa åtgärder inte är tillräckliga får Datainspektionen vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, se 44 § PUL.

I de fall Datainspektionen konstaterar att personuppgifter behand- las eller kan komma att behandlas på ett olagligt sätt ska myndig- heten i första hand genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Sker inte rättelse eller är saken bråd- skande får Datainspektionen under vissa omständigheter vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem, se 46 § PUL. Inspektionen får också ansöka hos förvaltningsrätten om att personuppgifter som behandlats på ett olagligt sätt ska ut- plånas, se 47 §.

3.5.19Skadestånd och straff

Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga inte- griteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock jämkas, om det är skäligt och om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

I 49 § PUL finns bestämmelser om straff vid överträdelse av vissa bestämmelser i lagen. Straffskalan är böter eller fängelse i högst sex månader eller, vid grovt brott, högst två år. I ringa fall ska dock inte dömas till ansvar.

3.6Särskilda registerförfattningar

Personuppgiftslagen är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde, se 2 § PUL. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetas en stor mängd specialförfattningar med bestämmelser som rör behandling av personuppgifter, s.k. sär- skilda registerförfattningar. Exempel på sådana är förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, patientdatalagen

110

SOU 2015:73

Gällande rätt och internationella överenskommelser

(2008:355), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145). Syftet med de särskilda registerförfattningarna är att anpassa lagstiftningen efter de särskilda behov som finns inom olika verksamhetsområden i den offentliga sektorn. Ibland kan det finnas behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger. Det kan till exempel röra sig om en typ av behandling som inte är tillåten enligt personuppgiftslagen eller att det finns ett behov av att precisera den reglering som finns i person- uppgiftslagen. I sådana fall kan en registerförfattning ge ett anpassat integritetsskydd vid en myndighets hantering av personuppgifter. Det bör i sammanhanget noteras att det länge har varit ett uttalat mål från riksdagen att myndighetsregister med ett stort antal registre- rade och med ett känsligt innehåll ska regleras särskilt i lag (se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41).

Här ska dock nämnas att det i olika sammanhang har framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och fragmenterat rättsområde. Det är mot den bakgrunden som man ska se Informationshanteringsutredningens betänkande Myndig- hetsdatalag, SOU 2015:39.

3.7Utlänningsdataförordningen

3.7.1Tillämpningsområde

Personuppgiftsbehandling i verksamhet enligt utlännings- och med- borgarskapsområdet regleras i förordningen (2001:720) om behand- ling av personuppgifter i verksamhet enligt utlännings- och med- borgarskapslagstiftningen (utlänningsdataförordningen).

Enligt 1 § utlänningsdataförordningen gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och ut- landsmyndigheternas verksamhet enligt utlännings- och medborgar- skapslagstiftningen. Med sådan verksamhet avses i förordningen följande.

1.Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2.verksamhet som gäller utlänningars rätt att arbeta i landet,

111

Gällande rätt och internationella överenskommelser

SOU 2015:73

3.mottagande av asylsökande och vissa andra utlänningar,

4.verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,

5.verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och

6.verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrations- verket.

En registrerad har inte rätt att motsätta sig behandling av person- uppgifter som sker i enlighet med förordningen.

I bestämmelsen finns också en erinran om att det i Europaparla- mentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) finns bestämmelser om behandling av person- uppgifter i VIS för viseringsmyndigheter, myndigheter som ansvarar för kontroll av personers gränspassage, myndigheter som ansvarar för kontroll av utlänningars rätt att uppehålla sig i medlemsstaten samt för den centrala utlänningsmyndigheten, dvs. Migrationsverket (se vidare om VIS-förordningen i avsnitten 4.3.3 och 7.4.1).

3.7.2Personuppgiftsansvar

Migrationsverket, Polismyndigheten och Säkerhetspolisen är person- uppgiftsansvariga för den personuppgiftsbehandling som respektive myndighet utför, se 2 § utlänningsdataförordningen. Migrations- verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför.

3.7.3Verksamhetsregister

Enligt 3 § utlänningsdataförordningen får automatiserade register föras i ärenden som handläggs av respektive myndighet (s.k. verk- samhetsregister). I ett verksamhetsregister får personuppgifter be- handlas för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning eller fullgörande av

112

SOU 2015:73

Gällande rätt och internationella överenskommelser

underrättelseskyldighet som följer av lag eller annan författning. Personuppgifter får också behandlas för tillsyn, kontroll, uppfölj- ning och planering av verksamheten samt framställning av statistik.

Personuppgifter får endast behandlas om det är nödvändigt för det ändamål för vilket behandlingen utförs, se 4 § utlänningsdata- förordningen.

De uppgifter som får behandlas i ett verksamhetsregister delas in i sex kategorier. Till identitetsuppgifter hör bland annat namn, person- eller samordningsnummer, födelsetid, kön, vårdnadshavare och civilstånd. Med uppgifter som behövs för handläggningen av ären- den avses till exempel uppgifter som rör utlänningens resa och an- komst till Sverige och uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet och hälsotillstånd om uppgifterna är oundgäng- ligen nödvändiga för de ändamål som anges i 3 § utlänningsdata- förordningen. Till kategorin uppgifter som behövs för mottagandet av asylsökande m.fl. hör uppgifter om inskrivning vid boendeenhet och om utbildning, yrke och anställning. Under uppgifter som behövs för förvar och andra tvångsåtgärder enligt utlänningslagen (2005:716) anges uppgifter om inskrivning vid förvarsenhet och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för förvarstagandet. Även uppgifter som behövs för verkställighet enligt 12 kap. utlänningslagen får behandlas. Dit hör uppgifter om utresan och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nöd- vändiga för verkställigheten. Slutligen får också uppgifter om beslut registreras, exempelvis beslut i frågor om uppehålls- och arbetstill- stånd, återreseförbud eller visering.

Känsliga personuppgifter får enligt 5 § utlänningsdataförordningen behandlas endast om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden i enlighet med vad som före- skrivs i lag eller annan författning och fullgörande av underrättelse- skyldighet som följer av lag eller annan författning.

3.7.4Direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst (när det gäller begreppet, se SOU 2012:90 s. 198, SOU 2015:39 s. 136 f. och s. 389 f. och nedan nämnda förarbeten). Med direktåtkomst avses

113

Gällande rätt och internationella överenskommelser

SOU 2015:73

vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bland annat prop. 2009/10:85 s.168). I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se bland annat prop. 2004/05:164 s. 83 och prop. 2022/12:45 s. 133).

Enligt 6 § utlänningsdataförordningen får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåt- komst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsupp- gifter i verksamhet enligt utlännings- och medborgarskapslagstift- ningen.

Även Försäkringskassan och Pensionsmyndigheten får ha direkt- åtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § utlänningsdataförordningen. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om mot- svarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksam- het som avser registrering av enskilda. I bestämmelsen anges också vilka kategorier av uppgifter Försäkringskassan och Pensionsmyn- digheten får ges tillgång till.

Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, 6 b § utlänningsdataförord- ningen. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige. Direktåtkomsten får endast avse uppgift om namn och personnum- mer, längd, fotografi, underskrift, typ av resehandling, resehand- lingens nummer och giltighetstid samt bevis om uppehållstillstånd.

114

SOU 2015:73

Gällande rätt och internationella överenskommelser

3.7.5Sökbegrepp

Vid sökning i myndigheternas datasamlingar får känsliga person- uppgifter inte användas som sökbegrepp.

3.7.6Rättsfallsregister

Migrationsverket får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information, s.k. rättsfallsregister, se 8 § utlänningsdataförordningen. Ett rättsfallsregister får inte innehålla personuppgifter som direkt pekar ut den registrerade.

De personuppgifter som finns i ett rättsfallsregister får föras över till en stat som inte ingår i EU och heller inte är ansluten till EES.

3.7.7Fingeravtrycksregister

I 9 § utlänningsdataförordningen anges att Migrationsverket får föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Enligt bestämmelsen får Migrationsverket eller polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kom- mer till Sverige, utlänningen ansöker om uppehållstillstånd som flyk- ting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.

Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats samt i ärenden om av- visning och utvisning. Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.

En uppgift i registret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.

115

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

utlännings- och medborgarskapslagstiftningen, lagstiftningen om mottagande av asylsökande m.fl. samt andra författningar.

Migrationsverket är också kontaktmyndighet eller ansvarig myn- dighet inom EU-samarbetet, se 3 § förordningen med instruktion för Migrationsverket. Migrationsverket är till exempel kontaktmyn- dighet i frågor som rör databasen för identifiering av fingeravtryck, Eurodac, ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden samt kontaktmyndighet i frågor som rör massflyktssituationer enligt 21 kap. UtlL. Vidare är Migra- tionsverket registeransvarig och har centralt ansvar för Sveriges be- handling av personuppgifter i VIS (se avsnitt 4.3.3). I ansvaret ingår att föra register över all behandling av personuppgifter i VIS och över de personer som är behöriga att föra in eller använda uppgifter i VIS samt vara den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.

Migrationsdomstolarna blir aktuella när någon överklagar Migra- tionsverkets eller någon annan myndighets beslut som kan överklagas dit. Allmän domstol kan besluta om utvisning på grund av brott.

Polismyndigheten genomför personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Polis- myndigheten får i vissa fall besluta om avvisning och verkställer egna beslut om avvisning. Myndigheten verkställer även allmän dom- stols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning. Polismyndigheten verkställer vidare utlämningar och överlämnanden med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375)om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden. Myndigheten kan föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säker- het eller allmän säkerhet. Migrationsverkets beslut i ett sådant säker- hetsärende får överklagas av Säkerhetspolisen. Säkerhetspolisen får vidare enligt 2 § lagen (1991:572) om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket och är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande.

118

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller ut- visning i säkerhetsärenden enligt lagen om särskild utlänningskontroll.

När det gäller utlandmyndigheterna följer det av 3 kap. 9 § för- ordningen (2014:115) med instruktion för utrikesrepresentationen att beskickningar och konsulat ska handlägga migrationsärenden enligt EU:s förordningar och utlänningslagstiftningen samt biträda Migrationsverket, Polismyndigheten och Säkerhetspolisen i ärenden enligt utlänningslagstiftningen. Utlandsmyndigheternas främsta upp- gift är att utfärda Schengenviseringar. Biträdet till andra myndig- heter enligt ovan nämnda förordning kan till exempel innebära att hjälpa Migrationsverket att kontrollera att de uppgifter en asylsökan- de har lämnat i sin ansökan är korrekta eller om en handling som en utlänning åberopar är äkta. Utlandsmyndigheterna tar också emot ansökningar om uppehållstillstånd och medborgarskap och genom- för utredningar i de fall sökanden inte är folkbokförd i Sverige. Även i andra medborgarskapsärenden ska utlandsmyndigheterna medverka i enskilda ärenden på begäran av Migrationsverket.

En närmare beskrivning av myndigheternas verksamhet följer nedan i anslutning till respektive lagstiftning.

4.3Verksamhet enligt utlänningslagen

4.3.1Bakgrund

Utlänningars vistelse i Sverige har varit reglerat sedan början av 1900-talet. År 1914 infördes en lag som gjorde det möjligt att avvisa eller utvisa en utlänning som inte ansågs önskvärd. Under och efter första världskriget utfärdades med stöd av lagen en rad författningar som reglerade utlänningars rätt att resa in i och vistas i Sverige. Genom 1917 års passkungörelse infördes till exempel passtvång och krav på visering, dvs. tillstånd till inresa och vistelse under viss tid. Genom 1926 års övervakningskungörelse infördes också krav på att en utlänning som kom hit för att arbeta var tvungen att ha ett arbets- tillstånd vid inresan.

Sverige fick sin första utlänningslag år 1928. Lagen innehöll be- stämmelser om pass, visering, uppehålls- och arbetstillstånd samt anmälningsskyldighet och bestämmelser om avvisning, utvisning och förpassning. Bestämmelserna på utlänningsområdet har varit under

119

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

ständig förändring och efter 1928 har ytterligare fem nya utlännings- lagar antagits (1937, 1945, 1954, 1980 och 1989) fram till den nu gällande utlänningslagen (2005:716).

Med 2005 års utlänningslag infördes en ny instans- och process- ordning i utlännings- och medborgarskapsärenden. Den s.k. Utlän- ningsnämnden upphörde och överprövningen av Migrationsverkets beslut överfördes till migrationsdomstolarna (dåvarande länsrätterna i Stockholm, Göteborg och Malmö) och en migrationsöverdomstol (Kammarrätten i Stockholm).

Utlänningslagstiftningen har på många sätt påverkats av den inter- nationella utvecklingen på området samt genom EES- och EU-sam- arbetet. Nedan följer därför en kortfattad beskrivning av några av de internationella åtaganden och överenskommelser som har in- flytande över den nationella lagstiftningen samt framväxten av EES- samarbetet och unionsrätten.

4.3.2Internationella åtaganden och överenskommelser

UNHCR

Efter första världskriget växte behovet av internationellt samarbete för att lösa frågor som rörde flyktingar. Efter ett beslut i FN:s general- församling inrättades den 1 januari 1951 FN:s flyktingkommissariat, United Nations High Commissioner for Refugees (UNHCR).

UNHCR:s huvuduppgifter är verksamhet till skydd för flyk- tingar och biståndsverksamhet. FN:s generalförsamling väljer en flyktingkommissarie, vars uppgift är att bereda skydd åt flyktingar och att försöka hitta varaktiga lösningar i uppkomna flyktingsitua- tioner. När ett frivilligt återvändande inte är möjligt försöker UNHCR lösa det genom att flyktingen ges möjlighet att stanna permanent i det land han eller hon har flytt till eller genom att andra stater tar emot honom eller henne. I Sverige sker sådan vidarebosätt- ning inom ramen för den s.k. flyktingkvoten. UNHCR ger också bland annat ut en handbok om förfarande och kriterier vid fast- ställande av flyktingars rättsliga ställning, som är en vägledande tolk- ning av flyktingkonventionen (se nedan) och ett verktyg för alla de länder som ska tillämpa flyktingkonventionen.

120

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Flyktingkonventionen

År 1949 tillsattes inom FN en expertkommitté med uppgift att lämna ett förslag på en flyktingkonvention. Med utgångspunkt i expert- gruppens förslag utarbetades vid en diplomatisk konferens i Genève år 1951 en konvention angående flyktingars rättsliga ställning, den s.k. flyktingkonventionen eller Genèvekonventionen.

Genom ett tilläggsprotokoll från 1967 fastställdes att konvention- en gäller alla flyktingar oavsett från vilket land de kommer och när i tiden flyktingskapet har uppstått. Konventionen definierar vem som är en flykting och i behov av internationellt skydd samt flyktingars rättigheter och konventionsländernas skyldigheter. I artikel 33 finns till exempel ett förbud mot avvisning eller utvisning till gränsen mot ett område där flyktingen riskerar politisk förföljelse (principen om non-refoulement).

Schengensamarbetet

År 1985 ingick Frankrike, Tyskland och Beneluxstaterna det s.k. Schengenavtalet. Avtalets syfte var att främja den fria rörligheten för personer genom att succesivt avveckla personkontrollerna vid de gemensamma gränserna och att stärka åtgärderna mot internationell kriminalitet och olaglig invandring genom att utveckla det polisiära och rättsliga samarbetet mellan staterna.

Schengensamarbetet innebär att personkontrollerna vid de inre gränserna har upphört. Detta kompenseras bland annat med att medlemsländerna noggrant kontrollerar sina yttre gränser. Med inre gräns avses medlemsländernas gemensamma landgränser, flygplatser och hamnar med förbindelser till och från medlemsländerna. Med yttre gräns menas medlemsländernas övriga landgränser, flygplatser och hamnar.

År 1990 undertecknade avtalsländerna en tillämpningskonvention, den s.k. Schengenkonventionen. Konventionen innehåller bestäm- melser om praktiska åtgärder för att genomföra avvecklingen av personkontrollerna vid de inre gränserna och andra samarbetsåtgär- der. Konventionen trädde i kraft 1995. Sverige anslöt sig 1996 och deltar sedan 2001 fullt ut i samarbetet. För närvarande deltar 22 av EU:s 28 länder i Schengensamarbetet, vissa dock endast i begränsad

121

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

omfattning. Även Norge, Island, Schweiz och Liechtenstein har an- slutit sig till samarbetet.

Dublinkonventionen

Dublinkonventionen var ursprungligen ett folkrättsligt avtal mellan tolv av den Europeiska gemenskapens medlemsstater.

Konventionen tillkom år 1990 och innehåller regler för vilken stat som ska behandla en asylansökan som inlämnats i en medlemsstat. Syftet är att garantera att den asylsökande får sin ansökan prövad i ett land, men också att undvika att ansökan görs och prövas i flera länder samtidigt.

Dublinkonventionen trädde i kraft 1997 och Sverige tillträdde kon- ventionen samma år. Konventionen ersatte då reglerna i Schengen- konventionen om hanteringen av asylansökningar.

Dublinkonventionen har ersatts av Dublinförordningarna, se nedan.

4.3.3EES och EU

Maastrichtfördraget

Principen om personers fria rörlighet har funnits länge inom EU- samarbetet. Den innebar ursprungligen en fri arbetsmarknad och en fri etableringsrätt för medborgare i EG:s medlemsländer. Genom EU-fördraget, det s.k. Maastrichtfördraget, som trädde i kraft 1993, fördjupades dock samarbetet och bestämmelser om mellanstatligt samarbete om avvecklande av gränskontroller mellan medlemsstater, asylpolitiken, kontrollen vid passage av medlemsstaternas yttergränser och invandringspolitiken gentemot tredjelandsmedborgare infördes.

EES-avtalet

EES-avtalet är ett frihandelsavtal mellan de europeiska länder som i dag utgör EU samt Island, Liechtenstein och Norge.

Sverige anslöt sig till avtalet den 1 januari 1994 och antog där- igenom bland annat regler om den inre marknaden med fri rörlighet för varor, tjänster, personer och kapital. Genom att ansluta sig till

122

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

avtalet antog Sverige de bestämmelser i Romfördraget som överförts till EES-avtalet och gällande förordningar och direktiv på rättsområ- det. Ändringarna avsåg främst rätt till bosättning, anställning, etable- ring som företagare och studier. De nya bestämmelserna infördes i svensk rätt genom vissa nya lagar och ändringar i utlänningslagen och dess förordning.

Sveriges medlemskap i EU

Sveriges medlemskap i EU den 1 januari 1995 innebar inte några större sakliga förändringar på området för den fria rörligheten. De förordningar som inkorporerats i svensk rätt genom lagstiftning upp- hävdes och blev i stället direkt tillämpliga. EU-anslutningen innebar också att Sverige förbands av EES-avtalet i egenskap av EU-medlem. Det innebär att Sverige ska tillämpa EES-avtalets regler om fri rör- lighet för personer gentemot de EFTA-stater som är medlemmar i EES.

Amsterdamfördraget

Amsterdamfördraget innebar en avgörande förändring avseende per- soners fria rörlighet inom EU. Fördraget trädde i kraft den 1 maj 1999. Genom fördraget fördes ett antal samarbetsområden över från det mellanstatliga samarbetet i rättsliga och inrikes frågor till gemen- skapssamarbetet, bland annat samarbete inom områdena yttre gräns- kontroller, fri rörlighet för personer, asyl- och invandringspolitik. Amsterdamfördraget innebar också att Schengensamarbetet och Dublinkonventionen införlivades EU:s regelverk.

Utveckling inom området för fri rörlighet

År 2004 ersattes nio olika direktiv som reglerade rätten för EU-med- borgare att vistas och arbeta inom unionen med det s.k. rörlighets- direktivet (Europaparlamentets och Rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlem- mars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och

123

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG).

Direktivet var avsett att förenkla det tidigare regelverket och kodifiera EU-domstolens praxis på området. Det innehåller samtliga bestämmelser kring unionsmedborgares rättigheter till inresa och vistelse i alla Europeiska unionens medlemsstater. Huvudregeln är att unionsmedborgare ska kunna röra sig fritt mellan medlemssta- terna på samma sätt som vid flyttning inom det egna landet. Med direktivet förenklades kraven för att unionsmedborgare och deras familjer ska kunna få uppehållstillstånd.

Utöver unionens medlemsstater har även Island, Liechtenstein och Norge implementerat rörlighetsdirektivet genom EES-samarbetet. Även Schweiz har implementerat motsvarande, dock något begrän- sade, bestämmelser genom bilaterala avtal med EU.

Direktivet har genomförts gentemot EES-medborgare genom sär- skilda bestämmelser i 3 a kap. UtlL. Genom bestämmelserna avskaf- fades regler om uppehålls- och arbetstillstånd för EES-medborgare och deras anhöriga och en rätt för dessa personer att vistas i Sverige i mer än tre månader utan uppehållstillstånd.

Dublinförordningarna

Dublinkonventionen har ersatts av Rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har gett in i någon med- lemsstat, den s.k. Dublin II-förordningen.

Förordningen omarbetades och trädde i kraft i ny form den 1 januari 2014 genom Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat, Dublin III- förordningen. I förordningen fastställs kriterier för när en stat är ansvarig för asylprövningen. Kriterierna ska tillämpas i den ordning som de anges i förordningen och är kopplade till bland annat om den asylsökande har beviljats visum eller uppehållstillstånd av ett

124

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

annat land som omfattas av Dublinförordningen, om personen rest in utan tillstånd eller om han eller hon redan har ansökt om asyl i ett annat land.

För att förbättra kontrollen av om en asylprocess redan har på- börjats eller avslutats i en annan medlemsstat infördes Eurodac (ett europeiskt automatiserat system för jämförelser av asylsökandes fingeravtryck) år 2003. Systemet regleras i dag i Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och meka- nismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämfö- relser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Utbyggnad av Schengensamarbetet

Som ovan nämns innebar Amsterdamfördraget att Schengenregel- verket införlivades med EU-rätten.

Inom Schengensamarbetet fanns tidigare en gemensam handbok för personers passage av de yttre gränserna. Eftersom det rådde tvek- samhet kring handbokens rättsliga status fick kommissionen i upp- drag att lämna ett förslag till omarbetning av handboken. Omarbet- ningen resulterade i ett förslag till en gränskodex som omfattade bestämmelser om all gränspassage för personer över yttre och inre gränser. Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) trädde i kraft den 13 oktober 2006.

Bestämmelserna i kodex om Schengengränserna och dess bilagor består till stora delar av omarbetade bestämmelser från den gemen- samma handboken och från delar av Schengenkonventionen. Genom kodexen om Schengengränserna infördes ett gemensamt regelverk för passage av EU:s yttre gränser. I kodexen slås också fast att det

125

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

inte ska förekomma någon gränskontroll av personer vid de inre gränserna mellan EU:s medlemsstater.

På viseringsområdet inrättandes år 2004 ett gemensamt europeiskt system för utbyte av viseringsinformation genom rådets beslut 2004/512/EG av den 8 juni 2004 om inrättande av Informations- systemet för viseringar (VIS). Enligt beslutet ska systemet användas för utbyte av uppgifter om viseringar mellan medlemsstaterna och göra det möjligt för behöriga nationella myndigheter att föra in och uppdatera viseringsuppgifter och ha tillgång till dessa uppgifter på elektronisk väg. Informationssystemet ska bestå av ett centralt in- formationssystem (Centrala informationssystemet för viseringar, CS VIS) och ett system i varje medlemsstat (Nationella gränssnittet, NI VIS).

VIS regleras i dag genom Europaparlamentets och rådets förord- ning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) som trädde i kraft i september 2008. De övergripande målen med förordningen var att förbättra genomförandet av den gemensamma viseringspoli- tiken och förenkla samarbetet mellan de nationella viseringsmyndig- heterna. Systemet ska bland annat underlätta handläggningen av viseringsansökningar, förebygga kringgåendet av reglerna för vilken medlemsstat som har ansvaret för att pröva en ansökan, underlätta kampen mot bedrägerier och kontrollen vid de yttre gränserna och inom medlemsstaternas territorium.

VIS-förordningen innehåller allmänna bestämmelser om syfte, tillämpningsområde och mål, definitioner, vilka uppgiftskategorier som ska registreras i VIS, åtkomst till uppgifterna för att föra in, ändra, radera eller inhämta uppgifter i systemet, andra viseringsmyn- digheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna. Den fastställer också vilka rättigheter den registre- rade har, regler för dataskydd och tillsyn, villkoren för viserings- myndigheterna att använda uppgifterna i VIS och förfaranden för utbytet av uppgifter mellan medlemsstaterna för att underlätta pröv- ningen av viseringsansökningar och beslut som fattas i anslutning till dessa. Förordningen innehåller vidare en s.k. broklausul, som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terrorist- brott och andra grova brott.

126

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

I juli 2009 antogs Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemenskapskodex om viseringar (viseringskodex). Genom viseringskodexen samlades de bestämmel- ser som avser utfärdande av viseringar i en och samma förordning.

Enligt artikel 1 i kodexen är syftet med förordningen att inrätta förfaranden och villkor för utfärdande av viseringar för transitering genom medlemsstaternas territorium eller för planerade vistelser på medlemsstaternas territorium som inte varar längre än tre månader under en sexmånadersperiod. Bestämmelserna ska tillämpas på alla tredjelandsmedborgare som är skyldiga att inneha visering när de passerar medlemsstaternas yttre gränser. Förordningen innehåller bland annat bestämmelser om vilka myndigheter som är behöriga att pröva och besluta om viseringar och om vilken medlemsstat som är behörig att pröva och besluta om en ansökan. Det finns även bestäm- melser om upptagande av biometriska kännetecken, exempelvis fingeravtryck och fotografi, i samband med en viseringsansökan.

Asylpolitiken utvecklas

I samband med Amsterdamfördraget enades EU-staterna om att unionens asylsystem skulle grundas på en tillämpning av FN:s flyk- tingkonvention och dess protokoll. Arbetet med att få till stånd ett gemensamt europeiskt asylsystem har intensifierats de senaste tio åren.

I direktivet 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna per- soner och om åtgärder för att främja en balans mellan medlemsstater- nas insatser för att ta emot dessa personer och bära följderna av detta (massflyktsdirektivet) regleras under vilka förutsättningar som Europeiska unionens råd kan besluta att en massflyktssituation före- ligger. I sådana fall kan medlemsländerna bevilja tillfälligt skydd åt personer som är i behov av skydd. Bestämmelser om tillfälligt skydd finns i 21 kap. UtlL.

År 2003 antog rådet direktivet 2003/86/EG av den 22 september 2003 om rätt till familjeåterförening (familjeåterföreningsdirektivet). Direktivet innehåller minimiregler för rätten till familjeåterförening. Bestämmelserna gäller tredjelandsmedborgare som har haft uppehålls- tillstånd i minst ett år i ett medlemsland och som har välgrundade

127

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

utsikter att få ett permanent uppehållstillstånd. En sådan person ska ha rätt att återförenas med sin make, maka eller minderåriga barn. Direktivet stadgar en skyldighet för medlemsstaterna att bevilja uppehållstillstånd till sådana familjemedlemmar.

Europaparlamentets och rådets direktiv 2013/33/EU av den 26 juni 2013 om normer för mottagande av personer som ansöker om inter- nationellt skydd (mottagandedirektivet) är omförhandlat efter det ursprungliga direktivet från 2003. Det innehåller miniminormer för hur asylsökande ska tas emot och även vissa rättigheter som exem- pelvis rätten till information, barns rätt till skolgång och asylsökan- des rätt till nödvändig hälso- och sjukvård.

Som ett led i strävandet efter en gemensam asylpolitik med flyktingkonventionen som grund antog Europeiska rådet direktiv 2004/83/EG den 29 april 2004 om miniminormer för när tredje- landsmedborgare eller statslösa personer ska betraktas som flyktingar eller som personer som av andra skäl behöver internationellt skydd samt om dessa personers rättsliga ställning och om innehållet i det beviljade skyddet (skyddsgrundsdirektivet). Direktivet har ersatts av Europaparlamentets och rådets direktiv 2011/95/EU av den 13 december 2011 om normer för när tredjelandsmedborgare eller statslösa personer ska berättigas till internationellt skydd (det om- arbetade skyddsgrundsdirektivet). Direktivet innehåller regler för en enhetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande, och för inne- hållet i det beviljade skyddet. I direktivet fastslås på vilka grunder en person som söker asyl ska anses berättigad till internationellt skydd. Definitionen av begreppet flykting motsvarar den som finns i flyktingkonventionen, med undantag för att definitionen i direk- tivet enbart omfattar tredjelandsmedborgare och statslösa. Utöver flyktingkonventionens definition av vem som är en flykting omfattas också alternativt skyddsbehövande. Direktivet inför också en en- hetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande; flyktingsstatus- förklaring respektive alternativ skyddsstatusförklaring, och för inne- hållet i det beviljade skyddet. Det omfattar bland annat bestämmelser om skydd mot avvisning, sammanhållning av familjer, uppehålls- tillstånd som ska beviljas snarast möjligt efter beslutet om status, resedokument, tillträde till arbetsmarkanden och till utbildning.

128

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Bestämmelserna införlivades i svensk rätt genom ändringar i utlän- ningslagen år 2010.

År 2005 antogs Rådets direktiv 2005/85/EG av den 1 december 2005 om miniminormer för medlemsstaternas förfaranden för bevil- jande eller återkallande av flyktingstatus (asylprocedurdirektivet). Direktivet har upphävts och ersatts med Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (det omarbetade asylprocedurdirektivet). Syftet med direktivet är att fastställa gemensamma förfaranden för beviljande och återkallande av flyktingsstatus. Direktivet innehåller regler för hur en asylansökan ska prövas. Det finns bland annat bestämmelser om att det ska finnas en myndighet som ansvarar för en korrekt prövning av ansökningar enligt direktivet samt att myndigheten ska förses med de resurser som krävs för en korrekt prövning, exempelvis personal med ändamåls- enligt utbildning. Direktivet innehåller vidare vissa rättigheter för den sökande, till exempel rätten att stanna kvar i medlemsstaten tills beslut i ärendet fattas, rätt till ett skriftligt beslut och, i förekom- mande fall, motiverat avslagsbeslut med överklagandehänvisningar.

Europaparlamentets och rådets direktiv 2008/115/EG av den 16 december 2008 om gemensamma normer och förfaranden för åter- vändande av tredjelandsmedborgare som vistas olagligt i medlems- staterna (återvändandedirektivet) innehåller gemensamma regler för vad som ska gälla när en person som har fått avslag på sin ansökan ska lämna landet. Bestämmelserna medför bland annat att personer som ska avvisas eller utvisas och som inte lämnar Sverige inom före- skriven tid får ett återreseförbud som gäller alla Schengenstater. Åter- reseförbudet får överstiga fem år om tredjelandsmedborgaren utgör ett allvarligt hot mot allmän ordning, allmän säkerhet eller nationell säkerhet. Direktivet innehåller också bestämmelser om förvar.

4.3.4Utlänningslagen

Utlänningslagen innehåller nationella bestämmelser som rör utlän- ningars rätt att resa in i, vistas och arbeta i Sverige samt att söka asyl här. I lagen anges också under vilka förutsättningar som en utlänning kan avvisas eller utvisas ur landet. Med utlänning avses i utlännings- lagen den som inte är svensk medborgare enligt medborgarskapslagen.

129

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Utlänningslagens bestämmelser om rätt till inresa, vistelse och arbete utgör grunden för den s.k. kallade generella utlänningskon- trollen. Utlänningslagen reglerar också förutsättningarna för s.k. indi- viduell utlänningskontroll, dvs. möjligheten att hindra enskilda utlän- ningar som inte uppfyller lagens villkor att vistas i landet. En sådan utlänning kan avvisas eller utvisas enligt bestämmelser i 8 kap. UtlL.

4.3.5Villkor för att en utlänning ska få resa in, vistas och arbeta i Sverige

Krav på pass

Bestämmelser om en utlännings inresa, vistelse och arbete i Sverige finns i 2 och 3 kap. UtlL.

En utlänning som reser in i eller vistas i Sverige ska ha pass, se 2 kap. 1 § UtlL. Möjlighet finns dock till utfärdande av främlings- pass för den som inte har någon handling som gäller som pass och som saknar möjlighet att skaffa en sådan handling. Passkravet gäller inte för utlänning som är medborgare i en Schengenstat eller för en medborgare i Danmark, Finland, Island eller Norge. Med Schengen- stat avses i utlänningslagen en stat som har tillträtt eller anslutit sig till Schengenkonventionen samt Island, Norge, Schweiz och Liechtenstein. I 2 kap. 1–2 §§ utlänningsförordningen (2006:97, UtlF) finns ytterligare undantag från passkravet, bland annat för utlänningar som har permanent uppehållstillstånd eller som har be- viljats uppehållstillstånd med tillfälligt skydd.

Visering

Visering är ett tillstånd att resa in i och vistas i Sverige upp till tre månader. Enligt 2 kap. 3 § UtlL ska en utlänning som reser in i Sverige ha Schengenvisering eller nationell visering.

Som anges ovan har Sveriges deltagande i Schengensamarbetet medfört gemensamma bestämmelser för visering för hela Schengen- området. Schengenviseringen är numera den normala formen för visering. Enligt 3 kap. 1 § UtlL finns villkor för beviljande av Schengenvisering i viseringskodexen. Villkoren för utfärdande av en Schengenvisering regleras uttömmande i viseringskodexen, som även

130

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

hänvisar till de inresevillkor som uppställs i kodex om Schengen- gränserna. De viseringar som Schengenländerna utfärdar gäller i hela Schengenområdet. Med en Schengenvisering kan en tredjelands- medborgare således resa in i ett Schengenland och sedan fritt resa omkring i hela Schengenområdet.

Om det finns särskilda skäl får nationell visering beviljas (3 kap. 4 § UtlL). En nationell visering gäller endast i Sverige och får endast beviljas för längre tid än tre månader.

Det finns en rad undantag från visumtvånget som ger möjlighet för vissa personer, till exempel EES-medborgare, att resa in i och uppehålla sig i Sverige i tre månader utan visering.

Uppehållstillstånd

En utlänning som vistas i Sverige mer än tre månader ska ha uppe- hållstillstånd, se 2 kap. 5 § UtlL. Ett uppehållstillstånd är ett tillstånd att vistas i Sverige under viss tid (tidsbegränsat uppehållstillstånd) eller utan tidsbegränsning (permanent uppehållstillstånd). Uppehålls- tillstånd kan beviljas av olika skäl, till exempel för att en utlänning är i behov av skydd eller på grund av arbete, studier, besök eller för att bedriva näringsverksamhet, se 5 kap. UtlL.

Från kravet på uppehållstillstånd gäller undantag för en utlänning som är medborgare i något av de nordiska länderna, som har uppe- hållsrätt eller som har visering för längre tid än tre månader. Med uppehållsrätt avses en rätt för EES-medborgare och deras familje- medlemmar att vistas i Sverige i mer än tre månader utan uppehåll- stillstånd. Förutsättningarna för uppehållsrätt regleras i 3 a kap. UtlL.

Flyktingar, alternativt skyddsbehövande och övriga skyddsbe- hövande som befinner sig i Sverige har rätt till uppehållstillstånd, se 5 kap. 1 § UtlL. Ett sådant uppehållstillstånd ska som huvudregel vara permanent eller gälla minst tre år. En flykting får dock vägras uppehållstillstånd om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säkerhet att låta honom eller henne stanna i Sverige. Detsamma gäller om utlänningen har bedrivit verksamhet som inne- burit fara för rikets säkerhet och det finns anledning att anta att han eller hon skulle fortsätta verksamheten här.

131

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Med asyl menas uppehållstillstånd som beviljas en utlänning för att han eller hon är flykting eller alternativt skyddsbehövande, se 1 kap. 3 § UtlL. I utlänningslagen definieras flykting som en ut- länning som befinner sig utanför det land som han eller hon är med- borgare i därför att han eller hon känner välgrundad fruktan för förföljelse på grund av ras, nationalitet, religiös eller politisk upp- fattning eller på grund av kön, sexuell läggning eller annan tillhörig- het till en viss samhällsgrupp och som inte kan, eller på grund av sin fruktan inte vill, begagna sig av detta lands skydd, se 4 kap. 1 § UtlL. Detta gäller oberoende av om förföljelsen utgår från landets myndigheter eller om myndigheterna inte kan antas bereda trygghet mot förföljelse från enskilda. Som flykting anses även en utlänning som är statslös och av samma skäl som anges ovan befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelse- ort och inte kan, eller på grund av sin fruktan inte vill, återvända dit.

I vissa fall kan en person som inte är flykting enligt lagens definition beviljas asyl som alternativt skyddsbehövande, se 4 kap. 2 § UtlL. Så är fallet om utlänningen befinner sig utanför det land som han eller hon är medborgare i för att det finns grundad anled- ning att anta att utlänningen vid ett återvändande till hemlandet skulle löpa risk att straffas med döden eller utsättas för kropps- straff, tortyr eller annan omänsklig eller förnedrande behandling eller bestraffning eller som civilperson löper en allvarlig och person- lig risk att skadas på grund av urskillningslöst våld med anledning av en yttre eller inre väpnad konflikt. Det förutsätts också att ut- länningen inte kan, eller på grund av risken inte vill, begagna sig av hemlandets skydd. Det saknar även här betydelse om det är landets myndigheter som är ansvariga för att utlänningen löper denna risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Motsvarande regler gäller också för statslös utlänning som befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelseort.

En utlänning som inte uppfyller kraven för att anses som flykting eller alternativt skyddsbehövande kan beviljas uppehållstillstånd som övrig skyddsbehövande, se 4 kap. 2 a § UtlL. Det förutsätts då att utlänningen befinner sig utanför det land där han eller hon är medborgare för att han eller hon behöver skydd på grund av en yttre eller inre väpnad konflikt, eller på grund av andra svåra mot-

132

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

sättningar i hemlandet känner välgrundad fruktan för att utsättas för allvarliga övergrepp. Även detta gäller oberoende av om det är landets myndigheter som är ansvariga för att utlänningen löper en sådan risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Även den som inte kan återvända till sitt hemland på grund av en miljökatastrof betraktas som övrig skyddsbehövande.

En utlänning är utesluten från att anses som flykting om det finns synnerlig anledning att anta att han eller hon har gjort sig skyldig till brott mot freden, krigsförbrytelse eller brott mot mänsk- ligheten, ett grovt icke-politiskt brott utanför Sverige innan han eller hon kom hit eller gärningar som strider mot FN:s syften och grundsatser enligt inledningen och artiklarna 1 och 2 i FN:s stadga, se 4 kap. 2 b § UtlL. Detsamma gäller den som har anstiftat eller på annat sätt deltagit i förövandet av sådana brott eller gärningar. Lik- nande regler gäller för alternativt skyddsbehövande och övrig skydds- behövande enligt 4 kap. 2 c § UtlL.

En utlänning som med stöd av skyddsskäl ansökt om uppehålls- tillstånd ska förklaras vara flykting, alternativt skyddsbehövande eller övrigt skyddsbehövande om han eller hon omfattas av utlän- ningslagens definitioner enligt ovan. Detta kallas flyktingstatusför- klaring, alternativ skyddsstatusförklaring eller övrig skyddsstatus- förklaring, se 4 kap. 3 och 3 a §§ UtlL.

En utlänning får dock vägras sådan flyktingstatusförklaring om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säker- het att låta honom eller henne stanna i Sverige eller har bedrivit verksamhet som inneburit fara för rikets säkerhet och det finns anled- ning att anta att han eller hon skulle fortsätta verksamheten här. Liknande regler gäller för alternativ eller övrig skyddsstatusförklaring.

Tillfälligt skydd

I 21 kap. UtlL finns bestämmelser om tillfälligt skydd enligt Rådets direktiv 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta.

133

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Avvisning och utvisning

I 8 kap. UtlL finns bestämmelser om avvisning och utvisning, dvs. åtgärder för att avlägsna en utlänning som saknar tillstånd att vistas i Sverige. Avvisning är ett avlägsnandebeslut som meddelas inom tre månader efter den första ansökan om uppehållstillstånd efter utlän- ningens ankomst till Sverige. En utlänning som inte är EES-med- borgare får till exempel avvisas från Sverige om han eller hon saknar pass när ett sådant krävs för inresa. Utvisning innebär ett avlägs- nandebeslut som meddelas efter tre månader efter ansökan. För utvisning på grund av brott finns särskilda regler i 8 a kap. UtlL.

Regler om avlägsnande i annan lagstiftning

Utlänningslagen reglerar inte uttömmande i vilka fall utlänningar får avlägsnas ur landet. Särskilda bestämmelser om utvisning finns i lagen (1991:572) om särskild utlänningskontroll. Enligt den lagen får regeringen utvisa en utlänning om det behövs med hänsyn till rikets säkerhet (s.k. politisk utvisning) eller det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga om- ständigheter kan befaras att han kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terrorist- brott eller försök, förberedelse eller stämpling till sådant brott (s.k. presumtiv terrorist).

En utlänning får avlägsnas ur landet på annat sätt än genom av- visning eller utvisning. Av 23 kap. 2 § första stycket UtlL framgår att regeringen får meddela föreskrifter om att sända hem utlänning- ar som inte är flyktingar och som har tagits om hand enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Vidare finns i annan lagstiftning bestämmelser om utlämning för brott och om överförande till annat land för verkställighet. Det reg- leras i första hand i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utläm- ning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

135

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Kontroll av personer enligt kodexen om Schengengränserna

I 9 kap. UtlL finns bestämmelser om kontroll av personer enligt kodexen om Schengengränserna.

Av 9 kap. 2 § UtlL följer att en polisman i samband med inrese- kontroll enligt kodexen om Schengengränserna får kroppsvisitera en utlänning och undersöka hans eller hennes bagage, handresgods, handväskor och liknande, i den utsträckning som det är nödvändigt för att ta reda på utlänningens identitet. Av paragrafen följer vidare att sådana undersökningar också får göras för att ta reda på en ut- lännings resväg till Sverige, om den är av betydelse för bedömningen av rätten att resa in i och vistas här i landet. En polisman får i sam- band med inresekontrollen även undersöka bagageutrymmen och övriga slutna utrymmen i bilar och andra transportmedel i syfte att förhindra att en utlänning reser in i Sverige i strid med bestämmel- serna i kodexen om Schengengränserna.

Av 9 kap. 8 § UtlL följer att Migrationsverket eller Polismyndig- heten får fotografera en utlänning och, om utlänningen fyllt 14 år ta hans eller hennes fingeravtryck i vissa fall, bland annat om utlän- ningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.

Även den som har en Schengenvisering är vid in- eller utrese- kontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta bland annat en polisman ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet, se 9 kap. 8 c § UtlL. Enligt samma paragraf gäller även sådan skyldighet för en ut- länning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.

Förvar och uppsikt

I 10 kap. UtlL finns bestämmelser om frihetsberövande i form av förvar. En utlänning som har fyllt 18 år får tas i förvar till exempel om det är nödvändigt för att en utredning om utlänningens rätt att stanna i Sverige ska kunna genomföras eller om det är av olika skäl är sannolikt att utlänningen kommer att avvisas eller utvisas. I stället

136

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

för att tas i förvar kan en utlänning enligt 10 kap. 6 § UtlL ställas under uppsikt. Uppsikt innebär att utlänningen är skyldig att på vissa tider anmäla sig hos Polismyndigheten eller hos Migrationsverket. Utlänningen kan också åläggas att lämna ifrån sig sitt pass eller annan legitimationshandling.

4.3.6Handläggande myndigheter enligt utlänningslagen

Migrationsverket

Migrationsverket har huvudansvaret för den generella utlännings- kontrollen. Som ovan nämnts är verket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagan- de av asylsökande, återvändande, medborgarskap och återvandring. Nedan följer en översiktlig beskrivning av Migrationsverkets ansvars- områden enligt utlänningslagen och dess förordning.

Om en utlänning saknar pass och inte heller har möjlighet att skaffa något kan Migrationsverket utfärda främlingspass för honom eller henne, se 2 kap. 1 a § UtlL.

Schengenvisering handläggs och beslutas som huvudregel hos svensk ambassad eller konsulat i det land sökanden är bosatt eller av polismyndighet vid yttre gräns. Även Migrationsverket har dock enligt 3 kap. 5 § UtlL möjlighet att besluta om sådan visering. Utlandsmyndigheterna och Polismyndigheten vid yttre gräns är be- höriga att återkalla och upphäva Schengenviseringar. Det följer dock av 7 kap. 8 § UtlL att även Migrationsverket har behörighet att återkalla och upphäva sådana viseringar.

Beslut om nationell visering får meddelas av Migrationsverket och Regeringskansliet, se 3 kap. 5 § UtlL. En återkallelse av en nationell visering beslutas av den myndighet som har beviljat vise- ringen eller av Migrationsverket, se 7 kap. 8 § UtlL. En visering som beviljats av Regeringskansliet får dock endast återkallas av Regerings- kansliet.

Migrationsverket beslutar vidare i frågor om statusförklaring en- ligt 4 kap. UtlL och i ärenden om ställning som varaktigt bosatt i Sverige enligt 5 a kap. UtlL.

Det är Migrationsverket som beslutar om en ansökan om uppe- hållstillstånd ska beviljas eller avslås, se 5 kap. 20 § UtlL. Migrations- verket beslutar också om eventuell återkallelse av sådant tillstånd,

137

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

se 7 kap. 8 § UtlL. Beslut om uppehållstillstånd får också meddelas av Regeringskansliet. Ett sådant tillstånd får endast återkallas av Regeringskansliet.

Migrationsverket meddelar beslut om arbetstillstånd och åter- kallelse av sådant tillstånd, se 6 kap. 5 och 7 kap. 8 §§ UtlL. Verket prövar även frågor rörande s.k. EU-blåkort enligt 6 a kap. UtlL.

Det följer av 8 kap. 17 § UtlL att det är endast Migrationsverket som kan pröva frågan om avvisning i de fall en utlänning söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. De sistnämnda bestämmelserna avser avvisning eller utvisning av utlän- ning som har avvisats eller utvisats från en EU-stat eller från Island, Norge, Schweiz eller Liechtenstein på grund av allvarligt hot mot allmän ordning och inre säkerhet eller beslutet om avvisning eller utvisning har grundats på att utlänningen inte har följt gällande be- stämmelser om en utlännings inresa eller vistelse i den staten eller när det framställts en begäran om avvisning från den centrala utlän- ningsmyndigheten i ett nordiskt land. I andra fall får både Migra- tionsverket och Polismyndigheten pröva frågan om avvisning. Om Polismyndigheten anser det tveksamt om en utlänning bör avvisas, ska ärendet lämnas över till Migrationsverket.

Migrationsverket ska pröva frågan om utvisning i de fall det rör sig om en utlänning som inte är EES-medborgare eller familjemedlem till en EES-medborgare och som uppehåller sig här men saknar pass eller de tillstånd som krävs för att få uppehålla sig i landet, se 8 kap. 18 § UtlL. Verket ska också handlägga frågan om utvisning när det gäller en EES-medborgare eller en familjemedlem till en EES-med- borgare som har vistats i Sverige mer än tre månader och som inte har uppehållsrätt, men som uppehåller sig här och saknar de tillstånd som krävs för att få uppehålla sig i landet. Slutligen prövar verket frågan om utvisning av en EES-medborgare eller en familjemedlem till en EES-medborgare av hänsyn till allmän ordning och säkerhet.

När det gäller förvar eller uppsikt fattas beslut av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Migra- tionsverket är handläggande myndighet från det att verket tar emot ett ärende som verket ska pröva och till dess verket fattar beslut eller utlänningen har lämnat landet eller Polismyndigheten har tagit emot ärendet eller, om Migrationsverkets beslut överklagas, till dess ärendet tas emot av migrationsdomstolen. Verket är också hand-

138

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

läggande myndighet från det att verket tar emot ett beslut om av- visning eller utvisning för verkställighet och till dess att beslutet har verkställts eller ärendet lämnas över till polismyndigheten. I fråga om beslut som gäller omedelbart är, även om beslutet överklagas, Migrationsverket handläggande myndighet till dess domstolen med- delar beslut om inhibition.

Polismyndigheten

Polismyndigheten ansvarar för kontroll av personer enligt kodexen om Schengengränserna, se 9 kap. 1 § UtlL. Av samma paragraf följer att Tullverket och Kustbevakningen är skyldiga att hjälpa Polis- myndigheten vid en sådan kontroll och att Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid sådan kontroll. Kustbevakningen ska dessutom medverka i Polismyndig- hetens kontrollverksamhet genom att utöva kontroll av sjötrafiken. Vilka kontroller som en polisman och andra får vidta i samband med inresekontroll enligt kodexen om Schengengränserna följer av 9 kap. 2 § UtlL och har behandlas ovan.

Polismyndigheten är även ansvarig för inre utlänningskontroll. Enligt Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre utlännings- kontroll alla handlingar som syftar till att kontrollera om en utlän- ning har rätt att uppehålla sig i landet. Enligt 9 kap. 9 § UtlL är till exempel en utlänning som vistas i Sverige skyldig att på begäran av en polisman överlämna pass eller andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige. Utlänningen är också skyldig att efter kallelse av Migrationsverket eller Polismyndigheten komma till verket eller myndigheten och lämna uppgifter om sin vistelse här i landet. Om utlänningen inte gör det, får han eller hon hämtas genom Polismyndighetens försorg.

Kustbevakningen ska medverka i Polismyndighetens kontroll- verksamhet genom kontroll av och i anslutning till sjötrafiken. Om kontrollen utövas av Kustbevakningen ska pass eller andra handlingar överlämnas till tjänstemannen vid Kustbevakningen. Kontroller får dock endast vidtas om det finns grundad anledning att anta att ut- länningen saknar rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll.

139

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Som ovan anges får endast Migrationsverket pröva frågan om avvisning om utlänningen söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. I andra fall får både Migrations- verket och Polismyndigheten pröva frågan om avvisning.

Polismyndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvisning på grund av brott. Migrations- verket får överlämna till Polismyndigheten att verkställa en avvis- ning eller utvisning om den som ska avvisas eller utvisas håller sig undan och inte kan anträffas utan Polismyndighetens medverkan eller om det kan antas att tvång kommer att behövas för att verk- ställa beslutet.

I fråga om förvar och uppsikt fattas beslut, som ovan anges, av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Polismyndigheten är handläggande myndighet från det att en utlänning begär att få resa in i landet och till dess att ett ärende som ska prövas av Migrationsverket tas emot av verket eller utlän- ningen har lämnat landet. Polismyndigheten är vidare handläggande myndighet när den tar emot ett beslut om avvisning eller utvisning för verkställighet och till dess att verkställighet har skett, även om ärendet är föremål för prövning på grund av hinder mot verkställig- het enligt 12 kap. 18–20 §§ UtlL. Det gäller emellertid inte under den tid då beslutet inte får verkställas på grund av ett beslut om inhibition eller ny prövning. Även om Polismyndigheten inte är hand- läggande myndighet får den fatta beslut om att ta en utlänning i för- var eller ställa honom eller henne under uppsikt, om det inte finns tid att avvakta den handläggande myndighetens beslut. Ett sådant beslut ska skyndsamt anmälas till den myndighet som handlägger ärendet och myndigheten ska omedelbart pröva om beslutet om för- var eller uppsikt ska fortsätta att gälla. Att en polisman i vissa fall får omhänderta en utlänning i avvaktan på Polismyndighetens beslut om förvar framgår av 11 § polislagen (1984:387).

I 3 kap. UtlL finns bestämmelser om visering. Efter viserings- kodexens införande regleras frågan om vilka myndigheter som be- slutar om Schengenvisering inte i utlänningslagen utan i viserings- kodexen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Enligt artikel 4.2 får dock viseringsansökningar vid medlemsstaternas yttre gränser prövas och beslutas av de myndigheter som ansvarar för person-

140

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

kontroller. Det innebär att Polismyndigheten vid yttre gräns har behörighet att handlägga och besluta i viseringsärenden.

Säkerhetspolisen

Migrationsverkets beslut i fråga om avvisning, utvisning, uppehålls- tillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende får överklagas av Säkerhetspolisen, se 14 kap. 11 § UtlL. Med säkerhetsärenden avses enligt 1 kap. 7 § UtlL ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlän- nings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en utlänning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas. Vidare är ett ärende hos Migrationsverket om huruvida ny prövning ska beviljas enligt 12 kap. 19 eller 19 a § utlänningslagen ett säkerhetsärende om be- slutet om avvisning eller utvisning har fattats i ett säkerhetsärende.

Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden enligt utlänningslagen, se 12 kap. 14 § UtlL. Säkerhetspolisen kan också som handläggande myndig- het fatta beslut om förvar eller uppsikt, se 10 kap. 12 § första stycket och 10 kap. 13 § tredje stycket UtlL.

Utlandsmyndigheterna

Med utlandsmyndigheter avses beskickningar, delegationer vid inter- nationella organisationer och karriärkonsulat, se 1 kap. 2 § förord- ningen (2014:115) med instruktion för utrikesrepresentationen. Utlandsmyndigheterna bildar tillsammans med Utrikesdepartementet utrikesförvaltningen. En beskickning är en ambassad eller legation. Sverige hade i mars 2014 89 ambassader. Vid internationella organi- sationer som till exempel EU i Bryssel och FN i New York har Sverige delegationer eller representationer. Deras huvudsakliga uppgift

141

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

är att företräda Sverige och bevaka Sveriges intressen inom organi- sationernas arbete och rapportera om verksamheten, varför de inte torde vara aktuella för denna utredning. Ett karriärkonsulat är ett konsulat som leds av en utsänd tjänsteman. På karriärkonsulaten arbetar utsänd personal från UD. Konsulatens huvuduppgift är bland annat att stödja svenska exportföretag, främja utländska investe- ringar i Sverige och hjälpa nödställda svenska medborgare, men de utfärdar också viseringar, uppehålls- och arbetstillstånd för utländska medborgare som vill besöka eller arbeta i Sverige. Sverige har sju karriärkonsulat. Utlandsmyndigheterna är i administrativt hänseende direkt underställda Regeringskansliet (Utrikesdepartementet).

Utlandsmyndigheterna ska ta emot ansökan om främlingspass, om utlänningen inte befinner sig i Sverige, se 2 kap. 15 § UtlF. Av 4 kap. 20 § UtlF följer att en ansökan om uppehållstillstånd av en utlänning som inte befinner sig i Sverige ges in till och utreds av en svensk beskickning eller ett svenskt konsulat. Motsvarande regler gäller för ansökan om arbetstillstånd, se 5 kap. 8 § UtlF.

Som ovan nämns finns bestämmelser om visering i 3 kap. UtlL. Efter viseringskodexens införande regleras hanteringen av Schengen- viseringar i viseringskodexen och VIS-förordningen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Prövning av och beslut om viserings- ansökningar regleras i artiklarna 18–23 viseringskodexen. Av 3 kap. 10 § UtlF följer att om en svensk beskickning eller ett svenskt kon- sulat överväger att avslå en ansökan om Schengenvisering på grund av att sökanden anses vara ett hot mot medlemsstaternas allmänna ordning, inre säkerhet eller folkhälsa får ansökan överlämnas till Migrationsverket för prövning. Överlämnande får också ske i annat fall, om det finns särskild anledning till det.

Migrationsverket får ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar, se 3 kap. 12 § UtlF. Vidare får Regeringskansliet (Utrikesdepartementet) ge en svensk beskickning eller ett svenskt konsulat rätt att bevilja nationella viseringar inom departementets ansvarsområde.

142

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Migrationsdomstol

I 14 kap. UtlL finns bestämmelser om överklagande av en förvalt- ningsmyndighets beslut. De allra flesta beslut som fattas med stöd av utlänningslagens bestämmelser kan överklagas till migrations- domstol. Exempelvis får Migrationsverkets beslut överklagas till en migrationsdomstol, om beslutet innebär avvisning eller utvisning, avslag på en ansökan om upphävande av allmän domstols beslut om utvisning på grund av brott, avslag på en ansökan om uppehållstill- stånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige eller återkallelse av ett uppehållstillstånd, arbetstillstånd eller ställ- ning som varaktigt bosatt i Sverige, se 14 kap. 3 § UtlL. Även Migrationsverkets beslut i säkerhetsärenden enligt utlänningslagen överklagas till migrationsdomstol. I kapitlet finns också bestämmel- ser om överklagande av beslut avseende bland annat avslag på an- sökan om Schengenvisering eller om upphävande eller återkallelse av Schengenvisering, avslag på ansökan om nationell visering eller återkallelse av nationell visering, förvar och uppsikt. Även dessa be- slut överklagas till migrationsdomstol. Undantag gäller för Polis- myndighetens eller Migrationsverkets beslut om kostnadsansvar eller särskild avgift, som ska överklagas till allmän domstol, se 14 kap. 14 § UtlL.

Förvaltningsrätterna i Stockholm, Göteborg, Malmö och Luleå är migrationsdomstolar, se 6 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. Förfarandet i migrations- domstolarna är som huvudregel skriftligt och de flesta mål avgörs efter föredragning, se 16 kap. 5 § UtlL. Muntlig förhandling får hållas bland annat när det kan antas vara till fördel för utredningen eller främja ett snabbt avgörande av målet. Muntlig förhandling ska med vissa undantag hållas om utlänningen begär det.

När Migrationsverkets beslut överklagas omprövar verket först sitt beslut. Om omprövningen inte leder till ändring av beslutet går överklagandet vidare till migrationsdomstolen. Prövningen i migra- tionsdomstolarna sker i form av en tvåpartsprocess. Migrationsverket får ställning av part och är den enskildes motpart i domstolsprocessen.

En migrationsdomstols beslut kan överklagas till Migrations- överdomstolen, dvs. Kammarrätten i Stockholm, se 16 kap. 1 och 9 §§ UtlL. För prövning i Migrationsöverdomstolen krävs pröv- ningstillstånd, se 16 kap. 11 § UtlL. Vissa undantag från kravet på

143

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

prövningstillstånd finns i 16 kap. 11 § andra stycket UtlL. Migra- tionsöverdomstolens beslut får inte överklagas.

Allmän domstol

Beslut om utvisning på grund av brott enligt 8 a kap. UtlL fattas av den domstol som handlägger brottmålet.

Regeringskansliet

Enligt 3 kap. 5 § UtlL får Regeringskansliet besluta om nationell vise- ring. I 5 § Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1) anges för vilka kategorier av personer Regeringskansliet kan besluta om visering. Det gäller bland annat främmande staters beskicknings- medlemmar, konsuler och deras familjemedlemmar.

Av 5 kap. 20 § tredje stycket UtlL framgår att Regeringskansliet i vissa fall får besluta om uppehållstillstånd. Av ovan angivna före- skrifter framgår att Regeringskansliet får besluta om uppehållstill- stånd för bland annat beskickningsmedlemmar, konsuler och deras familjemedlemmar. Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regerings- kansliet, se 7 kap. 8 § UtlL.

Regeringen beslutar vilka kategorier av personer som, utöver dem som omfattas av Europeiska unionens råds beslut, får ges uppe- hållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL.

4.4Verksamhet enligt medborgarskapslagen

4.4.1Medborgarskapslagen

I lagen (2001:82) om svenskt medborgarskap (medborgarskaps- lagen) och medborgarskapsförordningen (2001:218) regleras förvärv och förlust av svenskt medborgarskap samt befrielse från svenskt medborgarskap.1 I lagens 2−13 §§ anges på vilka sätt en person kan

1 Se senaste lagändringarna trädde i kraft den 1 april 2015 (SFS 2014:481).

144

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

förvärva svenskt medborgarskap. Barn till svenska medborgare får på vissa villkor svenskt medborgarskap vid födelsen eller genom adoption, se 2 och 4 §§ medborgarskapslagen. I lagen finns också bestämmelser om att ett barn som är utländsk medborgare eller statslös efter anmälan kan förvärva svenskt medborgarskap, se 6, 7 och 10 §§ medborgarskapslagen. Exempelvis förvärvar ett barn som inte är svensk medborgare medborgarskap genom anmälan om barnet har permanent uppehållstillstånd i Sverige och hemvist här i landet sedan tre år eller, om barnet är statslöst, två år. Om barnet har fyllt tolv år krävs barnets samtycke.

Enligt 11 § medborgarskapslagen kan en utlänning som fyllt 18 år efter ansökan beviljas svenskt medborgarskap (naturalisation) om han eller hon har styrkt sin identitet, har permanent uppehållstill- stånd i Sverige och hemvist här i landet sedan ett visst antal år beroende på befintligt medborgarskap. Utlänningen ska också ha haft och förväntas komma att ha ett hederligt levnadssätt. Även om kraven i bestämmelsen inte är uppfyllda kan en utlänning ändå be- viljas svenskt medborgarskap om sökanden tidigare har varit svensk medborgare, sökanden är gift eller sambo med en svensk medborgare eller det annars finns särskilda skäl till det, se 12 § medborgarskaps- lagen. En sökande som inte kan styrka sin identitet kan få svenskt medborgarskap endast om han eller hon har haft hemvist i Sverige sedan minst åtta år och gör sannolikt att den uppgivna identiteten är riktig.

En svensk medborgare kan under de förutsättningar som anges i 14 § medborgarskapslagen förlora sitt medborgarskap eller efter an- sökan befrias från sitt medborgarskap, se 15 § medborgarskapslagen.

För medborgare i Danmark, Finland, Island och Norge och övriga EES-länder finns särskilda bestämmelser i 16−20§§ medborgarskaps- lagen. En nordisk medborgare kan till exempel förvärva svenskt medborgarskap efter anmälan har fyllt arton år, har hemvist i Sverige sedan fem år och under denna tid inte har dömts till frihetsberövan- de påföljd.

145

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.4.2Handläggande myndigheter enligt medborgarskapslagen

Ärenden enligt medborgarskapslagen prövas som huvudregel av Migrationsverket. Verket beslutar i ärenden om anmälan enligt 5– 9 §§ medborgarskapslagen, ansökan om naturalisation enligt 11–13 §§ medborgarskapslagen, ansökan om bibehållande av svenskt med- borgarskap enligt 14 § andra stycket medborgarskapslagen, ansökan om befrielse från svenskt medborgarskap enligt 15 § medborgar- skapslagen samt ansökan om förklaring om svenskt medborgarskap enligt 21 § medborgarskapslagen. Undantag gäller för vissa anmäl- ningar som gäller en medborgare i Danmark, Finland, Island eller Norge. Sådana anmälningar prövas av länsstyrelsen.

Ansökningar om svenskt medborgarskap ska som huvudregel ges in till Migrationsverket. Om sökanden inte är folkbokförd i Sverige ska ansökan emellertid ges in till en svensk beskickning eller ett svenskt karriärkonsulat inom vars verksamhetsområde sökanden är bosatt, se 5 § medborgarskapsförordningen. En ansökan om natura- lisation som gäller en utlänning som är under 15 år och adopterad av en svensk medborgare ska dock alltid ges in till Migrationsverket.

I de fall anmälan eller ansökan görs till en beskickning eller kon- sulat utomlands görs den utredning som behövs för ärendets pröv- ning där. Handlingarna i ärendet ska därefter sändas till Migrations- verket för beslut, se 7 och 8 §§ medborgarskapsförordningen. I övrigt utreder Migrationsverket de ärenden som verket ska pröva.

När någon har förvärvat svenskt medborgarskap eller en ansökan om bibehållande av svenskt medborgarskap, ansökan om befrielse från svenskt medborgarskap eller ansökan om förklaring om att någon är svensk medborgare har bifallits ska den beslutande myndigheten eller domstolen skyndsamt underrätta Skatteverket om beslutet, se 9 § medborgarskapsförordningen. Även den svenska beskickning eller det svenska karriärkonsulat som har tagit emot anmälan eller an- sökan ska underrättas. I underrättelsen ska även anges de barn som har förvärvat svenskt medborgarskap genom beslutet.

När någon har förvärvat svenskt medborgarskap genom anmälan eller naturalisation ska Migrationsverket eller länsstyrelsen utfärda bevis om svenskt medborgarskap, se 10 § medborgarskapsförord- ningen.

146

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Migrationsverkets och länsstyrelsernas beslut enligt medborgar- skapslagen överklagas till migrationsdomstol. I säkerhetsärenden överklagas dock Migrationsverkets beslut till regeringen, se 27 § medborgarskapslagen. Ett säkerhetsärende är ett ärende där Säker- hetspolisen hos Migrationsverket har föreslagit att ansökan om med- borgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i säkerhetsärenden får överklagas även av Säkerhetspolisen.

Enligt 28 § medborgarskapslagen ska en socialnämnd på begäran av regeringen, Migrationsverket, en migrationsdomstol, Migrations- överdomstolen eller Säkerhetspolisen lämna ut uppgifter om en ut- lännings personliga förhållanden om uppgifterna behövs i ett ärende om svenskt medborgarskap.

4.5Verksamhet enligt nuvarande utlänningsdataförordning m.m.

Som angetts ovan anges inte i kommittédirektiven vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Viss vägledning kan dock sökas i den nuvarande utlänningsdataför- ordningen. Enligt 1 § gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. I bestämmelsen definieras därefter vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen, nämligen:

1.verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2.verksamhet som gäller utlänningars rätt att arbeta i landet,

3.mottagande av asylsökande och vissa andra utlänningar,

4.verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,

5.verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och

147

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

6.verksamhet som gäller ersättning för och bosättning av utlänning- ar som enligt lag eller annan författning handläggs av Migrations- verket.

I detta avsnitt beskrivs annan verksamhet enligt utlännings- och medborgarskapslagstiftningen än sådan verksamhet som följer av utlänningslagen och medborgarskapslagen med utgångspunkt i den nuvarande utlänningsdataförordningens definition.

4.5.1Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet

Utöver de bestämmelser i utlänningslagen som beskrivits ovan finns regler om utvisning i lagen om särskild utlänningskontroll. Enligt 1 § lagen om särskild utlänningskontroll får en utlänning utvisas ur landet om det är särskilt påkallat av hänsyn till rikets säkerhet. Det får också ske om det med hänsyn till vad som är känt om utlän- ningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott.

Beslut om utvisning enligt lagen om särskild utlänningskontroll meddelas av Migrationsverket, se 2 § lagen om särskild utlännings- kontroll. Frågan om utvisning tas upp på ansökan av Säkerhetspolisen. Polismyndigheten eller Migrationsverket kan göra en anmälan till Säkerhetspolisen om myndigheten anser det finns anledning att anta att ett beslut om utvisning bör meddelas.

Om utlänningen vid Säkerhetspolisens ansökan redan har ansökt om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt, ska ansökningarna handläggas tillsammans en- ligt bestämmelserna i nu aktuell lag. Detsamma gäller om utlänningen ansöker om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt under handläggningen av ärendet om utvisning.

Migrationsverkets beslut som rör utvisning, uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt får överklagas till regeringen, se 2 a § lagen om särskild utlännings- kontroll. I övrigt får beslut som meddelas av en förvaltningsmyn- dighet överklagas endast i de fall som anges i lagen. Säkerhetspolisen

148

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

får överklaga Migrationsverkets beslut, om beslutet kan överklagas och går Säkerhetspolisen emot.

Om Migrationsverkets utvisningsbeslut överklagas ska verket skyndsamt lämna över handlingarna i ärendet till Migrationsöver- domstolen, se 3 § lagen om särskild utlänningskontroll. Migrations- överdomstolen ska i sin tur lämna handlingarna vidare till regeringen tillsammans med ett eget yttrande. Migrationsöverdomstolen ska bland annat yttra sig om huruvida det finns hinder mot att beslutet verkställs. Ett sådant hinder kan till exempel vara att det finns skälig anledning att anta att utlänningen i det land utvisning ska ske till skulle vara i fara att straffas med döden eller att utsättas för kropps- straff, tortyr eller annan eller omänsklig behandling eller bestraffning. Finner Migrationsöverdomstolen att sådant hinder mot verkställig- het finns, får regeringen inte avvika från den bedömningen.

Det är som huvudregel Säkerhetspolisen som verkställer beslut om utvisning och förvar enligt lagen om särskild utlänningskontroll.

I 2 a § lagen (2006:304) om rättsprövning av vissa regeringsbeslut finns en bestämmelse om rätt för EES-medborgare och deras familje- medlemmar att hos Högsta förvaltningsdomstolen ansöka om rätts- prövning av ett beslut om utvisning enligt lagen om särskild utlän- ningskontroll. I lagen finns också bestämmelser om förvar och uppsikt i samband med beslut om utvisning.

Bestämmelser om avlägsnande finns även i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om över- lämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling. Beslut enligt den först nämnda lagen fattas i vissa fall av regeringen, annars av Högsta domstolen. Överlämnande enligt europeisk eller nordisk arresteringsorder beslutas av tingsrätten. Utlämning enligt sistnämn- da lag får i vissa fall beslutas av Polismyndigheten, annars av en förvaltningsrätt. Det är Polismyndigheten som verkställer utläm- ningar och överlämningar med stöd av ovan nämnda författningar.

149

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.5.2Verksamhet som gäller utlänningars rätt att arbeta i Sverige

Utlänningars rätt att arbeta i Sverige regleras i utlänningslagen och dess förordning samt föreskrifter som meddelats med stöd av dessa författningar (se avsnitt 4.3.5).

Undantag gäller för anställning av utlänning på svenskt fartyg i utrikes trafik. Av lagen (1989:532) om tillstånd till anställning på fartyg följer att utlänning som inte har permanent uppehållstillstånd eller är medborgare i ett nordiskt land ska ha anställningstillstånd. Kravet på anställningstillstånd gäller inte för en utlänning som är medborgare i en stat inom EES.

Anställningstillstånd lämnas och återkallas av Arbetsförmedlingen. Tillstånd får dessutom lämnas av den sjöarbetsförmedling som utses av regeringen eller av den myndighet som regeringen bestämmer, och av de svenska utlandsmyndigheter som Utrikesdepartementet be- stämmer.

4.5.3Mottagande av asylsökande och vissa andra utlänningar och verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

Lagen om mottagande av asylsökande m.fl.

I lagen (1994:137) om mottagande av asylsökande m.fl. (LMA) finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. Ytterligare föreskrifter ges i förordningen (1994:361) om mot- tagande av asylsökande m.fl. Bestämmelserna i lagen gäller enligt 1 § första stycket för tre kategorier av utlänningar:

1.utlänningar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skyddsbehövande eller motsvarande en- ligt äldre bestämmelser (asylsökande),

2.utlänningar som har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd med stöd av utlänningslagens bestämmelser och som inte är folkbokförda här i landet eller

150

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

3.utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas.

I lagen finns också särskilda bestämmelser om mottagande av barn under 18 år som vid ankomsten till Sverige är skilda från båda sina föräldrar eller från någon annan vuxen person som får anses ha trätt i föräldrarnas ställe eller som efter ankomsten står utan sådan ställ- företrädare, dvs. ensamkommande barn.

Migrationsverket har huvudansvaret för mottagandet av de ut- länningar som tillhör kategori 1 och 2 ovan. Verket ska driva för- läggningar och de utlänningar som myndigheten ansvarar för ska erbjudas plats på en sådan förläggning. Oavsett om utlänningen ut- nyttjar en erbjuden plats eller inte ska han eller hon registreras vid en förläggning. Migrationsverket ansvarar därefter för att bistånd lämnas i enlighet med bestämmelserna i LMA. När det gäller ensam- kommande barn ska Migrationsverket i stället anvisa en kommun som ska ordna boendet.

För de utlänningar som tillhör den tredje kategorin ska biståndet lämnas av socialnämnden i den kommun där utlänningen vistas.

Migrationsverket ska i lämplig omfattning ge de utlänningar de ansvarar för sysselsättning genom att de får tillfälle att delta i svensk- undervisning, i skötseln av förläggningar och i annan verksamhet som bidrar till att göra vistelsen meningsfull.

En utlänning som tillhör de första två kategorierna och som är registrerad vid en förläggning har rätt till bistånd. Bistånd lämnas i form av logi, bostadsersättning, dagersättning och särskilt bidrag. En utlänning som tillhör den tredje kategorin har rätt till bidrag i form av dagersättning och särskilt bistånd.

Migrationsverkets eller socialnämndens beslut enligt LMA får överklagas till allmän förvaltningsdomstol. Migrationsverkets beslut om anvisning av ensamkommande barn får emellertid inte över- klagas.

En kommun som har lämnat bidrag enligt LMA har rätt till ersättning från staten för biståndet.

151

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

Bidrag till resor

Enligt 1 § förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land får Migrationsverket besluta om statligt bidrag till utlänningar som önskar lämna Sverige och bosätta sig i ett annat land. Migrationsverket får vidare enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige besluta om bidrag av allmänna medel för kostnader för resa till Sverige för vissa anhöriga till en flykting. Bidrag får lämnas till resa för anhörig som har sammanlevt med flyktingen utanför Sverige och som är make eller maka eller ogift barn under 20 år, förälder eller syskon till den som är minderårigt barn, om det med hänsyn till barnets behov föreligger särskilda skäl, annan person som under längre tid under äktenskapsliknande former har samman- levt med flyktingen och andra anhöriga om det finns det finns syn- nerliga skäl.

Förordning om återetableringsstöd för vissa utlänningar

Av förordningen (2008:778) om återetableringsstöd för vissa utlän- ningar följer att Migrationsverket efter ansökan får besluta om statligt bidrag, återetableringsstöd, till en utlänning under vissa förutsätt- ningar. Det gäller om utlänningen har fått avslag på en ansökan om uppehållstillstånd som flykting, alternativt skyddsbehövande eller övrig skyddsbehövande eller motsvarande äldre bestämmelser och utlänningen avser att självmant återvända till ett land eller en del av ett land som på grund av svåra motsättningar har mycket begrän- sade förutsättningar för återetablering av återvändande. Som krav gäller också att det framstår som sannolikt att utlänningen kommer att tas emot i det land han eller hon avser att återvända till.

Förordning om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet

Förordningen (2010:1345) om särskild dagersättning till vissa ny- anlända invandrare som vistas vid mottagningsenhet innehåller be- stämmelser om särskild dagersättning till nyanlända invandrare som deltar i aktiviteter enligt en etableringsplan enligt lagen (2010:197)

152

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

om etableringsinsatser för vissa nyanlända invandrare när de vistas vid en mottagningsenhet hos Migrationsverket. Särskild dagersätt- ning lämnas till de som saknar egna medel för sin dagliga livsföring. Sådan ersättning lämnas under högst 30 dagar från det att ersättning enligt LMA inte längre betalas ut.

Migrationsverket prövar om särskild dagersättning ska betalas ut.

Bidragsbrottslagen och lagen om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen

Ytterligare en lag som medför personuppgiftsbehandling för Migra- tionsverket är bidragsbrottslagen (2007:612). Lagen gäller sådana bidrag, ersättningar, pensioner och lån för personligt ändamål (eko- nomiska förmåner) som enligt lag eller förordning beslutas av bland annat Migrationsverket. Den som lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott. Myndigheten ska göra anmälan till Polismyndigheten eller till Åklagarmyndigheten om det kan misstänkas att brott enligt lagen har begåtts.

Av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen följer att det finns en skyldighet för vissa myndigheter, däribland Migrationsverket, att underrätta den myndighet som fattat ett beslut om utbetalning om det finns anledning att anta att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp.

4.5.4Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap

Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap regleras uttömmande i medborgarskapslagen och dess förordning (se avsnitt 4.4).

153

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.5.5Verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

Förordning om statlig ersättning för flyktingmottagande m.m.

I förordningen (1990:927) om statlig ersättning för flyktingmotta- gande m.m. ges bestämmelser om statlig ersättning till kommuner och landsting för mottagande av och insatser för skyddsbehövande och vissa andra utlänningar som före utgången av november år 2010 först togs emot i en kommun. Ersättning enligt förordningen lämnas för utlänningar som har överförts till Sverige med stöd av ett särskilt regeringsbeslut, utlänningar som har fått uppehållstillstånd och som har tagits emot i kommunen efter att ha varit registrerade vid en förläggning för asylsökande, andra utlänningar som har fått uppehållstillstånd som flykting, alternativt skyddsbehövande, övrig skyddsbehövande eller på grund av synnerligen ömmande omstän- digheter eller motsvarande äldre bestämmelser. Ersättning lämnas också för utlänningar som har fått uppehållstillstånd på grund av sin anknytning till en utlänning enligt ovan och ansökt om uppe- hållstillstånd inom två år från det att den person som han eller hon har anknytning till först togs emot i en kommun.

Ersättningen beslutas och betalas ut av Migrationsverket. En schablonersättning betalas ut med utgångspunkt i utlänningens ålder. Rätt till ersättning har kommuner som genomför ett program för utlänningens introduktion i samhället. Ett sådant program ska bland annat innehålla utbildning i svenska för invandrare.

En kommun har rätt till ersättning för vissa särskilda kostnader, bland annat för ekonomiskt bistånd och stöd och hjälp i boendet och för särskilda boendeformer för service och omvårdnad enligt socialtjänstlagen (2001:453) samt för hälso- och sjukvård. Rätt till ersättning finns också för insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, assistansersättning enligt socialförsäkringsbalken, kostnader för bostadsanpassningsbidrag en- ligt lagen (1992:1574) om bostadsanpassningsbidrag m.m. samt kost- nader för hälso- och sjukvård på grund av en sjukdom eller ett funk- tionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlän- ningens situation som skyddsbehövande. En kommun har vidare rätt till ersättning för vissa kostnader för ensamkommande barn.

154

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Ett landsting har rätt till ersättning för kostnader för hälso- och sjukvård av en utlänning och som på grund av en sjukdom eller ett funktionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlänningens situation som skyddsbehövande måste beredas varak- tig vård som ordinerats av läkare. Därutöver får Migrationsverket lämna ersättning till kommuner och landsting för betydande extra- ordinära kostnader för flyktingmottagande.

Som ovan nämnts gäller förordningen personer som togs emot före den 1 december 2010. Kommuner och landsting kan söka ersätt- ning för kostnader under tillståndsåret och följande tre år. År 2014 är således det sista år som ansökan kan göras enligt förordningen. Rätten att ansöka om ersättning för kostnader för ensamkommande barn, kostnader för personer med varaktigt behov av vård och kost- nader för personer som saknar arbetsförmåga kvarstår dock. För de utlänningar som tagits emot från den 1 december 2010 och framåt gäller i stället förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, se nedan.

Förordning om statlig ersättning för insatser för vissa utlänningar

Förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar innehåller bestämmelser om statlig ersättning till kom- muner, landsting och kommunalförbund för mottagande av och insatser för vissa utlänningar.

En kommun som har träffat en överenskommelse om mottagan- de för bosättning av nyanlända utlänningar enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invand- rare har rätt till en årlig grundersättning. Vidare har en kommun som tagit emot skyddsbehövande eller vissa andra utlänningar för bosättning rätt till schablonersättning, ersättning för initiala kost- nader för ekonomiskt bistånd, ersättning för ekonomiskt bistånd, stöd och service samt hälso- och sjukvård och ersättning för mot- tagande av ensamkommande barn. Ersättning lämnas också, i mån av tillgång på medel, för vissa särskilda kostnader, vissa hyreskost- nader, extraordinära kostnader för vårdinsatser, insatser för att skapa beredskap och mottagningskapacitet samt för att utveckla samverkan

155

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

och för att stärka och utveckla verksamhet med flyktingguider och familjekontakter.

Landstingen har rätt till ersättning för vissa hälso- och sjuk- vårdskostnader för skyddsbehövande och vissa andra utlänningar.

Länsstyrelserna prövar frågor om och betalar ut ersättning till kommuner och kommunalförbund för insatser för att skapa bered- skap och tillräcklig mottagningskapacitet för utlänningar samt för att utveckla samverkan mellan kommuner och mellan kommuner och andra organ i syfte att underlätta etableringen i samhället. Länsstyrel- sen i Jönköpings län prövar frågor om och betalar ut ersättning till kommuner för att stärka och utveckla verksamheten med flykting- guider och familjekontakter som riktas i huvudsak till nyanlända utlänningar. I övrigt är det Migrationsverket som prövar och betalar ut ersättning enligt förordningen.

I de fall Migrationsverkets beslut får överklagas ska överklagan- de ske hos allmän förvaltningsdomstol.

Förordning om statlig ersättning för hälso- och sjukvård till asylsökande

Enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande har landsting, kommuner och öppen- vårdsapotek rätt till statlig ersättning för kostnader för hälso- och sjukvård samt kostnader för tandvård och receptförskrivna läkemedel som de har för vissa utlänningar. Ersättning enligt förordningen beslutas och betalas av Migrationsverket.

Ersättning får ges för hälso- och sjukvård som lämnas till utlän- ningar enligt 1 § första stycket 1 och 2 LMA. Ersättning ges också för personer som fyllt arton år för omedelbar vård och vård som inte kan anstå, mödrahälsovård, förlossningsvård, preventivmedels- rådgivning, vård vid abort, vård och åtgärder enligt smittskyddslagen (2004:168) samt omedelbar tandvård och tandvård som inte kan anstå.

För personer som inte fyllt arton år samt för vissa andra ges ersätt- ning för hälso- och sjukvård samt tandvård. Ersättning ges också för en hälsoundersökning för utlänning som avses i 1 § första stycket 1 och 2 LMA och som är registrerad hos Migrationsverket.

Öppenvårdsapotek har rätt till ersättning av staten för recept- förskrivna läkemedel för vissa utlänningar.

156

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

I de fall Migrationsverkets beslut får överklagas ska överklagande ske hos allmän förvaltningsdomstol.

Förordning om statlig ersättning för asylsökande m.fl.

Bestämmelser om kommuners och landstings rätt till statlig ersättning för vissa kostnader för asylsökande och vissa andra utlänningar finns i förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Ersättning enligt förordningen beslutas och betalas av Migra- tionsverket.

Migrationsverket ska träffa överenskommelser med kommuner om mottagande av ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Överenskommelserna får avse dels mottagan- de av barn som Migrationsverket ska anvisa till kommunen enligt LMA, dels tillfälligt mottagande av barn i avvaktan på att barnet kan anvisas en kommun. En kommun som träffat en överenskom- melse har rätt till en årlig ersättning om 500 000 kronor.

En kommun har rätt till ersättning för bistånd som den har betalat enligt LMA och för vissa transporter av asylsökande. En kommun har vidare rätt till ersättning för kostnader för utbildning för barn och för barn som går på förskola eller inte genomgår någon utbildning. Rätt till ersättning föreligger också bland annat i vissa fall för vård, stödinsatser eller bistånd som ges med stöd av social- tjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall. Vidare har en kommun rätt till ersättning för kostnader för god man till ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Därutöver får Migrationsverket lämna ersätt- ning till kommuner som haft betydande extraordinära kostnader för personer som avses i 1 § LMA.

Ett landsting har rätt till ersättning för kostnader för den hälso- och sjukvård som det lämnat till personer som vistas här med stöd av ansökan eller beslut om tidsbegränsat uppehållstillstånd enligt 5 kap. 15 § UtlL.

Migrationsverkets beslut överklagas till allmän förvaltningsdom- stol.

157

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

4.6Övrig verksamhet

Det finns även annan verksamhet på utlänningsområdet som har nära koppling till den verksamhet som beskrivs ovan. Här följer exem- pel på sådan verksamhet.

4.6.1Migrationsverket

Sverige är ett av de länder som erbjuder FN:s flyktingorgan UNHCR en årlig flyktingkvot. Regeringen fastställer årligen ramarna för vidarebosättning till Sverige och storleken på den svenska flykting- kvoten fattas genom budgetpropositionen. År 2014 var den svenska flyktingkvoten 1 900 personer. Det är Migrationsverket som har uppdraget att svara för vidarebosättning av flyktingar och andra skyddsbehövande. Urvalet sker antingen genom s.k. delegations- uttagning eller genom dossieruttagning. Delegationsuttagning inne- bär att utsända från Migrationsverket intervjuar flyktingar och skyddsbehövande på plats i det land där de befinner sig. Vid dossier- uttagning skickar UNHCR sin utredning till Migrationsverket som fattar beslut utifrån detta underlag.

Som ovan nämns är Migrationsverket ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden. Europeiska flyktingfonden tillkom efter Rådets beslut 2000/596/EG av den 28 september 2000. Genom detta beslut inrättades Europeiska flyktingfonden för perioden 1 januari 2005−31 december 2010. Genom Europaparlamentets och rådets beslut 573/2007/EG av den 23 maj 2007 om inrättande av Europeiska flyktingfonden inrättades en europeisk flyktingfond för perioden 2008–2013. Syftet med fonden är att verka för en gemensam solidarisk politik mellan EU:s medlemsländer och att bidra till uppbyggnaden av ett gemensamt asylsystem. Fonden stöder projekt som vänder sig till asylsökande, flyktingar och skyddsbehövande. Flyktingfonden III startade under 2008 och pågick till 2013. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015.

Den s.k. återvändandefonden inrättades genom Europaparlamen- tets och rådets beslut nr 575/2007/EG av den 23 maj 2007 om inrättande av Europeiska återvändandefonden för perioden 2008– 2013 som en del av det allmänna programmet ”Solidaritet och hante-

158

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

ring av migrationsströmmar”. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015. Fonden finansierar projekt som handlar om självmant återvändande, tvångsvis åter- vändande och frivillig återvandring i syfte att förbättra förhållanden för asylsökande som väljer att återvända självmant innan asylärendet har avgjorts, personer med permanent uppehållstillstånd som flyk- tingar eller skyddsbehövande och som frivilligt vill återvandra och personer som har fått avslag på sin ansökan och återvänder frivilligt eller med tvång.

4.6.2Arbetsförmedlingen och Försäkringskassan

Lagen om etableringsinsatser för vissa nyanlända invandrare

Lagen (2010:197) om etableringsinsatser för vissa nyanlända invan- drare innehåller bestämmelser om insatser som har till syfte att underlätta och påskynda vissa nyanlända invandrares etablering i arbets- och samhällslivet. Insatserna ska enligt 1 § ge de nyanlända förutsättningar för egenförsörjning och stärka deras aktiva delta- gande i arbets- och samhällslivet. Bestämmelserna i lagen gäller ny- anlända invandrare i viss ålder som beviljats uppehållstillstånd enligt vissa i lagen angivna bestämmelser.

Arbetsförmedlingen är ansvarig för att samordna etableringsinsats- er enligt lagen och vara stödjande och pådrivande i förhållande till berörda parter. Även länsstyrelserna har skyldighet att främja sam- verkan mellan berörda kommuner och myndigheter, företag och organisationer som anordnar aktiviteter för nyanlända. Varje kom- mun är skyldig att se till att nyanlända erbjuds samhällsorientering.

Arbetsförmedlingen ska upprätta en individuell plan med insatser för att underlätta och påskynda den nyanländes etablering, en s.k. etableringsplan. Etableringsplanen ska utformas tillsammans med den nyanlände och i samverkan med berörda kommuner, myndigheter, företag och organisationer. Planen ska minst innehålla utbildning i svenska för invandrare eller motsvarande utbildning för den som har rätt att delta i sådan utbildning enligt skollagen (2010:800), samhälls- orientering och aktiviteter för att underlätta och påskynda den nyanländes etablering i arbetslivet.

En nyanländ som deltar i aktiviteter enligt en etableringsplan har rätt till etableringsersättning och under vissa förutsättningar även

159

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

etableringstillägg och bostadsersättning. Detsamma gäller en nyanländ som medverkar till upprättandet av en etableringsplan och som inte har rätt till bistånd enligt LMA.

Kommuner som har haft kostnader till följd av åtaganden enligt lagen har rätt till ersättning enligt förordningen om statlig ersätt- ning för insatser för vissa utlänningar (se avsnitt 4.5.5).

Förordning om ersättning till vissa nyanlända invandrare

Förordningen (2010:407) om ersättning till vissa nyanlända invand- rare innehåller föreskrifter om ersättning enligt lagen om etablerings- insatser för vissa nyanlända invandrare. Den som medverkar i upp- rättandet av en etableringsplan och som deltar i aktiviteter enligt planen har rätt till etableringsersättning. En nyanländ som har rätt till etableringsersättning har också rätt till etableringstillägg om han eller hon har hemmavarande barn. En nyanländ som har rätt till etableringsersättning och som är ensamstående utan hemmavarande barn har rätt till bostadsersättning.

Frågor om etableringsersättning prövas av Arbetsförmedlingen. Försäkringskassan prövar frågor om etableringstillägg och bostads- ersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning.

Förordning om mottagande för bosättning av vissa nyanlända invandrare

Förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare innehåller bland annat bestämmelser om anvis- ning av bosättning för vissa nyanlända invandrare. Med nyanländ avses en person som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare, dock utan begränsning till viss ålder.

Det åligger Migrationsverket att beräkna mottagningsbehovet, dvs. hur många nyanlända som omfattas av lagens tillämpnings- område och som har behov av plats för bosättning i en kommun under det kommande året. Arbetsförmedlingen ska, efter samråd med länsstyrelserna och Migrationsverket, fastställa en fördelning av mottagningsbehovet i varje län (länstal). Länsstyrelsen ska träffa

160

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

överenskommelser med kommuner inom länet om mottagande för bosättning av nyanlända.

Arbetsförmedlingen ska, när det finns behov, anvisa bosättning i en kommun till en nyanländ som har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare, om uppehållstillstånd har beviljats på annan grund än enligt 5 kap. 2 § UtlL, dvs. en utlänning som tagits emot i Sverige inom ramen för ett beslut som regeringen har meddelat om överföring av skydds- behövande till Sverige, s.k. vidarebosättning. Anvisning får också göras innan det är klarlagt att den nyanlände har rätt till en etable- ringsplan. Den nyanlände ska anvisas en kommun som har träffat överenskommelse med en länsstyrelse om mottagande för bosättning.

Migrationsverket ska anvisa bosättning i en kommun till ny- anlända som har beviljats uppehållstillstånd enligt 5 kap. 2 § UtlL. Detsamma gäller nyanlända som inte har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare och som har behov av anvisning för bosättning i en kommun.

Förordning om etableringssamtal och etableringsinsatser för vissa nyanlända invandrare

Förordningen (2010:409) om etableringssamtal och etablerings- insatser för vissa nyanlända invandrare innehåller föreskrifter om etableringssamtal samt om etableringsinsatser och anordnares upp- giftsskyldighet enligt lagen om etableringsinsatser för vissa nyanlända invandrare. Arbetsförmedlingen ska genomföra etableringssamtal med en nyanländ snarast möjligt efter det att han eller hon har be- viljats uppehållstillstånd. Vid etableringssamtalet ska Arbetsförmed- lingen kartlägga den nyanländes utbildningsbakgrund, tidigare arbets- livserfarenhet, behov av utbildning och andra insatser samt andra förhållanden av betydelse för hans eller hennes etablering på arbets- marknaden. Etableringssamtalet ska även omfatta frågan om fram- tida boende. När den nyanlände har tagits emot för bosättning i en kommun ska Arbetsförmedlingen upprätta en etableringsplan för en nyanländ.

Anordnare av aktiviteter för nyanlända ska till Arbetsförmed- lingen lämna de uppgifter som är av betydelse för tillämpningen av lagen om etableringsinsatser för vissa nyanlända invandrare och för- ordningen. Om det behövs ska Migrationsverket lämna uppgifter

161

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

till Arbetsförmedlingen i fråga om en nyanländs utbildningsbak- grund, tidigare arbetslivserfarenhet och andra uppgifter av betydelse för den nyanländes etablering på arbetsmarknaden.

4.6.3Kommuner

Lagen om samhällsorientering för vissa nyanlända invandrare

I lagen (2013:156) om samhällsorientering för vissa nyanlända invan- drare finns bestämmelser om kommuners ansvar att erbjuda samhälls- orientering för vissa nyanlända invandrare. Lagen gäller inte nyanlända som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare. Varje kommun ska erbjuda samhällsorientering till de nyanlända invandrare som är folkbokförda i kommunen och som omfattas av lagen. Kommunen ska aktivt verka för att nå de nyanlän- da i kommunen som har rätt till samhällsorientering och motivera dem att delta i samhällsorienteringen. Förordningen (2010:1138) om samhällsorientering för vissa nyanlända invandrare innehåller före- skrifter om den samhällsorientering som varje kommun ska se till att nyanlända invandrare erbjuds enligt lagen om etableringsinsatser för vissa nyanlända invandrare och lagen om samhällsorientering för vissa nyanlända invandrare. Samhällsorienteringen syftar till att underlätta de nyanländas etablering i arbets- och samhällslivet och ska ge en grundläggande förståelse för det svenska samhället och en grund för fortsatt kunskapsinhämtande. Målet ska vara att deltagar- na utvecklar kunskap om de mänskliga rättigheterna och de grund- läggande demokratiska värderingarna, den enskildes rättigheter och skyldigheter i övrigt, hur samhället är organiserat och praktiskt vardagsliv.

Förordning om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl.

Förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl. reglerar utbildning inom det offentliga skolväsendet för barn och ungdomar som avses i 1 § första stycket LMA. Det är barn och ungdomar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skydds-

162

SOU 2015:73

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

behövande eller motsvarande äldre bestämmelser, har beviljats uppe- hållstillstånd med tillfälligt skydd eller uppehållstillstånd efter till- fälligt skydd och som inte är folkbokförda här i landet eller har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas. I förordningen ges vidare föreskrifter om utbildning inom det offentliga skolväsendet för barn och ungdomar som inte är folkbokförda här i landet och som vistas här enligt ett beslut om tidsbegränsat uppehållstillstånd. I för- ordningen regleras också förskoleverksamhet och skolbarnsomsorg. Barn som omfattas av bestämmelserna ska anvisas plats i förskole- klass och ha rätt att få utbildning i grundskolan, den obligatoriska särskolan, specialskolan och sameskolan på samma villkor som barn som är bosatta i Sverige, med den skillnaden att rätten inte medför någon skolplikt. Ungdomar ska som huvudregel erbjudas utbildning i gymnasieskolan och gymnasiesärskolan på samma villkor som ung- domar som är bosatta i Sverige.

Hemkommunen ska svara för att utbildning, förskoleverksamhet och skolbarnsomsorg enligt denna förordning kommer till stånd. Med hemkommun avses den kommun där barnet vistas.

4.6.4Landsting

Lagen om hälso- och sjukvård åt asylsökande m.fl.

Lagen (2008:344) om hälso- och sjukvård åt asylsökande m.fl. inne- håller bestämmelser om landstingens skyldigheter att, utöver vad som följer av hälso- och sjukvårdslagen (1982:763) samt tandvårds- lagen (1985:125), erbjuda hälso- och sjukvård samt tandvård åt asylsökande och vissa andra utlänningar. Bestämmelserna omfattar utlänningar som har ansökt om uppehållstillstånd i Sverige som flyk- ting eller som annan skyddsbehövande eller motsvarande äldre be- stämmelser eller har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd och som inte är folk- bokförda här i landet. Reglerna gäller även för utlänning som hålls i förvar och som inte har placerats i kriminalvårdsanstalt, häkte eller polisarrest eller vistas här med stöd av tidsbegränsat uppehållstill- stånd.

Ett landsting ska erbjuda sådana utlänningar som inte har fyllt 18 år vård i samma omfattning som erbjuds den som är bosatt inom

163

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2015:73

landstinget. Den som har fyllt 18 år ska erbjudas vård som inte kan anstå, mödrahälsovård, vård vid abort och preventivmedelsrådgiv- ning. Ett landsting ska vidare, om det inte är uppenbart obehövligt, erbjuda utlänningar som omfattas av lagen en hälsoundersökning.

Landstinget har rätt till ersättning från staten för kostnader för hälso- och sjukvård och tandvård, se avsnitt 4.5.5.

4.6.5Centrala studiestödsnämnden

Enligt förordningen (1990:1361) om lån till hemutrustning för flyk- tingar och vissa andra utlänningar handlägger Centrala studiestöds- nämnden ärenden om beviljande, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Under vissa förutsättningar kan i förordningen definierade personer som har behov av pengar till hemutrustning beviljas lån. Ett sådant behov kan anses föreligga då utlänningen flyttar in i en omöblerad bostadslägenhet, men även i andra fall. I förordningen finns bestäm- melser om lånets storlek och lånevillkor, amortering, ränta, förfaran- det i låneärenden m.m.

Centrala studiestödsnämnden får med hjälp av automatiserad behandling föra ett personregister för administration av lån enligt förordningen. Personuppgifter i registret får behandlas för fullgöran- de av uppgiftsskyldighet enligt lag eller förordning.

4.6.6Övrigt

Lagen (2005:429) om god man för ensamkommande barn innehåller bestämmelser om god man i vissa fall för den som är under 18 år och som är utländsk medborgare eller statslös. God man ska förordnas av Överförmyndaren efter ansökan av Migrationsverket eller social- nämnden i den kommun där barnet vistas. Överförmyndaren får också självmant ta upp frågan.

Förordningen (2008:63) om statsbidrag till organisationer bildade på etnisk grund innehåller bestämmelser om statsbidrag till organi- sationer bildade på etnisk grund. Syftet med statsbidraget är att stärka organisationernas egna initiativ och verksamheter som rör kultur, språk, identitet och delaktighet i samhället. Frågor om bidrag enligt

164

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

Personuppgifterna i CUD behandlas med stöd av personupp- giftslagen (1998:204) och förordningen (2001:720) om behandling av personuppgifter enligt utlännings- och medborgarskapslagstift- ningen (utlänningsdataförordningen).

Behörighet till de olika applikationerna administreras centralt inom Migrationsverket. Innan behörighet medges görs en prövning om och i så fall vilka delsystem varje anställd ska ha åtkomst till. De handläggare, beslutsfattare och assistenter som har behörighet får bara tillgång till de delar av systemet, s.k. applikationer, som de be- höver för att kunna fullgöra sina arbetsuppgifter. För att komma in i verkets datasystem krävs ett särskilt kort och en kod. De anställ- das slagningar m.m. loggas och loggarna arkiveras.

När en person för första gången blir aktuell i ett ärende hos Migrationsverket läggs en dossier upp. I denna dossier samlas sedan alla uppgifter i ärendet och, om det är aktuellt, senare ärenden som rör personen. Alla uppgifter i CUD är således knutna till en viss indi- vid. Migrationsverket använder i dag (maj 2015) både manuella per- sonakter och elektroniska personakter. Verkets mål är att övergå till endast elektroniska akter.

I november 2014 innehöll CUD information om 3 877 189 per- soner. CUD innehåller en mängd personuppgifter, även känsliga sådana. Det rör sig inte bara om uppgifter avseende de utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att be- söka, bo, arbeta eller studera i Sverige, utan även de som ansökt om till exempel uppehålls- eller arbetstillstånd men som fått avslag på sina ansökningar. Även utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är registrerade.

De personuppgifter i CUD som bedöms vara inaktuella överför- des tidigare till en avställdadatabas. Sedan januari år 2015 överförs sådana uppgifter i stället till ett e-arkiv (se avsnitt 5.2.13).

5.2.2Stamm

Stamm (System för tillstånd, asyl, mottagning och medborgarskap) var tidigare Migrationsverkets centrala databas. De flesta funktioner har nu flyttats över till andra system. Systemet används i dag främst för Migrationsverkets administration av bidrag till asylsökande. Detta system är dock under avveckling.

168

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

5.2.3Wilma och W2

Migrationsverket är processansvarigt för det webbaserade ärende- hanteringssystemet Wilma (Web-based Information system Linking Migration Authorities). Genom Wilma har handläggare på Migra- tionsverket åtkomst till uppgifter i CUD för handläggning av ärenden om uppehållstillstånd, visering och bosättning.

Polismyndigheten och Säkerhetspolisen har åtkomst till viss information i CUD via Wilma. Informationen används vid Polis- myndighetens verksamhet som avser in- och utresekontroll, utlän- nings vistelse i och avlägsnande från Sverige samt Schengenviseringar. Polismyndighetens och Säkerhetspolisens åtkomst regleras i den s.k. Wilmaöverenskommelsen (jämte bilagorna Wilma I–III), se av- snitt 7.15.1.

Genom ett system som kallas W2 har utlandsmyndigheterna åt- komst till uppgifter i CUD. Utlandmyndigheterna har på detta sätt tillgång till uppgifter som behövs för prövning av ansökan om visum, uppehållstillstånd eller arbetstillstånd.

5.2.4Vision

Ett Schengenland kan begära att bli konsulerat i ärenden om vise- ring och upphållstillstånd avseende vissa grupper av utlänningar. För detta ändamål har ett automatiserat meddelandehanteringssystem, Vision, byggts upp inom Schengensamarbetet (se avsnitt 4.3.3). Systemet förmedlar rådfrågningar mellan Schengenstaterna och har en egen databas, som innehåller information om bland annat indi- vider, passinformation och resans ändamål. Migrationsverket har ansvar för den svenska delen av Vision. Vision används främst av anställda på Migrationsverkets tillståndsenhet i Norrköping och på utlandsmyndigheterna.

5.2.5SKAPA

Skapa är ett it-stöd som används inom verksamhetsområdena mot- tagning och asylprövning. Programmet gör det möjligt att lägga upp en individuell plan för den asylsökande och på så sätt åskådligöra och styra asylprocessen.

169

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

5.2.6KUB

Systemet för kortutbetalning av bistånd (KUB) används för att administrera kort och konton för utbetalningar av bidrag och ersätt- ningar till asylsökande. Genom systemet kan anställda på Migrations- verkets mottagningsenheter och Migrationsverkets handläggare bland annat beställa och lämna ut bankkort, spärra konton och begära inspektioner av korttransaktioner som kortinnehavaren har gjort.

5.2.7LMA-kortsystemet

Utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska få en personhandling försedd med fotografi. Personhandlingen kallas tillfälligt LMA-kort för ut- länning i Sverige. LMA-korten finns för att en asylsökande ska kunna visa att han eller hon har rätt att vistas i landet i väntan på att deras ärende avgörs. Ett giltigt LMA-kort ger innehavaren rätt till ett reducerat pris när det gäller sjukvård och medicin.

LMA-kortsystemet används främst av Migrationsverkets recep- tionspersonal samt till viss del mottagningshandläggare ute på mot- tagningsenheterna för att bland annat skapa LMA-kortsunderlag, skriva ut foton samt beställa de asylsökandenas kort.

5.2.8Elektronisk dokumenthantering

Migrationsverkets system för elektronisk dokumenthantering, DHS, nås genom en av applikationerna, till exempel Skapa eller Wilma. Det används vid upprättande och lagring av olika typer av dokument, exempelvis för att skriva ett beslut eller spara ett inskannat doku- ment.

5.2.9Elis och Eskil

Elis är Migrationsverkets system för statistik. Systemet hämtar upp- gifter från CUD för framställning av statistiskt underlag. I Elis förekommer inte uppgifter på individnivå.

Eskil används inom Migrationsverket för arbetsplanering. Genom Eskil är det möjligt att göra sökningar i CUD på enhetsnivå och få

170

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

fram information till exempel om öppna ärenden, vilket informations- språk de sökande har (som hjälp vid tolkbeställning), vilka sökan- den som är klara för att flytta m.m. För att få tillgång till Eskil krävs särskild behörighet. Sökning kan bara ske på ärenden på den egna enheten inom Migrationsverket.

5.2.10Lifos

För att Migrationsverkets beslut ska bli korrekta är det viktigt att myndighetens handläggare och beslutsfattare har tillgång till god information om nationell, internationell- och EU-rättslig praxis på utlänningsrättens område samt aktuell information om de olika länder som är aktuella i myndighetens ärenden.

Enligt 8 § nuvarande utlänningsdataförordning får Migrations- verket föra automatiserade register får återsökning av vägledande avgöranden, rättsutredningar och rättslig information, (dvs. rätts- fallsregister). Av 12 § samma förordning följer att Migrationsverket får föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder (landinformationsregister).

Lifos innehåller Migrationsverkets rättsfallssamling och land- informationsregister. Lifos är en egen databas och saknar koppling till CUD. Lifos rättsfallssamling innehåller Migrationsverkets egna beslut, domar från migrationsdomstolarna och Migrationsöverdom- stolen, domar från EU-domstolen och internationella domar. Av- görandena indexeras med relevanta ämnesord för att underlätta sök- ningen. Rättsfallsregistret får inte innehålla personuppgifter som direkt pekar ut den registrerande (8 § utlänningsdataförordningen).

Lifos landinformationsregister är i första hand ett arbetsredskap för Migrationsverkets personal. Större delen av informationen i Lifos är emellertid också tillgänglig för allmänheten via verkets webb- plats. Viss information finns dock bara tillgänglig internt på grund av sekretess, upphovsrättsliga regler eller personuppgiftsskydds- bestämmelser. För att öka insynen finns bland annat ändå sådana dokuments titlar tillgängliga på verkets hemsida jämte en motivering till varför dokumenten inte är tillgängliga.

I Lifos finns allmän bakgrundsinformation som myndighetens handläggare kan använda vid handläggning och beslutsfattande. För de länder varifrån ett större antal asylsökande kommer finns land-

171

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

översikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationen i Lifos inhämtas vid resor som verkets egna anställda företar men också från till exempel Utrikesdepartementet, utlandsmyndigheter samt rapporter från UNHCR eller frivilligorganisationer. En särskild en- het på Migrationsverket ansvarar för insamling av uppgifter till Lifos och för att uppgifterna är uppdaterade och korrekta.

I Lifos finns personuppgifter, däribland känsliga sådana. I den mån identiteten saknar betydelse för informationens värde avidenti- fieras dock alla personuppgifter innan de görs tillgängliga i Lifos. Eftersom Lifos innehåller bland annat integritetskänslig information, krävs särskild behörighet för Migrationsverkets anställda för åtkomst till Lifos olika delar.

5.2.11VIS

Migrationsverket är registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i informationssystemet för viseringar (VIS) enligt artikel 41.4 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informations- systemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), se 3 § 10 förordningen (2007:996) med instruktion för Migrations- verket. Myndigheten ska föra register över all behandling av person- uppgifter i VIS och de personer som är behöriga att föra in eller använda uppgifter i VIS. Migrationsverket är vidare den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.

5.2.12Register över fingeravtryck och fotografier

Migrationsverket för med stöd av 9 § nuvarande utlänningsdata- förordning ett register över fingeravtryck och fotografier (vanligen benämnt Migrationsverkets fingeravtrycksregister). Avsikten med detta register är att underlätta identifikationen av den som söker asyl i Sverige. Migrationsverkets register över fingeravtryck och foto- grafier behandlas närmare i avsnitt 7.10.

172

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

5.2.13Avställdadatabasen och e-arkivet

Mellan år 2002 och år 2007 överfördes inaktuell information i CUD till en särskild databas, Avställdadatabasen. Under 2014 avvecklades Avställdadatabasen och ersattes med ett elektroniskt arkiv, e-arkivet. Information om de 1,6 miljoner individer som fanns i Avställda- databasen har förts över till e-arkivet.

Uppgifter om en person i CUD ska överföras till e-arkivet 1) tre år efter att en person fått svenskt medborgarskap, 2) tre år efter att en person avlidit, 3) åtta år efter att gällande tillstånd löpt ut eller 4) sex år efter att gällande visum löpt ut. Härrör uppgifterna från ett ärende som inte gäller tillstånd, visering eller medborgarskap överförs uppgifterna tre år efter personens senaste kontakt med Migrationsverket.

När informationen lagrats i e-arkivet tas all information om individen bort från CUD.

5.3Domstolarna

Sedan den 1 oktober 2001 regleras all automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna i fyra förordningar:

•förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,

•förordningen (2001:640) om registerföring m.m. vid förvaltnings- rätt med hjälp av automatiserad behandling,

•förordningen (2001:641) om registerföring m.m. vid Högsta för- valtningsdomstolen och kammarrätterna med hjälp av automati- serad behandling, och

•förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling.

Samtliga fyra förordningar gäller utöver personuppgiftslagen vid automatiserad behandling i den rättskipande och rättsvårdande verk- samheten. Manuella register eller den administrativa verksamheten omfattas således inte av regleringarna. För närvarande pågår arbetet med en ny domstolsdatalag som ska gälla för domstolarnas och nämn-

173

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

dernas behandling av personuppgifter i den rättskipande och rätts- vårdande verksamheten, se avsnitt 6.7.

Vera är Sveriges Domstolars system för målhantering. Alla hand- lingar som kommer in till en domstol och som hör till ett mål registre- ras och hanteras i Vera. Under målhanteringen används systemet till registrering av mål, aktörer, bokning av förhandlingar och andra möten, dokument- och delgivningshantering, bevakning av frister, händelseregistrering, expediering av domar och beslut m.m. Samt- liga domstolar använder Vera och systemet är anpassat efter dom- stolsslag och behörighet. Skillnaderna består av vilka funktioner som finns tillgängliga och vilka värden som är möjliga att registrera.

En domstol har tillgång till sin egen information och viss infor- mation vid andra domstolar. Om ett mål överklagas kan respektive över- och underrätt ta del av information i alla instanser där målen finns. Undantag gäller dock för handlingar som har sekretessmarke- rats i Verasystemet. Sådana handlingar blir inte tillgängliga för andra myndigheter.

I Vera finns möjlighet att inom den egna domstolen söka efter mål och avgöranden. Vissa domstolar har även möjlighet att söka mål och definitiva avgöranden på andra domstolar.

Från Vera sker ett informationsutbyte med andra myndigheters system och med system inom Sveriges Domstolar. I nuläget sker informationsutbyte med Polismyndighetens, Åklagarmyndighetens, Skatteverkets och Brottsförebyggande rådets system och system inom Domstolsverket.

Se vidare om domstolarnas personuppgiftsbehandling i avsnitt 6.7.

5.4Polismyndigheten och Säkerhetspolisen

Hos Polismyndigheten och Säkerhetspolisen bedrivs viss verksam- het som särskilt rör utlänningar. Här nedan redovisas översiktligt personuppgiftsbehandlingen på detta verksamhetsområde.

Behandling av personuppgifter i Polismyndighetens och Säkerhets- polisens brottsbekämpande verksamhet regleras av bestämmelserna i polisdatalagen (2010:361, PUL).

174

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

5.4.1Polisens ärendehanteringssystem

År 2013 infördes hos polismyndigheterna ett nytt ärendehante- ringssystem för allmänna ärenden, PÄr (Polisens ärendehanterings- system). Systemet, som numera är helt infört, har ersatt det allmänna diariet A-Rar hos Polismyndigheten.

5.4.2Personefterlysnings- och U-boksregistret

Personefterlysnings- och U-boksregistret utgör det s.k. EPU-syste- met (efterlysta personer och U-boken). Systemet är centralt och förs av den Nationella operativa avdelningen vid Polismyndigheten.

Personefterlysningssystemet innehåller uppgifter om personer som av någon anledning eftersöks av en myndighet.

U-boken innehåller uppgifter om i Sverige meddelade lagakraft- vunna avvisnings- och utvisningsbeslut som har förenats med ett förbud att utan särskilt tillstånd återresa till Sverige.

Om en utlänning inte är tillgänglig när beslutet om avvisning eller utvisning ska verkställas kan Polismyndigheten fatta ett beslut om att efterlysa honom eller henne.

5.4.3Schengens informationssystem och SIRENE

Schengens informationssystem (SIS) är ett för Schengenländerna gemensamt informationssystem. SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Alla uppgifter som registreras lagras i den centrala databasen. Den centrala databasen kopieras till alla Schengenländers nationella SIS, som därmed är en kopia av det centrala systemet.

I SIS-registret kan varje Schengenstat föra in uppgifter om per- soner eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att en viss åtgärd ska vidtas när en efterlyst person eller ett efterlyst fordon påträffas.

SIS innehåller bland annat

175

Behandling av personuppgifter inom verksamhetsområdet

SOU 2015:73

•uppgifter om personer som är efterlysta och begärda utlämnade,

•en ”spärrlista” över utlänningar som ska nekas tillträde till Schengenområdet på grund av utvisningsbeslut eller avvisnings- beslut med förbud att återresa,

•uppgifter om försvunna personer,

•spaningsåtgärder kring personer eller fordon där uppgifter önskas om gränspassage m.m. och

•efterlyst gods som fordon, skjutvapen, blankodokument, legi- timationshandlingar och sedlar.

Bestämmelser om behandling av personuppgifter i den svenska delen av SIS finns i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem.

Enligt 1 § lagen om Schengens informationssystem ska Polis- myndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS. Polismyndig- heten är personuppgiftsansvarig för den behandling av personupp- gifter som myndigheten utför enligt lagen.

Lagen innehåller bestämmelser om vilka framställningar som får föras in i registret. Där specificeras också vilka uppgifter som får registreras i SIS, till exempel namn, kön, särskilda bestående fysiska kännetecken, fotografier, fingeravtryck, syftet med framställningen samt begärd åtgärd. Känsliga personuppgifter får inte registreras i SIS. Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Polismyndig- heten endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning.

I lagen och dess förordning anges vilka myndigheter som har rätt att få uppgifter ur registret och på vilket sätt. Uppgifter som finns i registret ska lämnas ut om det begärs av åklagarmyndig- heterna (Ekobrottsmyndigheten och Åklagarmyndigheten), Polis- myndigheten, Tullverket eller Kustbevakningen när dessa myndig- heter utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott eller av Polis-

176

SOU 2015:73

Behandling av personuppgifter inom verksamhetsområdet

myndigheten i dess verksamhet för att upprätthålla allmän ordning och säkerhet.

Regeringskansliet, Migrationsverket, migrationsdomstolarna, Migrationsöverdomstolen och svenska utlandsmyndigheter ska ha tillgång till uppgifter i spärrlistan för prövning av ansökningar om visering och uppehållstillstånd.

Polismyndigheten, Tullverket och Kustbevakningen får ha direkt- åtkomst till SIS. Migrationsverket och svenska utlandsmyndigheter får ha direktåtkomst till uppgifter i spärrlistan och Migrationsverket får ha direktåtkomst till hela SIS när verket bistår Polismyndig- heten i gränskontrollverksamhet.

Schengensamarbetet och SIS förutsätter att det hos varje med- lemsland finns en central funktion som fungerar som en länk för informationsutbytet mellan länderna. Denna funktion benämns SIRENE (Supplementary Information Requested at the National Entries). Varje medlemstat har ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS och fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myn- digheter. I Sverige är Sirenekontoret integrerat i den Internationella sektionen vid den Internationella enheten vid den Nationella opera- tiva avdelningen.

5.4.4Fingeravtrycks- och signalementsregister

Enligt 4 kap. 11 § PDL får Polismyndigheten föra fingeravtrycks- eller signalementsregister i enlighet med vissa bestämmelser i lagen.

I fingeravtrycks- och signalementsregister får Polismyndigheten behandla uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rätte- gångsbalken eller har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om upp- giften kommit fram i en utredning om brott. Uppgifter om finger- avtryck får även behandlas om det behövs för att fullgöra inter- nationella åtaganden.

Enligt 4 kap. 17 § PDL får Säkerhetspolisen, Ekobrottsmyndig- heten, Tullverket, Kustbevakningen och Skatteverket medges direkt-

177

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

direktiv att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredningen ska i samband därmed analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.

Nedan följer en redogörelse för de allmänna utgångspunkter som utredningen har att förhålla sig till vid utformandet av förslaget.

6.2Krav på lagreglering enligt regeringsformen

6.2.1Regeringsformen

Som tidigare anförts infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den en- skildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen, se 2 kap. 21 § RF. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Den nya bestämmelsen innebär bland annat att behandling av information om enskildas personliga förhål- landen som sker utan den enskildes samtycke som innebär över- vakning eller kartläggning av den enskilde och som innebär ett be- tydande intrång i den personliga integriteten måste anges i lag.

6.2.2Enskildas personliga förhållanden

Grundlagsbestämmelsen tar sikte på att skydda information om en- skildas personliga förhållanden. Med enskildas personliga förhållan- den avses enligt förarbetena vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållan- den, hälsa och vandel (se prop. 2009/10:80 s. 177). Även fotografisk

180

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.

6.2.3Samtycke

När det gäller frågan om samtycke anförs det i propositionen att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på fri- villigt godkännande (se prop. 2009/10:80 s. 178 f.). Om åtgärderna däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller obe- roende av vilka slags uppgifter åtgärden eller behandlingen avser. Bestämmelserna om samtycke i personuppgiftslagen bör enligt för- arbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för ett giltigt samtycke, se vidare härom i avsnitt 3.5.1.

6.2.4Övervakning och kartläggning

Inte varje slags behandling av uppgifter om enskildas personliga för- hållanden som sker utan samtycke ska anses som så integritetskäns- lig att det är motiverat att låta den omfattas av integritetsskyddet i grundlagen (se prop. 2009/10:80 s. 180). Endast åtgärder som innebär kartläggning eller övervakning av enskildas personliga förhållanden avses.

När det gäller begreppen övervakning och kartläggning anförs i propositionen att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas för- hållanden, även om avsikten inte är att kartlägga enskilda. Så torde vara fallet när det gäller ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatte- verkets, Tullverkets, Försäkringskassans och Kronofogdemyndig- hetens olika databaser och även hos de statistikansvariga myndig- heterna. Flera av dessa uppgiftssamlingar omfattar en stor andel av

181

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter.

Myndighetsspecifika verksamhetsregister och databaser med infor- mation som är knuten till en myndighets ärendehantering förekom- mer inom i stort sett all statlig och kommunal förvaltning. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behand- lingen är ett helt annat.

Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel nämns i ovan nämnd proposition polisens belastningsregister. Vidare konstateras i propositionen att en rad åtgärder som innefattar in- samling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, teleavlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid be- dömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.

6.2.5Betydande integritetsintrång

Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integri- teten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär (se prop. 2009/10:80 s. 183). Ju käns- ligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande in- trång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myn- dighet underlag för förbättringar av kvaliteten i handläggningen. Vidare kan mängden uppgifter vara av betydelse. I detta samman- hang anförs det att Konstitutionsutskottet i flera lagstiftningsären- den som rört myndigheters personuppgiftsbehandling framfört att

182

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedöm- ning (se bland annat bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78). Regeringen har också uttalat att behovet av lag- stiftning är särskilt stort om uppgifterna sprids externt i en inte obe- tydlig omfattning (se prop.1990/91:60 s. 58).

Vid bedömningen av vad som kan anses utgöra ett betydande in- trång bör fler omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av upp- gifter till andra som sker utan omedelbart stöd av offentlighetsprin- cipen kan vara av betydelse vid bedömningen. Däremot bör den när- mare avgränsningen av grundlagsbestämmelsens tillämpningsområde inte påverkas av sekretesslagstiftningens utformning.

Den omständigheten att sekretesslagstiftningen innehåller en pre- sumtion för offentlighet, dvs. ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utanför det utvidgade grundlagsskyddet.

Det förhållandet att de uppgifter som behandlas av en myndig- het omfattas av sekretess med ett omvänt skaderekvisit bör inte heller utgöra en omständighet som per automatik innebär att en bestäm- melse om uppgiftsskyldighet måste anses omfattas av den nya grund- lagsbestämmelsens tillämpningsområde.

En annan omständighet att beakta kan vara på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.

I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten (se prop. 2009/10:80 s. 185). Vad som utgör ett betydande integritetsintrång får bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan på- verkas av en rad omständigheter, till exempel den fortsatta tekniska utvecklingen. I sista hand är det riksdagen som får avgöra vilka före- teelser som är av så ingripande karaktär att de inte bör kunna be- gränsas på annat sätt än genom lag.

183

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

6.2.6Vilken reglering omfattas?

I ovan nämnd proposition konstateras att den nya grundlags- bestämmelsen i 2 kap. 6 § andra stycket RF innebär att betydande intrång i den personliga integriteten som sker utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden får vidtas bara om det finns stöd i lag för sådan behand- ling. Det anges vidare att om en övergångsreglering inte införs kom- mer delar av sådan informationshantering hos det allmänna som sker med stöd av föreskrifter i förordning, eller som endast delvis regleras i lag och i övrigt sker enligt bestämmelser på lägre normhierarkisk nivå, med stor sannolikhet att stå i strid med regeringsformen (se prop. 2009/10:80 s. 243). I propositionen konstateras att det därför finns behov av att se över ett stort antal registerförfattningar för att bedöma i vilken mån det krävs reglering i lag i stället för i förord- ning. Som exempel anges att det finns behov av att i lag reglera dom- stolarnas personuppgiftsbehandling, som för närvarande regleras i förordningar. Det anges vidare att det i övergångsbestämmelserna bör tas in en föreskrift som innebär att äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten under en övergångsperiod behåller sin giltighet även om de inte uppfyller regeringsformens krav på lagform. För tiden fram till och med den 31 december 2015 bör föreskrifter som inte upp- fyller kravet på lagform fortsätta att gälla utan hinder av den nya bestämmelsen om ett utvidgat integritetsskydd.

Det är emellertid omdiskuterat om 2 kap. 6 § andra stycket RF verkligen syftar till ange vilka föreskrifter om exempelvis behandling av personuppgifter som ska ha form av lag i stället för förordning. Enligt Informationshanteringsutredningen torde bestämmelsen såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om rättighetsinskränkan- de lag, se SOU 2015:39 s. 198 f.

184

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.2.7Behov av en lagreglering

Det kan konstateras att den personuppgiftsbehandling som sker inom verksamhet enligt utlännings- och medborgarskapslagstiftningen i stor utsträckning sker utan den enskildes samtycke. Myndigheter- nas uppgiftssamlingar innehåller en stor mängd uppgifter om ett stort antal individer. Effekten kan således bli att personer kartläggs, även om det inte är det egentliga syftet med behandlingen. Vidare kan kon- stateras att behandlingen i många fall avser känsliga personuppgifter enligt 13 § PUL samt andra uppgifter av integritetskänslig natur. De uppgifter som myndigheterna behandlar sprids i vissa fall till andra myndigheter, även genom att den mottagande myndigheten har direktåtkomst till den utlämnande myndighetens personuppgifts- samlingar. Som konstaterats i utredningens direktiv är det mycket som talar för att det inte är förenligt med regeringsformen att be- handla personuppgifter med stöd av utlänningsdataförordningen och att det finns ett behov av en lagreglering av den personuppgifts- behandling som sker på utlännings- och medborgarskapsområdet.

6.3Lagens syfte

I kapitel 5 finns en översiktlig beskrivning av den automatiserade personuppgiftsbehandling som utförs av myndigheter inom verksam- het på utlännings- och medborgarskapsområdet. Av redogörelsen framgår inte bara att den nuvarande behandlingen är omfattande utan även att myndigheterna i allt större utsträckning övergår till elektronisk behandling av personuppgifter. Myndigheterna har ett behov av att samla in, ta emot, registrera, behandla och lagra upp- gifter på elektronisk väg, inte bara för att kunna fullgöra sina upp- gifter i form av till exempel ärendehantering, arkivering och för intern uppföljning och verksamhetsutveckling. Myndigheterna har också behov av att behandla uppgifter elektroniskt för utlämnande till andra myndigheter, inom och utanför Sverige, och till enskilda. Informationstekniken utvecklas ständigt. Ett effektivt utnyttjande av den moderna informationstekniken kan leda till effektivitetsvinster och kostnadsbesparingar för myndigheterna. Det finns således ett viktigt allmänintresse av att den moderna tekniken kan utnyttjas av myndigheterna. Inte bara för att det kan leda till samhällsvinster i form av ökad effektivitet och minskade kostnader. En väl funge-

185

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

rande informationsteknik gynnar också den enskilde då den möjlig- gör snabbare och mer rättssäker ärendehantering.

Samtidigt måste beaktas att myndigheternas behandling av person- uppgifter kan innebära risk för intrång i den personliga integriteten. Att samla personuppgifter elektroniskt ökar möjligheten att sam- manställa ett stort antal uppgifter om enskilda personer. Redan den omständigheten att uppgifterna finns registrerade kan för vissa fram- stå som integritetskränkande. Myndigheternas informationshantering måste ske med respekt för den enskildes integritet. Ett grundläggan- de syfte med en särskild lag som reglerar personuppgiftsbehandling bör således vara att stärka den enskildes skydd mot otillbörliga in- trång i dennes personliga integritet.

Vid utformandet av den nya lagen ska således dessa båda intressen vägas mot varandra. Skyddet för den personliga integriteten ska vägas mot samhällets intresse av att myndigheterna kan utföra sina uppgifter på ett effektivt sätt. Detta kommer även till uttryck i ut- redningens direktiv, som anger att utredningen ska beakta enskildas behov av skydd för sin personliga integritet och beakta behovet av en rättslig reglering som ger myndigheterna möjlighet att hantera information på ett effektivt sätt.

6.4Lagens utformning

6.4.1Ramlag

Som anges ovan är syftet med den nya lagen att möjliggöra för myn- digheterna att behandla personuppgifter på ett effektivt sätt, sam- tidigt som skyddet för den enskildes personliga integritet upprätt- hålls vid sådan behandling. Nästa fråga är hur en sådan lagreglering bör utformas.

Den behandling som ska regleras bedrivs på ett flertal myndigheter med olika uppdrag och varierande behov. Regleringen bör således vara flexibel på det sätt att den kan anpassas till de olika myndig- heternas krav och inte behöver ändras inför varje förändring i verk- samheten. Med hänsyn till den snabba utvecklingen på informa- tionsteknikområdet är det också viktigt att regleringen är neutral inför förändringar på det tekniska området.

Det bör i sammanhanget uppmärksammas att bestämmelsen i 2 kap. 6 § andra stycket RF inte ställer krav på att all reglering som

186

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

rör personuppgiftsbehandling måste finnas i lag. Begränsningen rör endast sådana bestämmelser som kan resultera i övervakning eller kartläggning av den enskilde och som kan innebära ett betydande intrång i den personliga integriteten. Övriga bestämmelser kan så- ledes regleras på en lägre normhierarkisk nivå.

Ett sätt att uppnå en flexibel reglering som motsvarar de grund- läggande kraven i regeringsformen är att lagen utformas som en ram- lag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten vid behand- ling av personuppgifter bör slås fast i lag. Till dessa hör till exempel regler för ändamål, behandling av känsliga personuppgifter, sökbe- grepp, direktåtkomst och intern tillgång till personuppgifter. Rege- ringen bör dessutom kunna meddela vissa kompletterande bestäm- melser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta måste prövas av riksdagen. Det kan i vissa fall även vara lämpligt att regeringen delegerar rätten till en myndighet som regeringen bestämmer att meddela kompletterande föreskrifter.

6.4.2Behandling av personuppgifter i register

Utlänningsdataförordningen gäller utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhetsregister. Förordningen reglerar också Migrationsverkets automatiserade behandling av personuppgifter i rättsfallsregister, fingeravtrycksregister och landinformationsregister. Automatiserad behandling som inte kan hänföras till sådana uppgiftssamlingar om- fattas således inte av regleringen. Motsvarande gäller för manuell hantering av personuppgifter. För sådan personuppgiftsbehandling gäller i stället personuppgiftslagen.

Innan personuppgiftslagen infördes reglerades automatiserad be- handling av personuppgifter av datalagen (1973:289). I datalagen var begreppet register av central betydelse. Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatiserad databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med behandlingen. De flesta bestämmelserna i datalagen gällde bara för personregister som fördes med hjälp av ADB. Det krävdes således

187

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

att det var fråga om ett dataregister med personuppgifter för att lagen skulle bli tillämplig. Register som fördes med hjälp av annan teknik än ADB föll utanför lagens tillämpningsområde.

Sedan dataskyddsdirektivets införande i svensk rätt genom per- sonuppgiftslagen har tillämpningsområdet vidgats. Dataskyddsdirek- tivets bestämmelser gäller all behandling av personuppgifter som helt eller delvis företas på automatisk väg och för annan behandling av personuppgifter under förutsättning att dessa ingår i eller kom- mer att ingå i ett register (artikel 3). Med register avses enligt direk- tivet varje strukturerad samling av personuppgifter som är tillgäng- lig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geo- grafiska förhållanden (artikel 2 c). På motsvarande sätt gäller person- uppgiftslagens bestämmelser all behandling av personuppgifter som sker helt eller delvis på automatiserad väg, oavsett om personupp- gifterna ingår i ett register eller inte.

När det gäller manuell behandling är lagen tillämplig om person- uppgifterna ingår i ett register. I lagen används dock inte begreppet register utan dataskyddsdirektivets definition av begreppet, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier. I dessa fall är registerbegreppet således fortfarande av betydelse.

Personuppgiftslagens bestämmelser gäller således för all helt eller delvis automatiserad behandling av personuppgifter, oavsett om de förekommer i ett register eller inte. I förarbetena till personupp- giftslagen anfördes att användningen av begreppet register vid auto- matisk databehandling med fog har kritiserats för att vara otidsenligt (se prop. 1997/98:44 s. 39). På grund av den tekniska utvecklingen har det enligt propositionen i en sammansatt och komplex dator- miljö blivit allt svårare att fastställa vad som är ett register i för- hållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. I propositionen konstateras emellertid att det ovan sagda inte hindrar att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Fler- talet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffan- de de uppgifter som behandlas med hjälp av datorer. Uppgifterna

188

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

ska läggas in i ett på visst sätt strukturerat register och får bara tas fram med hjälp av vissa angivna sökkriterier.

6.4.3Tidigare lagstiftningsarbeten

Det kan konstateras att begreppet register ofta har använts i tidigare författningar som rör personuppgiftsbehandling på myndighets- området för att definiera automatiserade samlingar med personupp- gifter som gjorts tillgängliga för en större krets. Till varje register har knutits särskilda regler om åtkomst, sökmöjligheter och gallring m.m. I flera lagstiftningsärenden från senare år har modellen med register kritiserats, eftersom den inte anses uppfylla dagens krav på teknikneutral lagstiftning.

I förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anförs att begreppet re- gister för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Det är enligt propositionen inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2004/05:164 s. 60).

Framväxten av internet har tydliggjort behovet av en översyn av traditionella begrepp vid databehandling, som till exempel register- begreppet. I nämnd proposition kostateras dock att det finns flera elektroniska samlingar av personuppgifter som fortfarande måste ses som register i ordets egentliga bemärkelse, dvs. där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord, och att det därför kan finnas anledning att inte helt frångå registerbegreppet. Som exempel nämns lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister som reglerar register i en mer traditionell mening. Registerbegreppet ansågs emellertid inte lämpligt när det gäller datorsystem som inne- fattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av registerkaraktär.

I propositionen diskuteras vidare termen databas som ett alter- nativ till registerbegreppet. I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för auto- matiserad behandling. En databas ska enligt propositionen definieras

189

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

som en samling uppgifter som med hjälp av automatiserad behand- ling används gemensamt inom en verksamhet. En sådan definition av begreppet databas utesluter manuella register. Definitionen har, enligt propositionen, också den fördelen att den inte tekniskt av- gränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register (i egentlig bemärkelse) är sammanlänkade och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en av- gränsad verksamhet, så ingår dessa register i en databas. En juridiskt bestämd databas kan således innehålla flera mindre databaser eller datorsystem i teknisk mening, varav en del kan vara regelrätta re- gister. Det väsentliga är att uppgifterna är gemensamt tillgängliga inom hela eller delar av verksamheten. Det konstateras att det för Tullverkets brottsbekämpande verksamhet finns behov av ett sär- skilt begrepp för att rättsligt reglera vissa uppgiftssamlingar som med hjälp av automatiserad behandling används gemensamt i verksamhe- ten. Det ansågs emellertid inte lämpligt att använda registerbegreppet i en ny lag om hantering av personuppgifter. Det rättsliga begreppet databas var enligt propositionen att föredra, som en beteckning på automatiserade sammanställningar av uppgifter, i synnerhet som begreppet underlättar för en teknikoberoende lagstiftning.

I förarbetena till polisdatalagen (2010:361, PDL) förutspås att behandling av personuppgifter i framtiden i större utsträckning kommer att ske i avancerade ärendehanteringssystem som länkas samman med varandra, ibland med digital dokumenthantering (se prop. 2009/10:85 s. 60 f.) I sådana system kan information struktu- reras på ett sådant sätt att systemet utöver att tjäna som ett verksam- hetsstöd för ärendehanteringen även i praktiken tillgodoser samma behov som traditionella personregister genom att olika sökingångar skapas. Det huvudsakliga syftet med insamlingen av personuppgifter är i dessa fall utförandet av en viss arbetsuppgift, inte att registrera uppgifterna i ett personregister. I propositionen konstateras att re- gisterbegreppet har kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är, enligt proposi- tionen, inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan till exempel införas helt ostruk-

190

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

turerat och oorganiserat i olika filer i en dator, utan att detta för- hindrar en effektiv hantering av uppgifterna för olika sammanställ- ningar m.m. Det konstateras att även om registerbegreppet fort- sättningsvis kommer att användas inom polisen för vissa särskilda fall går utvecklingen mot att registerformen överges för mer sofisti- kerade datasystem. Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Det väsentliga i sammanhanget är inte på vilket sätt uppgifter tekniskt lagras utan den faktiskt åsyftade tillgängligheten. Den nya lagen bör enligt propositionen därför innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den for- muleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften. Polisen bör på detta sätt kunna välja mellan att skapa ett stort centralt datasystem eller flera mindre system eller en blandning av båda alternativen.

Målsättningen bör enligt propositionen vara att i möjligaste mån undvika en särreglering av vissa speciella informationssamlingar eller viss personuppgiftsbehandling. Inom den brottsbekämpande verk- samheten finns det emellertid viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna (se prop. 2009/10:85 s. 229). Enligt propositionen är det därför nöd- vändigt att i några fall ha särskilda bestämmelser om vissa register, till exempel när det gäller register över DNA-profiler och fingerav- trycks- eller signalementsregister. Vidare finns, enligt propositionen, skäl att särbehandla behandling av uppgifter om misstänkt penning- tvätt, misstänkt finansiering av terrorism i penningtvättsregister och viss behandling av uppgifter i det internationella polissamarbetet. Även det allmänna spaningsregistret bör enligt propositionen regle- ras särskilt.

Även i förarbetena till kustbevakningsdatalagen (2012:145) fram- förs kritik mot användning av begreppet register i lagstiftning som rör personuppgiftsbehandling. Också här konstateras att register och databaser inte är ett relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2011/12:45 s. 72 f.). Som en följd av detta bör enligt propositionen den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller

191

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Vidare bör enligt propositionen regleringen för Kustbevakningens del utformas i enlighet med vad som har beslutats för polisen, dvs. att begreppet gemensamt tillgängliga upp- gifter används i den föreslagna lagen för att beteckna uppgifter som är tillgängliga för fler än ett fåtal personer. Särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemen- samt tillgängliga i den brottsbekämpande verksamheten vid Kust- bevakningen bör omfattas av lagen. Med den formuleringen görs det enligt propositionen klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Begreppet databas diskuteras även i prop. 2013/14:161 som inne- håller ett förslag om en gemensam databas hos Statistiska central- byrån (SCB) för övervakning av och tillsyn över finansmarknaderna (se prop. 2013/14:161 s.49 f.). Regeringen förslår i propositionen att uppgifter som SCB samlar in för Riksbankens och Finansinspek- tionens övervakning och tillsyn lagras i en särskild databas som de tre myndigheterna har tillgång till. Enligt propositionen syftar för- slaget, till skillnad från polisdatalagen, inte till att åstadkomma någon mer heltäckande reglering av de berörda myndigheternas behand- ling av uppgifter. Förslaget är i stället i första hand avsett att skapa en reglerad ordning för en särskild del av det utbyte av uppgifter som förekommer mellan myndigheterna. De uppgifter som ska om- fattas av ordningen är till sitt format standardiserade uppgifter läm- pade för bearbetning och analys med statistiska metoder. Insam- lingen av uppgifter sker inte heller med det huvudsakliga syftet att utföra vissa vid insamlingstillfället aktuella arbetsuppgifter, utan för att registrera uppgifterna för framtida användning vid olika analyser av det finansiella systemet och för framställning av statistik. Ut- trycket databas anses därför lämpligt som en benämning på den samling av uppgifter som är föremål för det särskilda uppgifts- utbytet mellan myndigheterna.

192

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.4.4Gemensamt tillgängliga uppgifter

I 3 kap. PDL finns särskilda bestämmelser för behandling av person- uppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. I kapitlet anges bland annat vilka per- sonuppgifter som får göras gemensamt tillgängliga, vilka uppgifter som får användas vid sökning i uppgifter som gjorts gemensamt till- gängliga, vilka myndigheter som får ha direktåtkomst till gemensamt tillgängliga uppgifter och bevarande och gallring av sådana upp- gifter. Motsvarande bestämmelser finns för kustbevakningens del i 4 kap. kustbevakningsdatalagen.

Gemensamt tillgängliga uppgifter är ett relativt nytt begrepp inom lagstiftningen på personuppgiftsbehandlingsområdet. Som anges ovan diskuteras begreppet i förarbetena till den nya polisdatalagen (se prop. 2009/10:85 s. 124 f.). I propositionen konstateras att den nya polisdatalagen kommer att gälla för all automatiserad behand- ling av personuppgifter i polisens brottsbekämpande arbete. Det innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, till exempel register eller ärende- hanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp personer, till exempel vanlig ordbehandling och e-postkommunikation. Det anförs att risken för otillbörliga intrång i den personliga integriteten är större när personuppgifter används av flera gemensamt i verk- samheten än när personuppgifter behandlas av en enskild tjänste- man vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Det anses därför nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. Frågan som diskuteras är hur man bör avgränsa den personuppgiftsbehandling för vilken mera begränsande regler är nödvändiga. Som framgår ovan bör enligt propositionen regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Ett tänkbart alternativ enligt pro- positionen är att skapa särskilda begränsande regler för personupp- giftsbehandling som avser ”samlingar av uppgifter” eller ”uppgifts- samlingar” som är gemensamt tillgängliga i verksamheten. Den nya lagen bör därför enligt propositionen innehålla särskilda bestäm- melser för behandling av personuppgifter som görs eller har gjorts

193

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

I propositionen anges vidare de principer som bör ligga till grund för gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör enligt propositionen vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en upp- gift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörig- het till det. Det bör däremot inte spela någon roll hur många per- soner som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den. Detta innebär att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets, till exempel hela polisorganisationen, ska kunna ta del av uppgifterna.

Vidare bör enligt propositionen personuppgifter anses vara gemen- samt tillgängliga även i vissa fall när den personkrets som har till- gång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att person- uppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som moti- verar särskilda regler för gemensamt tillgängliga uppgifter gör sig enligt propositionen inte lika starkt gällande när bara ett fåtal per- soner har tillgång till uppgifterna som när många personer har till- gång till dem.

En förutsättning för att uppgifterna inte ska anses vara gemen- samt tillgängliga måste dock enligt propositionen vara att kretsen som har tillgång till dem omfattar endast ett litet antal personer. Så snart det är fråga om fler än ett fåtal personer som har tillgång till

194

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

uppgifterna bör utgångspunkten vara den motsatta. Som en tumregel anges att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. I viss utsträck- ning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte eftersom uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bland annat därför att personer i en från början begränsad krets med tiden byts ut. Uppgifter ska också anses vara gemensamt tillgängliga när de sprids till andra myndigheter än polisen.

Sammanfattningsvis innehåller således den nya polisdatalagen som huvudregel inte bestämmelser om register och databaser utan i stället särskilda bestämmelser som gäller uppgifter som görs och har gjorts gemensamt tillgängliga i den brottsbekämpande verksam- heten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssam- lingar. Behandling som utförs av en enskild tjänsteman eller inom en begränsad grupp personer, till exempel genom vanlig ordbehand- ling eller genom e-kommunikation, ska inte omfattas av de särskilda bestämmelserna. Motsvarande gäller för kustbevakningens behandling av personuppgifter i den brottsbekämpande verksamheten enligt kustbevakningsdatalagen.

6.4.5Utredningens överväganden

Utredningen anser på skäl som framförts i avsnitt 6.4.1 att huvud- dragen av personuppgiftsbehandlingen på utlännings- och medbor- garskapsområdet bör regleras i en ramlag vars syfte är att ge de på området verksamma myndigheterna möjlighet att behandla person- uppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

När det gäller utformningen i stort av den nya lagen är det natur- ligt att låta polisdatalagen tjäna som viss förebild. Det finns vissa likheter mellan brottsbekämpningen och den verksamhet för att upp- rätthålla ordning och säkerhet utan anknytning till brottsbekämp- ningen som bland annat Migrationsverket ansvarar för. Det rör sig dock inte om parallella verksamheter. Det finns skillnader. En sådan skillnad är att dataskyddsdirektivet inte omfattar statens behand- ling av personuppgifter i brottsbekämpande verksamhet. Direktivet

195

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

är däremot tillämpligt på bland annat Migrationsverkets verksamhet. En annan skillnad är att här aktuell personuppgiftsbehandling på utlänningsområdet i hög grad är ärendeanknuten medan brotts- bekämpningen genererar ett annat slag av personuppgiftsbehandling. Det sagda innebär att lösningar och konstruktioner i polisdatalagen kan överföras till den nya ramlagen på utlänningsområdet men att det måste ske med viss urskiljning.

I den nuvarande utlänningsdataförordningen regleras endast automatiserad behandling av vissa i förordningen angivna typer av register. Mot den bakgrund som beskrivits i föregående avsnitt har utredningen att ta ställning till vilken personuppgiftsbehandling som ska omfattas av den nya lagen. Ska lagregleringen endast avse vissa särskilda uppgiftssamlingar på utlännings- och medborgarskaps- området, eller bör den omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat? Ska även manuell behand- ling av personuppgifter omfattas? Om slutsatsen är att en mer gene- rell reglering bör införas, finns skäl att överväga en modell med en uppdelning mellan uppgifter som görs och har gjorts gemensamt tillgängliga och sådana uppgifter som behandlas endast av en en- skild tjänsteman eller inom en begränsad grupp personer.

Vid utredningens kartläggning av den nuvarande personuppgifts- behandlingen på utlännings- och medborgarskapsområdet har inget annat framkommit än att den nuvarande regleringen fungerar relativt väl. Det tycks inte vara förordningens uppdelning av behandling i olika register som orsakar problem för myndigheterna när det gäller personuppgiftshanteringen. Eventuella problem förefaller i stället bero på att nuvarande förordning i detalj reglerar vilka kategorier av personuppgifter som över huvud taget får behandlas, se vidare av- snitt 7.11. En överföring av den nuvarande modellen med särregle- ring för vissa uppgiftssamlingar till den nya lagen skulle underlätta för de som ska tillämpa den nya lagstiftningen i den dagliga verk- samheten, eftersom skillnaden mot nuvarande reglering inte blir så stor. Uppdelningen av behandlingen i olika register gör också regle- ringen ganska lättöverskådlig och tydlig. Ovan nämnda omständig- heter talar med viss styrka för att behålla nuvarande system med reglering av specifika samlingar av personuppgifter.

Andra omständigheter talar emellertid för att välja en mer gene- rell reglering av personuppgiftsbehandlingen. Lagens syfte ska vara att skydda den enskilde mot otillbörliga intrång i den enskildes per-

196

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

sonliga integritet. Enligt utredningens direktiv ska utredningen sam- tidigt se till att regleringen möjliggör moderna och ändamålsenliga it-system. Den rättsliga regleringen bör således inte vara beroende av att vissa tekniska lösningar används. Informationstekniken ut- vecklas ständigt och den offentliga verksamheten bör kunna använda sig av den nya tekniken för effektivitetsvinster och förenkling av informationsutbyte med andra myndigheter och enskilda. En lag som reglerar all datoriserad personuppgiftsbehandling inom verk- samhetsområdet stämmer också bättre överens med utrednings- direktivens krav på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgar- skapslagstiftningen ska passa väl in i personuppgiftslagens regel- system.

Myndigheternas datoriserade system är i dag inte uppbyggda som register i traditionell bemärkelse. Som exempel kan Migrations- verkets databas centrala utlänningsdatabasen (CUD) nämnas. CUD är ett samlingsbegrepp för de databaser där uppgifter som behandlas i myndighetens ärenden registreras. Till denna centrala uppgifts- samling är olika system, applikationer, kopplade. Applikationerna har olika funktioner, såsom behandling av personuppgifter i besöks- och bosättningsärenden, kortutbetalning av bistånd och meddelande- hanteringssystem. De olika systemen kan, efter en säkerhetskon- troll, hämta uppgifter från det centrala systemet. Det rör sig således inte om ett enda ärendehanteringssystem, utan ett flertal tekniska instanser som samverkar och är beroende av varandra. Inte heller Migrationsverkets rättsfallssamling eller landinformationsregister ut- gör personregister i egentlig mening. Vidare går utvecklingen mot att myndigheterna i allt större utsträckning övergår från manuell personuppgiftsbehandling till automatiserad behandling. Migrations- verket har till exempel för avsikt att övergå till ett system med elektroniska personakter.

Den nya lagen bör inte begränsa myndigheternas möjligheter att utnyttja ny informationsteknik. Den bör också lämna utrymme för myndigheterna att utforma sina datasystem på det sätt som är mest ändamålsenligt för den aktuella verksamheten. Den nya regleringen bör därför vara teknikoberoende. Detta uppnås bäst genom att över- gå till en reglering som, liksom personuppgiftslagen samt polisdata- lagen och kustbevakningsdatalagen, omfattar all behandling av per-

197

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

sonuppgifter som sker helt eller delvis automatiserat samt manuellt i register.

Det finns dock enligt utredningen anledning att göra ett undan- tag från den generella regleringen. I de fall de berörda myndig- heterna hanterar register i mer traditionell bemärkelse kan det vara lämpligt att detta register särregleras i förhållande till annan person- uppgiftsbehandling i verksamheten. En jämförelse kan göras med polisdatalagen, som till exempel innehåller särskilda bestämmelser som gäller polisens register över DNA-profiler och fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 229). Utredningen gör bedömningen att det finns skäl att i den nya lagen särskilt reg- lera Migrationsverkets register över fingeravtryck och fotografier. Skälen till det och den närmare reglering tas upp i avsnitt 7.10.

Den nya lagen bör således i princip reglera all helt eller delvis automatiserad personuppgiftsbehandling samt behandlingen av per- sonuppgifter om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det innebär att all elektronisk behandling av personuppgifter kommer att om- fattas, även till exempel ordbehandling som utförs av anställda på den egna arbetsdatorn och intern och extern e-postkommunikation. Den nya lagens tillämpningsområde kommer således att utvidgas i förhållande till vad som gäller för närvarande och därmed också ut- öka möjligheterna att behandla personuppgifter på ett sätt som inte är tillåtet enligt personuppgiftslagen. Det skulle till exempel kunna innebära att möjligheten att behandla känsliga personuppgifter ut- vidgas i förhållande till vad som är möjligt enligt dagens reglering.

Ett sätt att hantera detta problem skulle kunna vara att införa mer begränsande regler i fråga om behandling av uppgifter som flera personer har tillgång till. I polisdatalagen används, som redovisats ovan, begreppet gemensamt tillgängliga uppgifter, som avser upp- gifter som fler än ett fåtal har möjlighet och rättslig behörighet att ta del av. För de gemensamt tillgängliga uppgifterna gäller mer restrik- tiva regler. I lagen anges vilka uppgifter som får göras gemensamt tillgängliga. Vidare finns vissa integritetsskyddande bestämmelser avseende sökning, direktåtkomst och bevarande som bara gäller de gemensamt tillgängliga uppgifterna. Liknande bestämmelser har även införts i kustbevakningsdatalagen. Frågan är om det finns skäl att i den nya lagen på utlännings- och medborgarskapsområdet också göra

198

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter.

Till en början kan konstateras att största delen av den person- uppgiftsbehandling som ska regleras i den nya lagen utgörs av myndigheternas personuppgiftsbehandling i olika typer av ärenden. Ärendena hanteras som regel av endast några få personer jämfört med exempelvis polisiär verksamhet i brottsbekämpande syfte. Det är ganska få uppgifter i ärendena som behöver vara tillgängliga för en vidare krets. Många anställda kommer visserligen att ha tillgång till Migrationsverkets register över fingeravtryck och fotografier. Men som framgår av avsnitt 7.10 föreslår utredningen vissa särskilda skyddsregler för detta register. Anställda har också tillgång till Lifos, alltså Migrationsverkets register för återsökning dels av vägledande avgöranden, rättsutredningar och rättslig information, dels av infor- mation rörande förhållanden i andra länder. I Lifos finns en del personuppgifter och en del är känsliga sådana. Det krävs emellertid särskild behörighet för Migrationsverkets anställda för åtkomst till sekretessbelagd information i Lifos olika delar. Informationen i Lifos har därmed inte särskilt stor spridning bland dem som har tillgång till den.

Vidare kommer personuppgiftsbehandlingen i den nya lagen att begränsas genom bestämmelser om lagens tillämpningsområde och särskilda ändamålsbestämmelser, se avsnitt 7.9. Utredningen kom- mer också att föreslå regler som innebär att respektive myndighet ska se till att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter, se avsnitt 7.12. En sådan bestämmelse medför att det finns ett skydd mot att en uppgift sprids till en större krets än vad som är moti- verat. Utredningen kommer också att föreslå att behandlingen ska begränsas av 9 § PUL, som anger vissa grundläggande krav på be- handlingen av personuppgifter, se avsnitt 7.7.3. Bestämmelsen inne- bär bland annat att den personuppgiftsansvariga myndigheten ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler per- sonuppgifter behandlas än som är nödvändigt med hänsyn till dessa ändamål. Även andra integritetsskyddande regler rörande person- uppgiftsbehandlingen kommer att föreslås. Utredningen menar att dessa generella skyddsregler utgör ett tillräckligt integritetsskydd oavsett om uppgifterna är gemensamt tillgängliga eller inte. Det finns

199

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

därför inget behov för att uppnå ett fullgott integritetsskydd av att införa en strängare särreglering som ska gälla enbart för gemensamt tillgängliga uppgifter.

Ytterligare en aspekt på frågan är att en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter kräver en rim- lig och tydlig precisering av vilka uppgifter som ska få göras gemen- samt tillgängliga. Den verksamhet som ska regleras i den föreslagna lagen skiljer sig från den verksamhet som regleras i polisdatalagen och kustbevakningsdatalagen. Det är inte lika lätt att på utlännings- och medborgarskapsområdet på ett naturligt och tydligt sätt ringa in vilka uppgifter som ska hänföras till kategorin gemensamt till- gängliga.

Sammanfattningsvis har utredningen kommit till slutsatsen att det inte bör finnas några särskilda regler om behandling av person- uppgifter på utlännings- och medborgarskapsområdet som är gemen- samt tillgängliga.

6.5EU-rättsliga utgångspunkter

Sveriges medlemskap i EU har medfört att EU-rätten blivit en inte- grerad del av den svenska rättsordningen. EU-domstolen har utveck- lat vissa principer för EU-rättens förhållande till nationell rätt, vilka är av avgörande betydelse för maktfördelningen mellan unionen, medlemsstaterna och medborgarna (Melin, M. m.fl., EU:s konsti- tution. Maktfördelningen mellan den europeiska unionen, medlems- staterna och medborgarna, 7 uppl., 2012 s. 35 f.). Principen om direkt tillämplighet innebär att EU:s grundfördrag och en del av sekundärrätten automatiskt utgör en del av medlemsstaternas interna rätt. Med sekundärrätt avses de rättsakter som EU:s institutioner utfärdar med stöd av fördragen, dvs. förordningar, direktiv, beslut, rekommendationer och yttranden.

I artikel 288 i Fördraget om europeiska unionens funktionssätt förklaras de olika rättsakterna på följande sätt. En förordning ska ha allmän giltighet. Den ska till alla delar vara bindande och direkt tillämplig i varje medlemsstat. Ett direktiv ska med avseende på det resultat som ska uppnås vara bindande för varje medlemsstat till vilken det är riktat, men ska överlåta åt de nationella myndigheterna att bestämma form och tillvägagångssätt för genomförandet. Ett beslut

200

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

är till alla delar bindande. Om ett beslut anger till vem eller vilka det riktar sig, är det bindande endast för dessa. Rekommendationer och yttranden ska inte vara bindande.

Domstolen har genom sin praxis slagit fast principen om EU- reglers direkta effekt, vilket innebär att vissa unionsrättsliga regler grundar rättigheter eller skyldigheter för enskilda som kan åberopas inför domstolar och myndigheter i medlemsstaterna. Vidare har dom- stolen utvecklat principen om EU-rättens företräde framför natio- nell rätt. Principen innebär att nationella domstolar ska tillämpa en EU-rättslig regel framför en mot denna stridande nationell lag.

Som framgår ovan är en EU-förordning, när det trätt i kraft, direkt tillämplig i medlemsstaterna. Det innebär att en förordning auto- matiskt blir en del av medlemsstaternas nationella rättssystem och gäller enligt sin lydelse på samma sätt som nationella lagar. En EU- förordning har företräde framför svensk rätt och utesluter tillämp- ning av nationell lagstiftning som är oförenlig med förordningen. Detta gäller även om den nationella lagstiftningen är av senare datum. Om det finns nationella författningsbestämmelser som motsvarar eller strider mot en EU-förordnings bestämmelser, måste de natio- nella bestämmelserna således utmönstras.

Enligt EU-domstolens praxis får förordningar inte införlivas i nationell rätt, eftersom detta skulle kunna skapa tvivel om deras ur- sprung och rättsliga effekt. Utgångspunkten är således att EU-för- ordningar inte får transformeras till eller inkorporeras i den nationella rätten, utan i stället ska tillämpas i sin EU-rättsliga form. Bestäm- melser i en förordning får dock återges i nationell lagstiftning när det är nödvändigt för att den nationella lagstiftningen ska bli begriplig och sammanhållen. En förordning kan även i olika avseenden ge upphov till kompletterande nationella föreskrifter (jfr. prop. 1994/95:19 s. 524 f.) Förordningen kan uttryckligen innehålla för- pliktelser för medlemsstaterna att besluta om utfyllande bestämmel- ser. En förordning kan också ge anledning att utfärda straffsank- tioner för överträdelse av bestämmelser i förordningen. Vidare kan en förordning ge utrymme för medlemsstaterna att besluta om kom- pletterande regler i övrigt.

Det finns ett antal EU-förordningar som innehåller bestämmelser om personuppgiftsbehandling inom utlännings- och medborgarskaps- området. En sådan förordning är Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av

201

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en an- sökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Euro- peisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Denna förord- ning (den s.k. Eurodacförordningen, se avsnitt 7.4) innehåller be- stämmelser om ett gemensamt system, Eurodac, för jämförelse av fingeravtryck i syfte att kunna avgöra vilken medlemsstat som är an- svarig för att pröva en ansökan om internationellt skydd.

En annan förordning av intresse är Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex). Den förord- ningen innehåller bland annat regler för förfarande och villkor för utfärdande av viseringar.

Ytterligare en förordning är Europaparlamentets och rådets för- ordning (EG) nr 767/2008 av den 9 juli 2008 om informations- systemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Den förordningen fastställer ändamål, funktioner och ansvarsfördel- ning för det EU-gemensamma informationssystemet för viseringar.

Med hänsyn till vad som ovan sagts om EU-förordningars direkta tillämplighet får ovan nämnda förordningar inte införlivas i den nya utlänningsdatalagen. Behandling av personuppgifter enligt förord- ningarna bör därför inte heller omfattas av lagens tillämpningsom- råde. Enligt principen ovan har förordningarna företräde framför nationell rätt utan att det behöver regleras särskilt i lagen. Det finns dock med förordningarna närliggande verksamhet som kommer att omfattas av den nya lagens tillämpningsområde. För tydlighetens skull bör därför personuppgiftsbehandling enligt Eurodac-förordningen, viseringskodexen och VIS-förordningen uttryckligen undantas från lagens tillämpningsområde (se vidare avsnitt 7.4).

202

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.6Schengens informationssystem

Som framgår av avsnitt 4.3.3 innebar Amsterdamfördraget att Schengenregelverket införlivades med EU-rätten. Genom Europa- parlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer inför- des ett gemensamt regelverk för all gränspassage för personer över EU:s yttre och inre gränser. I kodexen slås fast att det inte ska förekomma någon gränskontroll av personer när de passerar de inre gränserna mellan EU:s medlemsländer.

De länder som deltar i Schengensamarbetet har infört ett gemen- samt informationssystem, Schengen Information System (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. I april 2013 togs SIS II i bruk. Den senare versionen av SIS innehåller fler typer av uppgifter och funktioner än den tidigare, bland annat är det möjligt att lägga in biometriska uppgifter (exempelvis fingeravtryck och fotografier) och att länka samman registreringar som avser en och samma person. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll.

SIS II regleras huvudsakligen i två olika rättsakter. Europa- parlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) reglerar den del av systemet som används för frågor om asyl och invandring. När det gäller den del av systemet som används för polis- och straffrätts- ligt samarbete finns bestämmelser i Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Därutöver finns en särskild förordning, Europaparlamentets och rådets förord- ning (EG) nr 1986/2006 av den 20 december 2006 om tillträde till andra generationen av Schengens informationssystem (SIS II), för de enheter i medlemsstaterna som ansvarar för att utfärda registre- ringsbevis för fordon.

De båda förordningarna gäller direkt i Sverige och ska inte genom- föras i svensk lag. Rådsbeslutet har genomförts i svensk rätt genom ändringar i lagen (2000:344) om Schengens informationssystem och

203

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

förordningen (2000:836) om Schengens informationssystem. Lagen och förordningen innehåller bestämmelser om behandling av person- uppgifter i den svenska delen av SIS. Den personuppgiftsbehand- ling som faller under lagens och förordningens tillämpningsområde bör falla utanför utlänningsdatalagens tillämpningsområde.

6.7En ny domstolsdatalag

Enligt utredningens direktiv ska förslaget till lagreglering på utlän- nings- och migrationsområdet vara utformat så att det är förenligt med den kommande regleringen av domstolarnas personuppgifts- behandling. All automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna och nämnderna regleras i dag av de s.k. Veraförordningarna (se av- snitt 7.3.3). Regeringen har i juni 2015 överlämnat en remiss till Lag- rådet med förslag till en lag om behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verk- samhet. Utredningen gör den bedömningen att regleringen av personuppgiftsbehandlingen på utlännings- och migrationsområdet kommer att vara förenlig med de nya reglerna om domstolarnas behandling av personuppgifter.

6.8EU:s uppgiftsskyddsförordning

Utredningen ska också i sitt arbete noga följa den fortsatta be- handlingen inom EU av förslaget till ny dataskyddsreglering samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.

Utredningen redovisar det pågående reformarbetet av EU:s regler om skydd för personuppgifter och förslag till uppgiftsskyddsför- ordning i avsnitt 3.4. Utredningen hänvisar därför till detta avsnitt i denna del.

Kommissionens förslag till uppgiftsskyldighetsförordning baseras till en stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet, men innehåller även vissa skillnader. Ambitionen synes vara att RIF-rådet (dvs. Rådet för rättsliga och inrikes frågor) i juni 2015 ska kunna besluta om en allmän inrikt-

204

SOU 2015:73

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

ning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunk- ten för rådets förhandlingar med Europaparlamentet och kommis- sionen om uppgiftsskyddsförordningen. Ambitionen är vidare att lagstiftningsprocessen ska drivas med inriktning på ett slutförande i år. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.

Mot bakgrund av ovan har utredningen inte haft möjlighet att särskilt anpassa den nya utlänningsdatalagen till reformarbetet av EU:s regler om skydd för personuppgifter.

6.9Informationshanteringsutredningen

Enligt utredningens direktiv ska utredningen samråda med Informa- tionshanteringsutredningen. I oktober 2011 tillsatte regeringen en särskild utredare med uppdrag att se över den s.k. registerlagstift- ningen och vissa därmed sammanhängande frågor (dir. 2011:86). Utredningen har tagit namnet Informationshanteringsutredningen. I utredarens uppdrag ingick bland annat att överväga om defini- tionen av begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformad när det gäller sådana uppgifter som en myndig- het har tillgång till genom s.k. direktåtkomst hos en annan myndig- het eller genom liknande former av elektroniskt utlämnande och, om utredaren anser att definitionen bör ändras, lämna förslag till ändring av denna. Utredningen skulle vidare överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande samt göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. I uppdraget ingick också att, med beaktande av utvecklingen inom EU och Europarådet, utarbeta en generell modell för reglering av registerfrågor och, med modellen som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena.

I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisade utredningen sitt uppdrag vad avser vissa del- frågor. I betänkandet tar utredningen ställning till om överskotts- information vid direktåtkomst och liknande elektronisk tillgång till annan myndighets elektroniska informationssamling bör undantas

205

Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

SOU 2015:73

från begreppet allmän handling och, för det fall överskottsinforma- tion inte undantas från begreppet allmän handling, de bestämmel- ser som förts in i offentlighets- och sekretesslagen (2009:400) med anledning av den nuvarande ordningen (bland annat 11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras. Utredningen skulle även ta ställning till om det fanns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande, men eftersom utredningen inte före- slog någon grundlagsändring i syfte att undanta överskottsinforma- tion vid direktåtkomst från begreppet allmän handling lämnade utredningen inga förslag angående frågan om begreppsbildningen för elektroniska utlämnandeformer utan avsåg att återkomma till frågan om begreppsbildningen i slutbetänkandet.

Genom tilläggsdirektiv i mars 2014 ändrades inriktningen på ut- redningens uppdrag. Uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på register- författningar för dessa verksamheter samt att överväga vilka typer av allmänna handlingar som myndigheterna inom dessa verksamhets- områden ska vara skyldiga att lämna ut i elektronisk form utgick. Utredningen fick i stället i uppdrag att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheter- nas personuppgiftsbehandling och lämna författningsförslag till en sådan, med beaktande bland annat av den pågående översynen inom EU av regleringen om skyddet för personuppgifter.

Utredningen redovisade sitt uppdrag i april 2015 genom slut- betänkandet Myndighetsdatalag (SOU 2015:39). I betänkandet fram- går att utredningen bedömer att dagens regelverk med bland annat olika registerförfattningar är fragmentiserat, svårförståeligt och i vissa fall inte anpassat till annan lagstiftning och tekniska lösningar för hantering av personuppgifter. Utredningen föreslår därför att dagens regler reformeras och huvudsakligen ersätts av en ny lag – myndighetsdatalagen – med generella bestämmelser för myndigheters behandling av personuppgifter. Den nya lagstiftningen föreslås gälla för alla myndigheters hantering av personuppgifter med undantag för myndigheters brottsbekämpande och brottsförebyggande verk- samhet. Förslaget innebär en renodlad persondataskyddsreglering och ska alltså inte i något avseende reglera myndigheternas sakverk- samhet.

206

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.2Lagens syfte

Utredningens förslag: Syftet med lagen ska vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ända- målsenligt sätt i sin verksamhet enligt utlännings- och medborgar- skapslagstiftningen och att skydda människor mot att deras per- sonliga integritet kränks vid sådan behandling.

Enligt 1 § personuppgiftslagen (1998:204, PUL) är syftet med den lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I utlänningsdataförordningen finns det inte någon särskild bestämmelse om syftet med regleringen. En sådan bestämmelse är dock vanligt förekommande i de register- författningar som utarbetats på senare år. Två exempel är polisdata- lagen och kustbevakningsdatalagen.

I förarbetena till både polisdatalagen och kustbevakningsdata- lagen anförs att det finns skäl att i dessa lagar införa särskilda bestäm- melser av vilka det framgår att syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av person- uppgifter (se prop. 2009/10:85 s. 66 och prop. 2011/12:45 s. 67). I förarbetena betonas dock att det utöver integritetsintresset finns andra intressen som ska vägas in. I polisens fall anges att även sam- hällets rättmätiga krav på att ett rättssäkert och effektivt brotts- bekämpande bör komma till uttryck i bestämmelsen om lagens syfte. I kustbevakningsdatalagen anges på motsvarande sätt att lagens syfte utöver integritetsskydd för den enskilde också är att ge Kust- bevakningen möjlighet att behandla personuppgifter på ett ända- målsenligt sätt i sin operativa verksamhet.

Utlänningsdatalagens bestämmelser kommer att gälla i stället för personuppgiftslagen vid viss behandling av personuppgifter inom utlännings- och medborgarskapsområdet. Personuppgiftslagens be- stämmelse som rör syftet med lagen kommer således inte att vara tillämplig. Det är därför lämpligt att i utlänningsdatalagen inled- ningsvis tydligt ange vad som är syftet med den lagen.

Inom verksamhet på utlännings- och medborgarskapsområdet finns en liknande problematik som inom polisverksamhet och kust- bevakningens verksamhet. Myndigheterna har behov av att behandla en stor mängd information, även känsliga personuppgifter, och av att utnyttja modern informationsteknik för att kunna utföra sina

208

En ny lag om behandling av personuppgifter…

SOU 2015:73

7.3Lagens tillämpningsområde

Utredningens förslag: Lagen ska tillämpas vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:

1.utlänningars inresa i Sverige eller i en stat som ingår i Euro- peiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.statusförklaring,

3.mottagande av asylsökande och andra utlänningar,

4.bistånd och stöd till utlänningar,

5.svenskt medborgarskap,

6.statlig ersättning för kostnader för utlänningar eller

7.bosättning av utlänningar.

Lagen ska vidare vara tillämplig vid behandling av personupp- gifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

7.3.1Inledning

I utredningens direktiv definieras inte vad som avses med verksam- het enligt utlännings- och medborgarskapslagstiftningen. Det anges dock att verksamhet enligt utlännings- och medborgarskapslagstift- ningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna.

Migrationsverkets, Polismyndighetens, Säkerhetspolisens och ut- landsmyndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av utlänningsdataförordningen.

Det finns emellertid andra myndigheter som, även om de inte regleras i utlänningsdataförordningen, antingen utför sådan verksam- het som beskrivs i förordningen eller har uppgifter enligt utlännings-

210

SOU 2015:73

En ny lag om behandling av personuppgifter…

lagen och lagen (2001:82) om svenskt medborgarskap (medborgar- skapslagen), se avsnitten 4.3.6, 4.4.2, 4.5.1 och 4.5.5.

Det finns därför anledning att se närmare på hur utlänningsdata- lagens tillämpningsområde bör avgränsas, dels vad gäller vilka myn- digheters behandling av personuppgifter som ska regleras av lagen, dels vilken verksamhet hos dessa myndigheter som lagens bestäm- melser ska omfatta. Tillämpningsområdet bör begränsas till det som kräver särreglering i förhållande till personuppgiftslagen.

7.3.2Ska myndigheterna anges i lagen?

En första fråga utredningen har att ta ställning till är om det i lagen uttryckligen ska anges vilka myndigheters personuppgiftsbehand- ling som regleras av lagen. Ett alternativ är att i stället endast beskriva den verksamhet på vilken lagen ska tillämpas.

I särskilda registerförfattningar som reglerar myndigheters person- uppgiftsbehandling är det vanligt att det i lagen specificeras vilka myndigheter som ska tillämpa den. Så är exempelvis fallet i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet och i polisdatalagen. Modellen har ansetts lämplig, eftersom lagens adressat framgår tydligt. Den har vidare fördelen att man slipper skriva in undantagsbestämmelser i lagen för att und- vika dubbelreglering av viss verksamhet. Utredningen gör bedöm- ningen att det i lagen bör anges vilka myndigheters personuppgifts- behandling som regleras av lagen.

7.3.3Vilka myndigheters behandling av personuppgifter ska regleras av lagen?

Den nya lagen bör, i likhet med den nuvarande utlänningsdataför- ordningen, enligt utredningens bedömning gälla för Migrations- verkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndig- heternas personuppgiftsbehandling inom verksamhet enligt utlän- nings- och medborgarskapslagstiftningen.

Nästa fråga är om den krets av myndigheter som ska tillämpa utlänningsdatalagen bör utvidgas i förhållande till vad som gäller en- ligt nuvarande reglering. Som framgår av avsnitten 4.3. 4.4, 4.5 och 4.6 finns det utöver Migrationsverket, Polismyndigheten, Säkerhets-

211

En ny lag om behandling av personuppgifter…

SOU 2015:73

polisen och utlandsmyndigheterna vissa andra myndigheter som utövar verksamhet som faller inom utlännings- och medborgarskaps- området. Frågan är om utlänningsdatalagen bör omfatta även dessa myndigheters personuppgiftsbehandling.

Domstolarna

Både förvaltningsdomstolarna och de allmänna domstolarna har verk- samhet som regleras av utlänningslagen eller medborgarskapslagen.

En förvaltingsmyndighets beslut enligt utlänningslagen och med- borgarskapslagen som överklagas prövas i regel av migrationsdom- stol (16 kap. UtlL och 26 § medborgarskapslagen).

Allmänna domstolar prövar frågor om utvisning på grund av brott efter talan av allmän åklagare (8 a kap. 6 § UtlL).

Den verksamhet som domstolarna bedriver på utlännings- och medborgarskapsområdet består av rättskipande verksamhet. All auto- matiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna regleras i dag i de s.k. Vera-förordningarna: förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behand- ling, förordningen (2001:640) om registerföring m.m. vid förvalt- ningsrätt med hjälp av automatiserad behandling, förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdom- stolen och kammarrätterna med hjälp av automatiserad behandling och förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling. Dom- stolarnas behandling kommer emellertid med all sannolikhet i fram- tiden att regleras i en särskild domstolsdatalag. Ett förslag till dom- stolsdatalag bereds för närvarande (maj 2015) inom Regeringskansliet. Den nya domstolsdatalagen kommer sannolikt att gälla vid behand- ling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas samt hyres- och arrendenämndernas rätt- skipande och rättsvårdande verksamhet (se promemorian Ds 2013:10 s. 46 f.). Lagen ska gälla om behandlingen är helt eller delvis auto- matiserad eller sker i manuella register. Domstolarnas behandling av personuppgifter inom verksamhet enligt utlännings- och medborgar- skapslagstiftningen är således redan reglerad, i dagsläget genom de ovan nämnda förordningarna och i framtiden av en domstolsdata-

212

SOU 2015:73

En ny lag om behandling av personuppgifter…

lag. Domstolarnas personuppgiftsbehandling på utlännings- och med- borgarskapsområdet bör därför enligt utredningen falla utanför den kommande utlänningsdatalagens tillämpningsområde.

Regeringskansliet

Regeringskansliet avgör med stöd av 3 kap. 5 § och 5 kap. 20 § UtlL vissa ärenden som rör nationell visering och uppehållstillstånd. I vilka fall Regeringskansliet kan besluta om visering och uppehålls- tillstånd framgår av Regeringskansliets föreskrifter om handlägg- ning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1). I föreskrifterna framgår att Regeringskansliet kan be- sluta om visering för bland andra främmande staters beskicknings- medlemmar, konsuler och deras familjemedlemmar.

Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet (7 kap. 8 § UtlL).

Regeringen beslutar vidare vilka kategorier av personer som får ges uppehållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL, utöver dem som omfattas av Europeiska unionens råds beslut. Dessa bestämmelser har dock ännu aldrig tillämpats.

Regeringskansliet bereder härutöver de ärenden som enligt sär- skilda regler ska överklagas till regeringen. Det gäller Migrations- verkets beslut i säkerhetsärenden enligt 27 § medborgarskapslagen och Migrationsverkets beslut om utvisning, uppehållstillstånd, status- förklaring m.m. i säkerhetsärenden enligt lagen (1991:572) om sär- skild utlänningskontroll.

Det saknas särreglering för den personuppgiftsbehandling som Regeringskansliet utför i ovan angiven verksamhet. Behandlingen av personuppgifter regleras således i dag av personuppgiftslagen.

Antalet ansökningar om uppehållstillstånd som prövas av Rege- ringskansliet är tämligen omfattande. Det rör sig om ca 1 300 ären- den per år. Denna ärendehantering innefattar dock inte behandling av känsliga personuppgifter.

När det gäller Regeringskansliets beredning av säkerhetsärenden enligt medborgarskapslagen och lagen om särskild utlänningskon- troll kan konstateras att det rör sig om ett fåtal ärenden per år. I ärendena förekommer visserligen känsliga personuppgifter, men de

213

En ny lag om behandling av personuppgifter…

SOU 2015:73

uppgifter som behandlas elektroniskt behandlas endast i löpande text. De undantag som finns avseende behandling av känsliga person- uppgifter i 15−19 §§ PUL och 8 § personuppgiftsförordningen (1998:1191, PUF) torde därför vara tillräckliga.

Sammanfattningsvis gör utredningen bedömningen att Regerings- kansliets behandling av personuppgifter inom utlännings- och med- borgarskapsområdet varken är så omfattande eller av sådan karaktär att särreglering krävs. Denna personuppgiftsbehandling bör således inte falla under utlänningsdatalagens tillämpningsområde.

Tullverket och Kustbevakningen

Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyn- digheten vid kontrollen av utlänningars inresa eller utresa enligt 9 kap. 1 § UtlL. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. När inresekontrollen sköts av särskilt förordnade tulltjänstemän eller tjänstemän vid Kustbevakningen har de samma befogenheter som en polisman har, se 9 kap. 2 § UtlL.

Kustbevakningens personuppgiftsbehandling regleras i kustbevak- ningsdatalagen. Lagen gäller för samtliga Kustbevakningens opera- tiva verksamheter, däribland brottsbekämpning och övrig sjööver- vakning (1 kap. 2 § kustbevakningsdatalagen). Den brottsbekäm- pande verksamheten innefattar bland annat övervakning för att förhindra brott mot föreskrifter och andra författningar som gäller utlänningars inresa till och utresa från eller vistelse i Sverige (se prop. 2011/12:45 s. 40 f.) Med sjöövervakning avses bland annat verksamhet som innefattar personers inresa i, utresa från eller vistelse i Sverige. För kustbevakningens personuppgiftsbehandling i samband med utlänningsverksamhet finns således redan en särreglering. Det finns därför inte skäl att reglera Kustbevakning- ens personuppgiftsbehandling i den nya lagen.

Tullverkets personuppgiftsbehandling regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och, vad gäller den brottsbekämpande verksamheten, i lagen om behandling av upp- gifter i Tullverkets brottsbekämpande verksamhet. Den personupp- giftsbehandling som Tullverket utför i samband med att myndig- heten bistår Polismyndigheten i samband med utlänningskontroll

214

SOU 2015:73

En ny lag om behandling av personuppgifter…

regleras emellertid inte av ovan nämnda författningar. Personupp- giftslagen är således i stället tillämplig på den personuppgiftsbehand- ling som Tullverket utför i samband med utlänningskontrollen. Vid utredningens kartläggning har framkommit att Tullverket deltar i en mycket liten utsträckning i Polismyndighetens utlänningskontroll och att personuppgiftslagens bestämmelser, dock med undantag för vad som anförs i kapitel 11, ger ett tillräckligt skydd vid den person- uppgiftsbehandling som utförs. Det finns därför inte skäl att utvidga den nya lagens tillämpningsområde till att även omfatta Tullverkets personuppgiftsbehandling i samband med utlänningskontroll.

Se dock kapitel 11 i vilket utredningen föreslår visst skadestånds- ansvar för Kustbevakningen och Tullverket efter fingeravtrycks- kontroller vid Schengenviseringar.

Länsstyrelserna

Länsstyrelserna prövar anmälan om svenskt medborgarskap enligt 7, 8, 9, 18 eller 19 §§ medborgarskapslagen som rör medborgare i Danmark, Finland, Island eller Norge. Om en länsstyrelse finner an- ledning att anta att ett beslut om utvisning enligt 1 § lagen om sär- skild utlänningskontroll bör meddelas ska myndigheten anmäla det till Säkerhetspolisen.

Länsstyrelsernas behandling av personuppgifter i verksamhet som anges ovan är varken med hänsyn till sin omfattning eller till integ- ritetskänsligheten sådan att den kräver någon särreglering. Läns- styrelsernas personuppgiftsbehandling inom utlännings- och med- borgarskapsområdet bör således enligt utredningen inte regleras av utlänningsdatalagen.

Kommunerna

Kommunerna ansvarar för boende för och bistånd till utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas samt ansvarar för boende för ensamkommande flyktingbarn, se 1 § 3 lagen (1994:139) om mottagande av asylsökande m.fl. Det är vidare kommunernas uppgift att erbjuda barn och ungdomar förskoleverksamhet eller ut-

215

En ny lag om behandling av personuppgifter…

SOU 2015:73

bildning och att erbjuda vissa nyanlända invandrare samhällsorien- tering.

Den personuppgiftsbehandling som kommunerna utför i samband med ovan beskriven verksamhet är delvis föremål för särreglering. En socialnämnds behandling av personuppgifter vid handläggning av ärenden om bistånd enligt lagstiftning om mottagande av asylsökan- de m.fl. regleras av lagen (2001:454) om behandling av personupp- gifter inom socialtjänsten. Något ytterligare behov av särreglering av kommunernas verksamhet har enligt utredningen inte framkommit.

Arbetsförmedlingen

Arbetsförmedlingen är ansvarig för insatser för att underlätta ny- anlända invandrares etablering i arbets- och samhällslivet, bland annat genom att upprätta etableringsplaner och anordna aktiviteter enligt planen. Arbetsförmedlingen prövar i vissa fall frågor om ersättning till dem som medverkat i upprättande av etableringsplaner och akti- viteter enligt planen.

Arbetsförmedlingens behandling av personuppgifter på utlännings- området regleras i lagen (2002:546) om behandling av personupp- gifter i den arbetsmarknadspolitiska verksamheten och i viss mån i patientdatalagen. Lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten omfattar Arbetsförmedlingens behandling av uppgifter om arbetssökande, arbetsgivare, kontakt- personer och andra personer i den arbetsmarknadspolitiska verk- samheten. När det gäller frågan vad som ska anses utgöra arbets- marknadspolitisk verksamhet hänvisas i lagens förarbeten till tre bestämmelser i förordningen (2000:628) om den arbetsmarknads- politiska verksamheten. Dessa bestämmelser anges utgöra ramen för den arbetsmarknadspolitiska verksamheten (se prop. 2001/02:144 s. 17). Två av dessa bestämmelser upphävdes i samband med att regleringen av Arbetsförmedlingens huvuduppgifter fördes över till Arbetsförmedlingens nya instruktion, förordningen (2007:1030) med instruktion för Arbetsförmedlingen. Ramarna för den arbetsmark- nadspolitiska verksamheten får nu i stället anses regleras av de be- stämmelser i instruktionen som har ersatt de upphävda bestämmel- serna och som beskriver Arbetsförmedlingens uppdrag och uppgifter samt av 5 § förordningen (2000:628) om den arbetsmarknadspoli-

216

SOU 2015:73

En ny lag om behandling av personuppgifter…

tiska verksamheten. Av dessa bestämmelser framgår att med arbets- marknadspolitisk verksamhet avses bland annat insatser för att ny- anlända invandrare erbjuds insatser som främjar en snabb och effektiv etablering på arbetsmarknaden. I samband med att lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare trädde i kraft den 1 december 2010 utvidgades tillämpningsområdet för Arbetsförmedlingens registerlag till att omfatta även ärenden enligt denna lag samt för ärenden om bosättning av vissa nyanlända. Arbetsförmedlingens verksamhet på utlänningsområdet är således redan särreglerat i förhållande till personuppgiftslagen. Utlännings- datalagens tillämpningsområde bör därför enligt utredningen inte omfatta Arbetsförmedlingens personuppgiftsbehandling på utlän- ningsområdet.

Försäkringskassan

Försäkringskassan prövar frågor om etableringstillägg och bostads- ersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning enligt förordningen (2010:407) om ersättning till vissa nyanlända invandrare. Försäkringskassans behandling av personuppgifter regleras i 114 kap. socialförsäkringsbalken (2010:110). Denna personuppgiftsbehandling bör därför enligt ut- redningen inte falla under den nya lagens tillämpningsområde.

Centrala studiestödsnämnden

Enligt förordningen (1990:1361) om lån till hemutrustning för flyk- tingar och vissa andra utlänningar handlägger Centrala studiestöds- nämnden ärenden om beviljning, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. I 28 och 29 §§ regleras nämndens möjlighet att föra automatiserade personregister för administration av lån enligt förordningen. För nämndens personuppgiftsbehandling i samband med låneärendena finns således redan en särreglering. Personuppgiftsbehandlingen bör därför enligt utredningen inte regleras i utlänningsdatalagen.

217

En ny lag om behandling av personuppgifter…

SOU 2015:73

Landstingen

Landstingen är skyldiga att erbjuda viss hälso- och sjukvård samt tandvård till asylsökande och vissa andra utlänningar. Vid vård- givares behandling av personuppgifter inom hälso- och sjukvården tillämpas patientdatalagen. Inte heller landstingens personuppgifts- behandling bör därför enligt utredningen infogas i utlänningsdata- lagens tillämpningsområde

Sammanfattning

Sammanfattningsvis gör utredningen bedömningen att kretsen av myndigheter som ska tillämpa utlänningsdatalagen ska vara den- samma som gäller enligt den nuvarande utlänningsdataförordningen.

7.3.4Vilken personuppgiftsbehandling ska lagen tillämpas på?

Som framgår av avsnitt 6.4.5 föreslår utredningen att den nya lagen ska omfatta all helt eller delvis automatiserad personuppgiftsbehand- ling samt manuell behandling av personuppgifter i register på utlän- nings- och medborgarskapsområdet. Utredningen föreslår således att den nuvarande utlänningsdataförordningens reglering som utgår från olika register i verksamheten överges och att ändamålsbestäm- melser i stället ska styra vilka uppgifter som får behandlas. Undantag är dock Migrationsverkets fingeravtrycksregister som enligt utred- ningen även fortsättningsvis bör regleras som ett register, se av- snitt 7.10.

Med begreppen automatiserad behandling avses detsamma som i personuppgiftslagen, se avsnitt 3.5.3 Med personuppgift avses enligt definitionen i 3 § PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen omfattar således inte avlidna personer. Det finns dock ingenting som hindrar att lagen tillämpas även vid behandling av uppgifter som rör avlidna personer.

I gällande utlänningsdataförordning specificeras vad som menas med verksamhet enligt utlännings- och medborgarskapslagstiftning- en. I 1 § anges att med sådan verksamhet avses

218

SOU 2015:73

En ny lag om behandling av personuppgifter…

1.verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2.verksamhet som gäller utlänningars rätt att arbeta i landet,

3.mottagande av asylsökande och vissa andra utlänningar,

4.verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,

5.verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och

6.verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrations- verket.

Som framgår av avsnitt 4.3 och 4.4. avses med verksamhet enligt ut- lännings- och medborgarskapslagstiftningen främst den verksamhet som myndigheterna bedriver med stöd av utlänningslagen och med- borgarskapslagen. Migrationsverket, utlandsmyndigheterna, Polis- myndigheten och Säkerhetspolisen utför därutöver vissa uppgifter på utlännings- och medborgarskapsområdet som inte regleras i nyss nämnda författningar (se avsnitt 4.5 och 4.6). I förtydligande syfte bör det därför även i den nya lagen finnas en specificering av vilken verksamhet som omfattas av lagens tillämpningsområde. Nedan följer en närmare beskrivning av den verksamhet som enligt utredningens mening bör omfattas av den föreslagna lagen. Av tydlighetsskäl bör en uppdelning göras mellan å ena sidan Migrationsverkets och ut- landsmyndigheternas verksamhet och å andra sidan Polismyndig- hetens och Säkerhetspolisens verksamhet.

Migrationsverket och utlandsmyndigheterna

Lagen bör vara tillämplig vid Migrationsverkets och utlandsmyn- digheternas verksamhet som beskrivs under nedan angivna rubriker. Viss verksamhet kan falla under flera rubriker.

219

En ny lag om behandling av personuppgifter…

SOU 2015:73

Utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige

Med denna verksamhet avses främst Migrationsverkets och utlands- myndigheternas verksamhet enligt utlänningslagen och utlännings- förordningen (2006:97, UtlF), dvs. verksamhet som rör visering, uppehållstillstånd, arbetstillstånd, avvisning, utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskaps- ärenden med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen avses. Vidare faller Migrationsverkets be- handling av personuppgifter i ärenden om utvisning, förvar m.m. av utlänningar enligt lagen om särskild utlänningskontroll under denna rubrik.

Statusförklaring

Under denna rubrik faller Migrationsverkets behandling av person- uppgifter i anledning av beslut om eller återkallelse av statusförkla- ring enligt 4 kap. 3−3 c och 5 b−5 c §§ UtlL. En utlänning som med åberopande av skyddsskäl ansökt om uppehållstillstånd ska förklaras vara flykting (flyktingstatusförklaring), om han eller hon uppfyller definitionen för flykting och inte är utesluten från att anses som flykting av de skäl som anges i 4 kap. 2 § UtlL (exempelvis om han eller hon har gjort sig skyldig till brott mot freden eller krigsför- brytelser). En utlänning kan också förklaras vara alternativt skydds- behövande (alternativ skyddsstatusförklaring) eller övrig skydds- behövande (övrig skyddsstatusförklaring) om utlänningslagens krav för det är uppfyllda. Frågan om statusförklaring prövas van- ligtvis samtidigt med frågan om uppehållstillstånd. Frågan ska tas upp till prövning utan särskilt yrkande.

220

SOU 2015:73

En ny lag om behandling av personuppgifter…

Mottagande av asylsökande och andra utlänningar

Med mottagande av asylsökande och andra utlänningar avses Migra- tionsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Verk- samhet som avser ekonomiskt bistånd eller stöd behandlas under en egen rubrik, se nedan. Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar faller också under denna rubrik.

Bistånd och stöd till utlänningar

Här avses Migrationsverkets verksamhet som gäller ekonomiskt bistånd enligt lagen om mottagande av asylsökande m.fl. och anslu- tande förordning. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlän- ningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses. Migrationsverkets personuppgifts- behandling som föranleds av bidragsbrottslagen (2007:612) och lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetal- ningar från välfärdssystemen omfattas också.

Svenskt medborgarskap

Här avses Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen om svenskt medborgarskap och medborgarskapsför- ordningen (2001:218).

Statlig ersättning för kostnader för utlänningar

I förordningen (1990:927) om statlig ersättning för flyktingmot- tagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. finns bestäm-

221

En ny lag om behandling av personuppgifter…

SOU 2015:73

melser om statlig ersättning till kommuner, landsting, kommunal- förbund och öppenvårdsapotek för vissa kostnader för utlänningar. Det är Migrationsverket som beslutar om sådan ersättning. Migra- tionsverkets personuppgiftsbehandling i samband med denna hand- läggning bör också höra till den nya lagens tillämpningsområde.

Bosättning av utlänningar

Härmed avses Migrationsverkets ansvar för bosättning av vissa ut- länningar enligt lagen om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare avses.

Polismyndigheten och Säkerhetspolisen

Polismyndigheten

Som framgår av redogörelsen i kapitel 4 utför Polismyndigheten vissa uppgifter enligt utlännings- och medborgarskapslagstiftningen. Polis- myndigheten har huvudansvaret för personkontroller vid yttre gräns i samband med inresa och utresa samt för inre utlänningskontroll. Polismyndigheten har behörighet att handlägga och besluta i viseringsärenden. Polismyndigheten får, vid sidan av Migrations- verket, i vissa fall besluta om avvisning. Myndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvis- ning på grund av brott. Vidare verkställer Polismyndigheten beslut om utvisning och avvisning som har lämnats över från Migrations- verket. Det gäller ärenden som rör personer som håller sig undan eller sådana fall där Migrationsverket bedömer att tvång är nödvändigt för att verkställa beslutet. Det är också Polismyndigheten som verk- ställer utlämningar och överlämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

När det gäller Polismyndighetens verksamhet på utlännings- och medborgarskapsområdet finns en annan närliggande lagstiftning som

222

SOU 2015:73

En ny lag om behandling av personuppgifter…

bör beaktas. Polismyndighetens personuppgiftsbehandling i den brottsbekämpande verksamheten regleras i polisdatalagen, som trädde i kraft den 1 mars 2012. Polisdatalagen gäller från och med den 1 januari 2015 vid behandling av personuppgifter i

1.brottsbekämpande verksamhet vid Polismyndigheten, i Nationellt forensiskt centrum dock endast vid behandling av personupp- gifter i vissa särskilda register,

2.brottsbekämpande verksamhet vid Säkerhetspolisen i den utsträck- ning som anges i lagen och

3.polisiär verksamhet vid Ekobrottsmyndigheten.

Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Polismyndighetens personupp- giftsbehandling i den brottsbekämpande verksamheten bör således falla utanför den föreslagna lagens tillämpningsområde. Frågan är vad som närmare avses med brottsbekämpande verksamhet.

Med brottsbekämpande verksamhet avses enligt förarbetena till polisdatalagen verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott (se prop. 2009/10:85 s. 74). I propositionen diskuteras vilka polisuppgifter som ryms inom dessa ändamål och därmed bör anses utgöra brottsbekämpande verksamhet. När denna bedömning görs finns det enligt propositionen skäl att utgå från beskrivningen av polisens uppgifter i 2 § polislagen (1984:387), trots att polisen numera tillämpar en något annan indelning av arbetsuppgifterna. Till Polis- myndighetens uppgifter hör enligt 2 § polislagen att

1.förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten,

2.övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat,

3.utreda och beivra brott som hör under allmänt åtal,

4.lämna allmänheten skydd, upplysningar och annan hjälp, när så- dant bistånd lämpligen kan ges av polisen och

223

En ny lag om behandling av personuppgifter…

SOU 2015:73

5.fullgöra den verksamhet som ankommer på Polismyndigheten enligt särskilda bestämmelser.

Den verksamhet som beskrivs i punkterna 1−3 avser som huvud- regel brottsbekämpande verksamhet som faller under polisdatalagens tillämpningsområde. Den verksamhet som beskrivs i punkten 4, som brukar kallas polisens serviceverksamhet, och i punkten 5, den s.k. polismyndighetsverksamheten, faller generellt sett utanför polis- datalagens tillämpningsområde. Till polismyndighetsverksamheten räknas till exempel biträde åt andra myndigheter vid tvångsingripan- den.

Till de uppgifter som faller utanför den brottsbekämpande verk- samheten, och därmed inte omfattas av polisdatalagens tillämpnings- område, hör enligt propositionen bland annat hjälpåtgärder inom trafiken, medverkan vid katastrofer och liknande händelser samt åligganden av skilda slag inom området för offentlig förvaltning, till exempel tillstånds- och tillsynsärenden av olika slag (exempelvis av- seende vapen, sprängämnen, offentliga tillställningar och nyttjande av offentlig plats), passärenden och ärenden om delgivning eller annan handräckning. Hit räknas även vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. I propositionen kon- stateras att begreppet allmän ordning och säkerhet under punkten 1 är vittomfattande och svårdefinierat. Den allmänna ordningen och säkerheten kan störas både genom brott och på andra sätt. Sådana polisuppgifter som innebär att polisen förebygger, hindrar och in- griper mot andra störningar av den allmänna ordningen och säker- heten än som innefattar brott kan enligt propositionen inte anses utgöra brottsbekämpande verksamhet i det här sammanhanget. Detsamma gäller övervakning av den allmänna ordningen och säker- heten som inte syftar till att förebygga brott. Den mer renodlade övervakningen och ordningshållande verksamhet som polisen be- driver ska inte betraktas som brottsbekämpande och faller därmed utanför polisdatalagens tillämpningsområde. I propositionen konsta- teras således att vissa uppgifter som omfattas av 2 § 1–3 polislagen inte kan anses utgöra brottsbekämpande verksamhet och därmed inte bör omfattas av polisdatalagens tillämpningsområde.

Som framgår av redogörelsen ovan är gränsen mellan Polismyn- dighetens olika uppgifter inte alltid tydlig. Det medför vissa svårig- heter att avgöra vilken verksamhet på utlännings- och medborgar-

224

SOU 2015:73

En ny lag om behandling av personuppgifter…

skapsområdet som utgör brottsbekämpande verksamhet och därmed faller under polisdatalagens tillämpningsområde och vilken verk- samhet som i stället bör regleras av utlänningsdatalagen.

Polismyndigheten har huvudansvaret för den yttre och inre ut- länningskontrollen. Sveriges fullvärdiga deltagande i Schengensam- arbetet innebar att kontrollen vid s.k. inre gräns, dvs. gräns mot andra Schengenstater som exempelvis Danmark och Norge, i princip upphörde, medan utlänningslagens bestämmelser om kontroll vid yttre gräns, dvs. gräns mot icke-Schengenstat, skärptes bland annat genom att obligatorisk utresekontroll infördes.

När det gäller den yttre utlänningskontrollen anges i en kommentar till polislagen att den övervakning som avses i 2 § 2 polislagen om- fattar bland annat gränsövervakning (Berggren, N. m.fl., Polislagen. En kommentar. 1 april 2014 Zeteo, kommentaren till 2 § polis- lagen). Detta ger intryck av att den personuppgiftsbehandling som utförs i samband med den yttre utlänningskontrollen regleras av polisdatalagen. I sammanhanget bör dock beaktas att den yttre utlän- ningskontrollen har flera syften. Ett av dem är den traditionella gränskontrollen, dvs. att kontrollera den inresandes identitet och att denne uppfyller de krav som ställs för att få resa in i Sverige och vistas här, dvs. att kontrollera att en utlänning uppfyller de formella och materiella kraven enligt utlänningslagen för rätt till inresa och vistelse i Sverige (se SOU 2004:110 s. 126 f.). Här avses framför allt kontroll av att de i utlänningslagen angivna avvisnings- eller utvis- ningsgrunderna inte föreligger (se 8 kap. UtlL).

Ett annat syfte med den yttre utlänningskontrollen är att före- bygga, förhindra och upptäcka brottslig verksamhet, framför allt gränsöverskridande brottslighet, till exempel människohandel. Kon- trollen syftar till att undersöka om utlänningen har eller kan förväntas begå brott, och på så sätt förhindra och bekämpa brottsligheten i Sverige och inom hela Schengenområdet. Kontrollens syfte är också att avvärja hot mot allmän ordning och säkerhet.

Även utresekontrollen har flera syften. Ett av dem är att fast- ställa utlänningens identitet och att kontrollera att utlänningen har giltiga resehandlingar. Kontrollen omfattar en undersökning av att en utlänning inte vistas längre i Sverige eller Schengenområdet än vad han eller hon haft tillstånd till. Ett annat är att fånga upp efter- spanade brottslingar som försöker lämna landet och att hitta efterlyst egendom.

225

En ny lag om behandling av personuppgifter…

SOU 2015:73

Det kan således konstateras att den yttre utlänningskontrollen innehåller moment av olika karaktär. Som ovan anförs är ett av syftena med verksamheten att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten. Den personuppgiftsbehandling som utförs i sådan verk- samhet torde falla under polisdatalagens tillämpningsområde. Den yttre gränskontrollen har emellertid också som ändamål att se till att den som reser in i landet uppfyller villkoren för att få vistas här och att den som begär asyl får sin sak prövad på ett korrekt sätt. Denna typ av verksamhet kan inte sägas utgöra brottsbekämpande verksamhet. Den personuppgiftsbehandling som utförs vid denna typ av kontroll bör i stället falla under utlänningsdatalagens tillämp- ningsområde. En insats kan även innehålla moment av både brotts- bekämpning och utlänningskontroll. Då får polisdatalagen och utlänningsdatalagen tillämpas på respektive verksamhet. Avgörande för gränsdragningen är om det rör sig om brottsbekämpande verk- samhet eller inte.

Enligt 1 § Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre utlänningskontroll en åtgärd som vidtas med stöd av 9 kap. 9 § UtlL. Bestämmelsen föreskriver bland annat en skyldighet för en utlänning att på begäran till en polisman överlämna pass och andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige samt att på kallelse från Polismyndigheten komma till myndigheten och lämna uppgifter. I de allmänna råden i anslutning till 1 § anges att med inre utlänningskontroll avses alla handlingar som syftar till att kontrollera om en utlänning har rätt att uppehålla sig i landet. Därigenom inbegrips inte enbart en uppmaning till utlänningen att visa upp pass eller andra handlingar, utan även till exempel frågor till utlänningen och kontroller i dataregister. I 3 § anges att den inre utlänningskontrollen ska inriktas mot att över- vaka att utlänningar inte vistas eller arbetar här i landet utan att uppfylla föreskrivna villkor och att efterspana utlänningar för vilka det finns ett beslut om avvisning eller utvisning som ska verkställas. Av 4 § följer att kontrollen ska bedrivas över hela det svenska terri- toriet och vara en integrerad del av Polismyndighetens olika verk- samhetsgrenar. Det bör i sammanhanget uppmärksammas att inre utlänningskontroll enligt 9 kap. 9 § tredje stycket UtlL endast får ske om det finns grundad anledning att anta att utlänningen saknar

226

SOU 2015:73

En ny lag om behandling av personuppgifter…

rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll. Avslutningsvis anges i föreskrifterna, under rubriken Övrigt, att utöver inre utlänningskontroll bör Polismyn- dighetens uppgift att utreda brott, inklusive brott mot utlännings- lagen, beaktas. Denna arbetsuppgift kan utföras både vid in- och utresa över yttre gräns och i anslutning till inre gräns likväl som på det svenska territoriet i övrigt. En kontroll av en misstänkt person under en förundersökning görs ytterst i syfte att lagföra den miss- tänkte för brottet. Om en kontroll görs eller straffprocessuella tvångsmedel enligt 24–28 kap. rättegångsbalken används under en förundersökning med anledning av misstanke om brott, är det inte att betrakta som en inre utlänningskontroll och inte heller som per- sonkontroll vid in- och utresa över svensk gräns.

Enligt ovan angivna föreskrifter är syftet med den inre utlän- ningskontrollen att kontrollera om en utlänning har rätt att uppe- hålla sig i landet. Den inre utlänningskontrollen kan emellertid också ha ett brottsbekämpande syfte. Schengensamarbetet innebär att de inre gränskontrollerna i princip har avskaffats. Människosmuggling och annan gränsöverskridande brottslighet ska i stället förhindras genom kompensatoriska åtgärder. Med sådana åtgärder avses bland annat den inre utlänningskontrollen (se SOU 2004:110 s. 62). I de ovan angivna föreskrifterna anges i de allmänna råden i anslutning till 4 § att den inre utlänningskontrollen är en viktig kompensa- torisk åtgärd för avskaffandet av gränskontrollen mellan de länder som deltar i det operativa Schengensamarbetet.

Av redogörelsen ovan framgår att det även när det gäller den inre utlänningskontrollen är svårt att dra en tydlig gräns mellan den brottsbekämpande verksamheten och Polismyndighetens utlännings- verksamhet. Den inre utlänningskontrollen innefattar olika typer av verksamhet. Polismyndigheten genomför personkontroller för att hitta personer som saknar rätt att vistas i landet på grund av att er- forderliga tillstånd enligt utlänningslagen saknas, personer som har begått brott eller personer som håller sig undan verkställighet av avvisnings- eller utvisningsbeslut. Polismyndigheten utför arbets- platskontroller i samverkan med Skatteverket och ibland även med Försäkringskassan för att motverka illegalt arbete. Inre utlännings- kontroll sker också till exempel i samband med en trafikkontroll, i samband med ett ingripande eller i samband med en brottsutredning.

227

En ny lag om behandling av personuppgifter…

SOU 2015:73

Även den inre utlänningskontrollen kan således ha flera ändamål. Ett är att kontrollera invandringen. Detta sker bland annat genom kontroll av att en utlänning innehar de tillstånd, dvs. visering, uppe- hållstillstånd eller arbetstillstånd, som krävs och efterspaning av utlänningar för vilka det finns ett avvisnings- eller utvisningsbeslut. Sådan verksamhet torde inte utgöra gränsövervakning som innebär polisverksamhet enligt 2 § 2 polislagen. Personuppgiftsbehandling som sker inom denna verksamhet bör i stället regleras av utlännings- datalagen. En annan del av den inre utlänningskontrollen är att före- bygga, förhindra och upptäcka brottslig verksamhet, dvs. brotts- bekämpande verksamhet. Personuppgiftsbehandling som förekommer i sådan verksamhet omfattas av polisdatalagen. En polisinsats kan även innehålla moment av både utlänningskontroll och brottsbe- kämpning. Det medför att de båda lagarna får tillämpas parallellt.

Polismyndigheten utför vidare personuppgiftsbehandling inom verksamhet som avser verkställighet av beslut om förvar, avvisning, utvisning, utlämning eller överföring enligt utlänningslagstiftningen. När Polismyndigheten är handläggande myndighet enligt utlän- ningslagen får myndigheten fatta beslut om förvar och uppsikt.

I gränspolisverksamheten förs en särskild förteckning, s.k. för- varsliggare, över de personer som sitter frihetsberövade till följd av ett förvarsbeslut. En förvarsliggare innehåller olika uppgifter som till exempel namn, medborgarskap och till vilket land ett visst beslut ska verkställas. Men liggaren kan även innehålla känsliga person- uppgifter som exempelvis uppgifter om en persons hälsotillstånd. Syftet med förvarsliggare är bland annat att bevaka olika tidsgränser som kan gälla för förvarsbeslut, ge information om vilket offentligt biträde som har utsetts för den förvarstagne personen eller i övrigt informera om ärendets handläggning (exempelvis om en resa är be- ställd eller om beslutet är överklagat).

Ett annat exempel på när Polismyndigheten själv behandlar och även lämnar ut uppgifter till andra myndigheter är när myndigheten beställer resor för utlänningar, vanligtvis från Kriminalvårdens Natio- nella transportenhet (NTE). NTE (och det företag som NTE upp- handlat för medicinsk vård) informeras då i vissa fall om den en- skildes hälsotillstånd. Informationen syftar till att säkerställa att den enskilde får adekvat medicinsk vård både på resan och efter hemkomsten. I vissa fall kräver även utländska myndigheter att

228

SOU 2015:73

En ny lag om behandling av personuppgifter…

Polismyndigheten informerar om hälsotillståndet hos de personer som ska återvända till ett särskilt land.

Polismyndighetens ovan nämnda åligganden i form av verkställig- het av beslut utgör en del av polismyndighetsverksamheten enligt 2 § 5 polislagen som faller utanför polisdatalagens tillämpningsom- råde. Personuppgiftsbehandling som utförs inom denna verksamhet bör därför regleras av utlänningsdatalagen.

Säkerhetspolisen

Även Säkerhetspolisen utför vissa uppgifter som regleras i utlännings- lagstiftningen. I huvudsak finns bestämmelser härom i utlännings- lagen, lagen om särskild utlänningskontroll och lagen om svenskt medborgarskap.

Av 1 kap. 7 § UtlL framgår vilka ärenden som utgör s.k. säker- hetsärenden enligt den lagen. Det är ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlännings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en ut- länning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas.

Av 12 kap. 14 § UtlL följer vidare att Säkerhetspolisen ska verk- ställa beslut om avvisning eller utvisning i säkerhetsärenden. När Säkerhetspolisen fullgör en sådan uppgift är myndigheten handläg- gande myndighet enligt 10 kap. 13 § andra stycket UtlL från det att myndigheten tar emot ett beslut om avvisning eller utvisning för verkställighet till dess beslutet har verkställts. Det innebär att Säker- hetspolisen kan fatta beslut om till exempel omhändertagande av pass enligt 9 kap. 5 § UtlL samt om förvar och uppsikt enligt 10 kap. UtlL.

Enligt 14 kap. 11 § UtlL får Säkerhetspolisen vidare överklaga Migrationsverkets beslut i fråga om avvisning, utvisning, uppehålls- tillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende.

229

En ny lag om behandling av personuppgifter…

SOU 2015:73

Säkerhetspolisen kan även fatta andra beslut eller vidta andra åt- gärder enligt utlänningslagen när Säkerhetspolisen leder polisverk- samhet, se 3 § andra stycket polislagen.

Säkerhetspolisen får enligt 2 § lagen om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket. Säkerhetspolisen är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande. Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, av- visning eller utvisning i säkerhetsärenden (8 a §, 9 § och 13 § lagen om särskild utlänningskontroll). Även andra bestämmelser i lagen kan bli tillämpliga för Säkerhetspolisen.

När det till sist gäller medborgarskap kan Säkerhetspolisen föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet, se 27 § lagen om svenskt medborgar- skap. Migrationsverkets beslut i ett sådant säkerhetsärende får över- klagas av Säkerhetspolisen.

En mycket stor del av den ovan beskrivna verksamheten får enligt utredningens bedömning anses höra till Säkerhetspolisens brotts- bekämpande verksamhet, som regleras av polisdatalagen. Som fram- går av 5 kap 1 § PDL får således personuppgifter behandlas i Säker- hetspolisens brottsbekämpande verksamhet om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar a) brott mot rikets säkerhet, b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall eller d) tryckfrihetsbrott och yttrande- frihetsbrott med rasistiska eller främlingsfientliga motiv,

2.utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3.fullgöra uppgifter i samband med personskydd,

4.fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5.fullgöra förpliktelser som följer av internationella åtaganden eller

6.lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndig- heten, Åklagarmyndigheten eller Tullverket.

230

SOU 2015:73

En ny lag om behandling av personuppgifter…

Regleringen i polisdatalagen av primära ändamål för personupp- giftsbehandling skiljer sig mellan Polismyndigheten och Säkerhets- polisen (se prop. 2014/15:94 s. 83 f.). För Säkerhetspolisens del är uppräkningen av primära ändamål mera detaljerad och omfattar även uppgifter som bara är brottsbekämpande i vid mening. Med brotts- bekämpande verksamhet i polisdatalagen avses som tidigare nämnts sådan verksamhet som syftar till att förebygga, förhindra eller upp- täcka brottslig verksamhet eller till att utreda eller beivra brott. Enligt förarbetena i samband med polisens omorganisation anses all verksamhet hos Säkerhetspolisen i någon mening vara brottsbekäm- pande (se prop. 2013/14:110 s 480 f.)

Även om de områden där Säkerhetspolisen bedriver verksamhet enligt 3 § polislagen torde omfattas av ändamålsbestämmelserna i 5 kap. PDL anser utredningen att det inte kan uteslutas att Säker- hetspolisen även utför viss verksamhet där något brottsbekämpan- de inslag inte finns. Exempel på sådana situationer kan vara vissa verkställighetsärenden av Migrationsverkets beslut om avvisning eller utvisning. Den personuppgiftsbehandling som förekommer i samband torde därmed inte regleras polisdatalagen. För dessa fall bör den nya utlänningsdatalagen vara tillämplig. I annat fall skulle personuppgiftslagen bli tillämplig, vilket skulle försvåra behand- lingen av känsliga personuppgifter.

I avsnitt 7.15 tar utredningen upp frågan om bland annat Säker- hetspolisens direktåtkomst till Migrationsverkets personuppgifter.

Sammanfattning

Sammanfattningsvis bör utlänningsdatalagen vara tillämplig vid be- handling av personuppgifter i Polismyndighetens och Säkerhets- polisens verksamhet som inte är hänförlig till brottsbekämpning och som rör kontroll av utlänningar i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Detta överensstämmer med den reglering som gäller i dag.

231

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.4Undantag från lagens tillämpningsområde

Utredningens förslag: Lagen ska inte tillämpas när personupp- gifter behandlas med stöd av

1.lagen (2000:344) om Schengens informationssystem,

2.Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om vise- ringar för kortare vistelse (VIS-förordningen)(1),

3.Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),

4.polisdatalagen (2010:361) eller

5.Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ända- mål, samt om ändring av förordning (EU) nr 1077/2011 om in- rättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ PUL om rättelse m.m. och skade- stånd i den mån inte annat följer av den förordningen.

De länder som deltar i Schengensamarbetet har ett gemensamt in- formationssystem, Schengens informationssystem (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. SIS II är en ny version av det

233

En ny lag om behandling av personuppgifter…

SOU 2015:73

ursprungliga SIS som tog i bruk den 9 april 2013. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll. Den svenska enheten av Schengens infor- mationssystem regleras i lagen (2000:344) om Schengens informa- tionssystem och förordningen (2000:836) om Schengens informa- tionssystem. Polismyndigheten ska med hjälp av automatiserad behandling föra ett register som ska vara den svenska delen av SIS (1 § lagen om Schengens informationssystem). I lagen regleras bland annat bestämmelser om för vilka ändamål uppgifter i registret får behandlas, vilka uppgifter som får registreras och förbud mot registre- ring av känsliga personuppgifter. Syftet med SIS II är att främja samarbete som avser polisära och rättsliga frågor, men också som hjälpmedel för att avgöra om en person ska nekas tillträde till eller uppehållstillstånd i Schengenstaterna (2 §). Den personuppgifts- behandling som Polismyndigheten utför med stöd av lagen träffas av beskrivningen av utlänningsdatalagens tillämpningsområde. I utlän- ningsdatalagen bör det därför införas en reglering som anger att lagen om Schengens informationssystem har företräde i händelse av en kollision.

Det finns vidare ett antal EU-förordningar som reglerar sådan verksamhet som i och för sig motsvarar den verksamhet som faller under utlänningsdatalagens tillämpningsområde.

VIS är EU:s gemensamma informationssystem för viseringar. Användningen av VIS regleras i Europaparlamentets och rådets för- ordning (EG) nr 767/2008 av den 9 juli 2008 om informations- systemet för viseringar och utbytet mellan medlemsstaterna av upp- gifter om viseringar för kortare vistelse, (VIS-förordningen)(1). Migrationsverket är registeransvarigt och har centralt ansvar för Sveriges behandling av personuppgifter i VIS enligt artikel 41.4 VIS- förordningen.

Sedan införandet av Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemensam viseringskodex (viseringskodexen) handläggs viseringsansökningar som huvudregel av utlandsmyndigheterna. Även Polismyndigheten får med stöd av viseringskodexen handlägga vissa viseringsansökningar.

De ovan nämnda myndigheternas behandling av personuppgifter i VIS regleras i princip uteslutande genom viseringskodexen och VIS-förordningen. Undantagen behandlas nedan.

234

SOU 2015:73

En ny lag om behandling av personuppgifter…

Migrationsverket är vidare kontaktmyndighet i frågor som rör EU:s databas för identifiering av fingeravtryck, Eurodac. Syftet med Eurodac är att fastställa vilken medlemsstat som ska vara ansvarig för att pröva en ansökan om internationellt skydd som en tredje- landsmedborgare eller statslös person lämnar in i en medlemsstat. Varje medlemsstat är skyldig att ta fingeravtryck av en person som ansöker om internationellt skydd och som är 14 år eller äldre och överföra uppgifterna tillsammans med vissa andra uppgifter till EU:s centrala system. Behandlingen av uppgifter i Eurodacsystemet regleras fram till den 20 juli 2015 av Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen och därefter av Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jäm- förelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om inter- nationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlems- staternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom om- rådet frihet, säkerhet och rättvisa (omarbetning).

Den behandling av personuppgifter som ovan nämnda myndig- heter utför enligt viseringskodexen, VIS-förordningen och Eurodac- förordningen hade i och för sig kunnat falla inom utlänningsdata- lagens tillämpningsområde. Som framgår av avsnitt 6.5 blir en EU- förordning, när den trätt i kraft, automatiskt en del av medlems- statens nationella rättssystem. Medlemsstaterna får inte vidta några implementeringsåtgärder, utan förordningen ska tillämpas i sin ursprungliga form. De ovan nämnda förordningarnas bestämmelser om behandling av personuppgifter har därför inte införlivats i den nuvarande utlänningsdataförordningen, och får således inte heller införlivas i den nya utlänningsdatalagen. Behandling av personupp- gifter med stöd av förordningarna bör därför, med undantag för vad som anges nedan, inte omfattas av utlänningsdatalagens tillämp- ningsområde.

235

En ny lag om behandling av personuppgifter…

SOU 2015:73

Av EU-domstolens praxis följer att EU-rätten har företräde fram- för nationell rätt (se avsnitt 6.5). I de fall det finns bestämmelser om personuppgiftsbehandling i en EU-förordning ska dessa be- stämmelser således ha företräde framför bestämmelser i svensk lag eller förordning. Någon uttrycklig bestämmelse om det i utlän- ningsdatalagen krävs egentligen inte. I förtydligande syfte bör dock i lagen uttryckligen anges att personuppgiftsbehandling enligt VIS- förordningen, viseringskodexen och Eurodac-förordningen faller utanför den föreslagna lagens tillämpningsområde.

Polismyndighetens och Säkerhetspolisens personuppgiftsbehand- ling i brottsbekämpande verksamhet regleras av polisdatalagen. Gräns- dragningen mellan brottsbekämpande verksamhet och Polismyndig- hetens och Säkerhetspolisens verksamhet enligt utlännings- och med- borgarskapslagstiftningen behandlas i avsnitt 7.3.4. För att undvika överlappande lagstiftning bör det i utlänningslagen införas en bestäm- melse som tydliggör att behandling av personuppgifter som regleras av polisdatalagen faller utanför utlänningsdatalagens tillämpnings- område.

Enligt 15 § andra meningen nuvarande utlänningsdataförordning ska bestämmelserna i 28 § och 48 § PUL om rättelse och skadestånd tillämpas vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.

Artikel 38.2 i VIS-förordningen reglerar korrigering och radering av uppgifter. Enligt bestämmelsen får var och en begära att oriktiga uppgifter om honom eller henne korrigeras och att uppgifter som har registrerats på olagligt sätt raderas. Denna korrigering eller rade- ring ska utföras utan dröjsmål av den ansvariga medlemsstaten i enlighet med dess författningar. I svensk rätt finns allmänna bestäm- melser om rättelse, blockering och utplåning av personuppgifter i 28 § PUL. Där föreskrivs att den personuppgiftsansvarige är skyl- dig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I lagtexten anges inte vilken av de alternativa metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Av detta följer att det i princip är den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som själv får välja vilken av metoderna som ska tillämpas i det enskilda fallet (se prop. 1997/98:44 s. 86). I 28 § PUL föreskrivs vidare att den person-

236

SOU 2015:73

En ny lag om behandling av personuppgifter…

uppgiftsansvarige ska underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller då mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon underrättelse be- höver emellertid inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Enligt VIS-förordningens bestämmelser ska korrigering och radering av personuppgifter utföras i enlighet med nationella bestäm- melser. Personuppgiftslagens bestämmelse om rättelse gäller enligt sin ordalydelse endast vid behandling som skett i strid mot person- uppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I utlänningsdatalagen bör därför införas en uttrycklig hänvis- ning till 28 § PUL.

Det följer av artikel 33 i VIS-förordningen att de nationella bestämmelserna om skadestånd är tillämpliga när det gäller skade- ståndsanspråk mot en medlemsstat för skada till följd av otillåten behandling eller av något annat handlande som är oförenligt med bestämmelserna i förordningen. Eftersom skadeståndsbestämmelsen i personuppgiftslagen enligt sin ordalydelse endast gäller vid behand- ling av personuppgifter i strid mot bestämmelserna i den lagen, bör det i utlänningsdatalagen även införas en bestämmelse som hänvisar till personuppgiftslagens bestämmelse om skadestånd. Personupp- giftslagens bestämmelse avser endast skadestånd till den registrerade, medan VIS-förordningens krets av skadeståndsberättigade är betyd- ligt vidare och omfattar bland annat varje person och medlemsstat. Om en ersättningsfråga inte berörs i personuppgiftslagen bör i stället allmänna skadeståndsrättsliga regler i skadeståndslagen (1972:207) tillämpas.

7.5Den registrerades inställning

Utredningens förslag: Behandling av personuppgifter som är tillåten enligt utlänningsdatalagen ska få utföras även om den enskilde motsätter sig den.

Enligt 1 § tredje stycket nuvarande utlänningsdataförordning har en registrerad inte rätt att motsätta sig behandling av personuppgifter enligt förordningen. Bestämmelsen ska ses mot bakgrund av arti-

237

En ny lag om behandling av personuppgifter…

SOU 2015:73

kel 14 a Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som föreskriver att den enskilde i vissa fall ska garanteras en rätt att motsätta sig en personuppgifts- behandling, om inte annat föreskrivs i nationell lagstiftning. I verk- samhet enligt utlännings- och medborgarskapslagstiftningen finns behov av att behandla personuppgifter även om den enskilde mot- sätter sig sådan behandling. I utlänningsdatalagen bör det därför införas en bestämmelse av vilken det framgår att personuppgifts- behandling som är tillåten enligt lagen får utföras även om den en- skilde motsätter sig den.

7.6Förhållandet till personuppgiftslagen

Utredningens förslag: Utlänningsdatalagen ska gälla i stället för personuppgiftslagen inom sitt tillämpningsområde. I lagen hän- visas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter enligt lagen.

Personuppgiftslagen är generellt tillämplig på all behandling av per- sonuppgifter. Av 2 § PUL följer dock att om det i annan lag eller förordning finns bestämmelser som avviker från lagen ska de bestäm- melserna gälla. Bestämmelserna i den nya lagen kommer således som huvudregel att ha företräde framför personuppgiftslagens bestäm- melser. Finns inga särskilda bestämmelser i lagen ska dock person- uppgiftslagens bestämmelser gälla. Frågan är hur de bestämmelser i personuppgiftslagen som ska gälla även för personuppgiftsbehand- ling i verksamhet enligt utlännings- och medborgarskapslagstift- ningen ska infogas i den nya lagen. I tidigare lagstiftning har olika lösningar valts.

En modell är att ange att den särskilda författningen gäller utöver personuppgiftslagen eller att inte över huvud taget nämna person- uppgiftslagen i särlagstiftningen. Det innebär att personuppgifts- lagens bestämmelser automatiskt blir tillämpliga när den särskilda författningen inte innehåller någon särbestämmelse. Metoden har använts i bland annat i patientdatalagen och studiestödsdatalagen (2009:287). Metoden har kritiserats, eftersom det anses vara svårt

238

SOU 2015:73

En ny lag om behandling av personuppgifter…

för den som ska tillämpa lagen att klart och tydligt se vilka bestäm- melser i personuppgiftslagen som är tillämpliga.

En annan modell är en heltäckande modell som innebär att de bestämmelser i personuppgiftslagen som ska vara tillämpliga anges uttryckligen i registerförfattningen. Denna typ av reglering har till exempel valts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Fördelen med denna modell är att alla relevanta bestämmelser framgår direkt av lagen. Nackdelen är att identiska bestämmelser upprepas i flera olika författningar och att lagtexten blir omfattande.

Ett tredje sätt är att utöver de bestämmelser som avviker från personuppgiftslagen hänvisa till de lagrum i personuppgiftslagen som är tillämpliga.

I förarbetena till polisdatalagen anges att fördelen med den hel- täckande modellen är att tillämparen snabbt kan få klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen (se prop. 2009/10:85 s. 80). Problemet är att det i viss mån blir dubbelreglering, eftersom personuppgiftslagen ändå gäller och att lagstiftningen blir omfattande. Som ett alternativ föreslogs i polis- datapropositionen den modell som finns i lagen om Tullverkets brottsbekämpande verksamhet, nämligen reglering genom hänvis- ningar till de lagrum i personuppgiftslagen som är tillämpliga. Det konstaterades i propositionen att Lagrådet inte hade några invänd- ningar mot den valda metoden samt att samma lösning nyligen också har föreslagits för Kustbevakningens personuppgiftsbehandling och för åklagarväsendets personuppgiftsbehandling (se SOU 2006:18 och SOU 2008:87). Fördelarna med en sådan lösning är enligt pro- positionen att lagstiftningen blir mer överskådlig, tydlig och lättilläm- pad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering. För denna modell talar också, enligt propositionen, att det ligger ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet.

Samma argument som anförs ovan rörande polisdatalagen är giltiga även när det gäller utformningen av bestämmelserna i en ny utlänningsdatalag. I den nya lagen bör därför hänvisning göras till

239

En ny lag om behandling av personuppgifter…

SOU 2015:73

de bestämmelser i personuppgiftslagen som är tillämpliga utöver utlänningsdatalagens bestämmelser.

7.7Tillämpliga bestämmelser i personuppgiftslagen

Utredningens förslag: Följande bestämmelser i personuppgifts- lagen ska tillämpas på motsvarande sätt vid behandling av person- uppgifter enligt utlänningsdatalagen eller enligt föreskrifter som meddelats i anslutning till lagen:

1.definitioner (3 §),

2.förhållandet till offentlighetsprincipen (8 §),

3.grundläggande krav på behandlingen av personuppgifter (9 §),

4.behandling av uppgifter om personnummer (22 §),

5.information till den registrerade (23 och 25–27 §§),

6.rättelse (28 §),

7.säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket),

8.överföring av personuppgifter till tredjeland (33–35 §§),

9.personuppgiftsombudets uppgifter m.m. (38–41 §§),

10.upplysningar till allmänheten om vissa behandlingar (42 §),

11.tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket och 47 §),

12.skadestånd (48 §) och

13.överklagande (51 § första stycket, 52 § första stycket och 53 §).

Om personuppgifter ska gallras enligt utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Datainspektionen ska inte kunna förena ett förbud att utföra viss behandling med vite.

240

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.7.1Definitioner

I 3 § PUL finns definitioner av vissa för personuppgiftsbehandling grundläggande begrepp, bland annat behandling, personuppgift, personuppgiftsansvarig, den registrerade och samtycke. Med behand- ling (av personuppgifter) avses till exempel varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Exempel på detta är insamling, registre- ring, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, sprid- ning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Definitionerna i 3 § PUL gäller vid personuppgiftsbehandling med stöd av nuvarande utlän- ningsdataförordning. Det har inte framkommit skäl att ändra på denna ordning. Vidare är det lämpligt att de begrepp som används i den nya lagen har samma innebörd som i personuppgiftslagen. En hänvisning till 3 § PUL bör därför tas in i den nya lagen.

7.7.2Förhållande till offentlighetsprincipen

Av 8 § första stycket PUL följer att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyl- dighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsför- ordningen (TF). I 2 kap. TF finns bestämmelser om allmänna hand- lingars offentlighet. Även om grundlagens bestämmelser alltid har företräde framför bestämmelser i vanlig lag, anfördes i förarbetena till personuppgiftslagen att det i klargörande syfte bör tas in en bestämmelse som uttryckligen anger detta förhållande i lagen (se prop. 1997/98:44 s. 46). För tydlighetens skull bör en hänvisning till 8 § första stycket PUL göras i den nya lagen. En myndighet är således alltid skyldig att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser. Tryckfrihetsförord- ningen innebär dock ingen skyldighet för en myndighet att lämna ut uppgifter i elektronisk form.

I 8 § andra stycket PUL anges att bestämmelserna i personupp- giftslagen inte hindrar att en myndighet arkiverar och bevarar allmän- na handlingar eller att arkivmaterial tas om hand av en arkivmyndig-

241

En ny lag om behandling av personuppgifter…

SOU 2015:73

het. I förarbetena till personuppgiftslagen anges att bestämmelsen rör det bevarande av allmänna handlingar som utgör en förutsätt- ning för att offentlighetsprincipen i 2 kap. TF ska kunna uppfylla sina syften (se prop. 1997/98:44 s. 118).

Som ovan angetts finns det i nuvarande utlänningsdataförord- ning med undantag för en särbestämmelse avseende fingeravtrycks- registret inga bestämmelser om gallring. Utgångspunkten är således att allmänna handlingar i verksamhet enligt utlännings- och med- borgarskapslagstiftningen som omfattas av utlänningsdataförord- ningen ska bevaras. Utredningen gör i avsnitt 7.16.2 därför bedöm- ningen att utgångspunkten även fortsättningsvis bör vara att arkiv- lagens (1990:782) bestämmelser om bevarande ska gälla i den nya utlänningsdatalagen. Om det i särförfattningar för myndigheters behandling av personuppgifter saknas gallringsbestämmelser, tilläm- pas arkivlagens bestämmelser om bevarande som huvudprincip och gallring som undantag. Någon särskild bestämmelse om bevarande behövs således egentligen inte i utlänningsdatalagen. I klargörande syfte bör dock en hänvisning till bestämmelserna i 8 § andra stycket PUL tas in i den nya lagen.

Utredningen anser dock att det i den nya lagstiftningen finns behov av gallringsföreskrifter på vissa områden. Som framgår av av- snitt 7.10.3 föreslår utredningen att det även i fortsättningen ska gälla särskilda regler för gallring av uppgifter i Migrationsverkets fingeravtrycks- och fotografiregister. Vidare anser utredningen att särskilda gallringsbestämmelser ska gälla för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämp- lig för framtida uppdrag, se kapitel 8. Utredningen anser också att särskilda bestämmelser om gallring ska gälla för känsliga person- uppgifter som har behandlats för ändamålen tillsyn, kontroll, uppfölj- ning, planering av verksamheten, framställning av statistik eller test- verksamhet, se avsnitt 7.16.2 och 7.17. Av den nya utlännings- datalagen bör det således framgå att 8 § andra stycket PUL inte ska tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

242

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.7.3Grundläggande krav på behandlingen av personuppgifter

I 9 § PUL föreskrivs vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att person- uppgifter behandlas bara om det är lagligt och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed (a och b). Vad som är god sed vid behandling av personuppgifter får enligt förarbetena till personuppgiftslagen avgöras i rättstillämp- ningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisa- tioner eller andra representativa sammanslutningar och hur ansvars- fulla personuppgiftsansvariga som regel beter sig (se prop. 1997/98:44 s. 143). Den nya lagen bör hänvisa till 9 § första stycket a) och b) PUL.

Personuppgifter får bara samlas in för särskilda, uttryckligt an- givna och berättigade ändamål (c). Bestämmelsen innebär att ända- målen med en behandling måste bestämmas redan när uppgifterna samlas in (se SOU 1997:39 s. 350, prop. 1997/98:44 s 120 f.) Det bör göras en hänvisning även till denna bestämmelse i personupp- giftslagen.

Efter insamlingen får uppgifterna inte behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in (d). I denna bestämmelse kommer den s.k. finalitetsprincipen till uttryck. Bestämmelsen är av central betydelse vid behandling av personupp- gifter. Den innebär att vidarebehandling av redan insamlade person- uppgifter inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Utredningen kommer att i av- snitt 7.9 föreslå att den nya lagen bör ange vissa primära och sekun- dära ändamål, att de primära ändamålen ska vara uttömmande samt att vidarebehandling ska vara tillåten förutsatt att behandlingen inte är oförenlig med insamlingsändamålet. Vad som är oförenligt med de ursprungliga ändamålen får enligt förarbetena till personuppgifts- lagen bestämmas genom praxis och kompletterande föreskrifter (se SOU 1997:39 s. 351). Det bör finnas en hänvisning även till 9 § första stycket d PUL.

Personuppgifterna ska vidare vara adekvata och relevanta i för- hållande till ändamålen med behandlingen (e). Den personuppgifts-

243

En ny lag om behandling av personuppgifter…

SOU 2015:73

ansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (h). Enligt utred- ningen bör den nya lagen hänvisa även till dessa bestämmelser i personuppgiftslagen.

Av 9 § första stycket i PUL följer slutligen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Denna bestämmelse har betydelse för hur personuppgifter som behandlas elektroniskt ska arkiveras och gallras. Personuppgiftslagen innehåller två undantag från bestämmelsen. För det första hindrar personuppgiftslagens be- stämmelser aldrig att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket PUL). För det andra följer det av 9 § tredje stycket PUL att personuppgifter får bevaras under längre tid än som anges i punkten i, om bevarandet sker för historiska, statistiska eller veten- skapliga ändamål. Detta undantag gäller för alla personuppgifter, oavsett om det rör sig om uppgifter i en allmän handling eller inte.

Som utredningen närmare kommer att utveckla i avsnitt 7.16 gäller för närvarande arkivlagens regler om bevarande och gallring för personuppgifter på det aktuella verksamhetsområdet, både de som behandlas helt eller delvis automatiserat och de som behandlas manuellt. Utgångspunkten är således att allmänna handlingar ska bevaras. För personuppgifter som inte är allmänna handlingar gäller däremot bestämmelserna i 9 § första stycket i och tredje stycket PUL, dvs. de ska som huvudregel förstöras om de inte längre är nödvändiga för det ändamål de behandlas för. Av skäl som redo- visas närmare i avsnitt 7.16.2 anser utredningen att den nuvarande ordningen bör upprätthållas även i den nya lagen. Utredningen före- slår dock särskilda bestämmelser om avskiljande av personuppgifter som inte längre behövs i den löpande verksamheten (se avsnitt 7.16.2). Avskiljande får inte innebära att uppgifterna gallras.

En stor del av den personuppgiftsbehandling som den nya lagen ska reglera torde avse uppgifter i allmänna handlingar. Det enklaste sättet att reglera frågan om bevarande och gallring skulle därför eventuellt vara att i utlänningsdatalagen bara hänvisa till 8 § andra

244

SOU 2015:73

En ny lag om behandling av personuppgifter…

stycket PUL. En hänvisning till den bestämmelsen innebär att person- uppgifter i allmänna handlingar kan bevaras elektroniskt och be- handlas för arkivering utan hinder av personuppgiftslagen. Det kan dock förekomma fall av automatiserad personuppgiftsbehandling som inte rör uppgifter i allmänna handlingar. För att regleringen ska bli heltäckande bör därför en hänvisning till bestämmelserna i 9 § första stycket i) och tredje stycket PUL också göras. Det inne- bär att personuppgifter som inte finns i en allmän handling kan bevaras elektroniskt så länge det är nödvändigt med hänsyn till ända- målen med behandlingen eller om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål. Därefter ska uppgiften för- störas.

Av 9 § andra stycket PUL följer att senare behandling som sker för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Som anges ovan får enligt tredje stycket sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Fjärde stycket föreskriver att personuppgifter som behandlas för histo- riska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. En hänvisning bör finnas i den nya lagen även till dessa bestämmelser i personuppgiftslagen.

7.7.4Behandling av personnummer

Enligt 22 § PUL får uppgifter om personnummer eller samordnings- nummer behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får dock fritt besluta hur de materiella regler- na ska utformas. Bestämmelsen i personuppgiftslagen har utformats med motsvarande bestämmelse i den tidigare datalagen (1973:289) som förebild.

Uppgift om personnummer eller samordningsnummer utgör inte en känslig personuppgift enligt personuppgiftslagens definition,

245

En ny lag om behandling av personuppgifter…

SOU 2015:73

men är ändå en typ av uppgift som bör behandlas med försiktighet. Bestämmelsen i 22 § PUL ger uttryck för att behandlingen av person- nummer och samordningsnummer bör vara restriktiv och föregås av en avvägning mellan behovet och de integritetsrisker som behand- lingen innebär.

I nuvarande utlänningsdataförordning finns inga särskilda bestäm- melser som rör personnummer och samordningsnummer. Person- uppgiftslagens bestämmelser är således tillämpliga i verksamhet inom utlännings- och medborgarskapslagstiftningen. Vikten av en säker identifiering medför att personnummer och samordningsnummer ofta måste behandlas i den verksamhet som omfattas av utlännings- datalagen. Utredningen bedömer därför att det inte bör införas några inskränkningar i rätten att behandla personnummer eller samord- ningsnummer i förhållande till personuppgiftslagens bestämmelse. Den nya lagen bör därför hänvisa till 22 § PUL.

7.7.5Information till den registrerade

Information till den registrerade regleras i 23−27 §§ PUL.

Enligt 23 § PUL ska den personuppgiftsansvarige självmant in- formera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § PUL uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § PUL, lämnas på begäran av den registrerade. Om uppgifter behandlas, ska information lämnas till sökanden om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Sådan infor- mation ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information be- höver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes- anteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart

246

SOU 2015:73

En ny lag om behandling av personuppgifter…

för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om upp- gifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten föreligger enligt 27 § PUL vid sekretess och tystnadsplikt.

Bestämmelserna i 23 och 25−27 §§ PUL är redan i dag tillämpliga vid myndigheternas behandling av personuppgifter inom utlännings- och medborgarskapsverksamheten. Annat har inte framkommit än att bestämmelserna bör tillämpas även vid en lagreglering av person- uppgiftsbehandlingen på utlännings- och medborgarskapsområdet. En hänvisning till bestämmelserna bör därför införas i den nya lagen.

Någon hänvisning till 24 § PUL är emellertid inte nödvändig enligt utredningen, eftersom personuppgiftsbehandlingen i den nya lagen är reglerad på sätt som artikel 11 i dataskyddsdirektivet föreskriver, se vidare härom i SOU 2015:39 s. 494 f.

7.7.6Rättelse

Den personuppgiftsansvarige är enligt 28 § PUL skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana person- uppgifter som inte har behandlats i enlighet med lagen eller före- skrifter som har utfärdats med stöd av lagen. Den personuppgifts- ansvarige ska vidare underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade därigenom kan undvikas. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en opropor- tionerligt stor arbetsinsats.

I förarbetena till personuppgiftslagen konstateras att redan bestämmelserna i 9 § första punkten e och g PUL medför en skyl- dighet för den personansvariga myndigheten att vara aktiv för att se till att de behandlade uppgifterna är korrekta (se prop. 1997/98:44 s. 87). Bestämmelsen i 28 § PUL ger dock den registrerade rätt att påkalla den personuppgiftsanvariges aktivitet för att korrigera upp- gifter, som gäller utöver de grundläggande kraven i 9 § PUL. I person- uppgiftslagen anges inte vilken av metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Det är enligt för-

247

En ny lag om behandling av personuppgifter…

SOU 2015:73

arbetena den personuppgiftsansvarige som avgör vilken åtgärd som är lämpligast i varje enskilt fall (se prop. 1997/98:44 s. 87).

Bestämmelsen i 28 § PUL gäller i nuläget vid behandling av person- uppgifter i verksamhet enligt utlännings- och medborgarskapslag- stiftningen. Det är viktigt att det även i fortsättningen finns en möjlig- het för enskilda att se till att personuppgifter som behandlas felak- tigt rättas, blockeras eller utplånas. En hänvisning till 28 § PUL bör därför göras i den nya utlänningsdatalagen. En sådan hänvisning är även nödvändig med hänsyn till dataskyddsdirektivet.

7.7.7Säkerhet vid behandlingen

I 30–32 §§ PUL finns bestämmelser om hur den personuppgifts- ansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Av 30 § följer bland annat att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, ska de bestämmelserna dock ha företräde (30 § tredje stycket). Här avses särskilt bestämmelser om tystnadsplikt och sekre- tess (se prop. 1997/98:44 s. 136). Enligt 30 § andra stycket PUL ska det i fråga om personuppgiftsbiträden finnas ett skriftligt avtal om biträdets behandling för den personuppgiftsansvariges räkning. Det ska i avtalet särskilt föreskrivas att biträdet får behandla person- uppgifter bara i enlighet med instruktioner från den personupp- giftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket PUL. Av 31 § PUL följer bland annat att den personuppgiftsansvarige ska vidta lämpliga tekniska och orga- nisatoriska åtgärder för att skydda behandlade personuppgifter. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behand- lingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Enligt 32 § första stycket PUL får Data- inspektionen i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §.

248

SOU 2015:73

En ny lag om behandling av personuppgifter…

Säkerhetsbestämmelserna är redan tillämpliga vid personuppgifts- behandling i här aktuell verksamhet och de bör gälla även fort- sättningsvis. En hänvisning till bestämmelserna bör alltså föras in i den nya lagen. Undantag bör dock göras för 32 § andra stycket PUL i vilket hänvisas till tillsynsmyndighetens möjlighet att förena förbud med vite. Regler om vite bör enligt allmänna rättsgrundsatser inte tillämpas i förhållandet mellan statliga myndigheter (se prop. 2004/05:164 s. 54, prop. 2006/07:46 s. 105 och 2009/10:85 s. 90). Någon hänvisning till 32 § andra stycket PUL bör därför inte göras i den nya lagen.

7.7.8Överföring av personuppgifter till tredjeland

Allmänt om överföring av personuppgifter till tredjeland

Överföring av personuppgifter till tredjeland regleras i 33−35 §§ PUL. Regleringen grundas på bestämmelserna i artikel 25 och 26 i dataskyddsdirektivet och ingresspunkt 56−60 till direktivet.

I 33 § PUL finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av person- uppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Med tredjeland avses en stat som inte ingår i EU eller är ansluten till EES, se 3 § PUL.

Från förbudet finns vissa undantag, se 34 § PUL. Av den bestäm- melsen följer att det trots förbudet är tillåtet att föra över person- uppgifter till tredjeland om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig bland annat för rättsliga anspråk ska kunna fastställas, göras gällande eller för- svaras eller vitala intressen för den registrerade ska kunna skyddas. Av bestämmelsen följer vidare att det även är tillåtet att föra över personuppgifter för användning i ett land som har anslutit sig till dataskyddskonventionen.

Enligt 35 § PUL har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bland annat om det behövs med hänsyn till ett viktigt allmänt intresse.

I 8 § andra stycket nuvarande utlänningsdataförordning finns en särskild bestämmelse om överföring av uppgifter till tredjeland. Enligt den bestämmelsen får de personuppgifter som finns i ett rättsfalls-

249

En ny lag om behandling av personuppgifter…

SOU 2015:73

register föras över till en stat som inte ingår i EU eller är ansluten till EES. I övrigt gäller de ovan nämnda bestämmelserna i 33−35 §§ PUL vid behandling av personuppgifter inom utlännings- och med- borgarskapsområdet.

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är i dag till betydande del av internationell karaktär och överföring av uppgifter till andra EU- länder eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete och uppfyllande av myndighetsuppdrag.

Det bör inledningsvis anmärkas att informationsutbyten genom direktåtkomst till Migrationsverkets datasystem eller som sker på annat sätt med svenska utlandsmyndigheter belägna i tredjeland enligt utredningens uppfattning inte innebär att personsuppgifter förs över till tredjeland (se artikel 4 i dataskyddsdirektivet som bland annat stadgar att en medlemsstats nationella rätt ska tillämpas även om den registeransvarige inte är etablerad inom medlemsstatens terri- torium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten).

Däremot är det fråga om överföring av uppgifter till ett annat land då utlandsmyndigheten i sin tur i olika situationer lämnar ut personuppgifter till mottagare i tredjeland. Exempel på sådan över- föring är när utlandsmyndigheten begär biträde av lokala s.k. för- troendeadvokater eller andra utomstående. Sådant biträde kan till exempel begäras för att på ort och ställe kontrollera äktheten av vissa handlingar. Ytterligare exempel på överföring av uppgifter till tredjeland är när Migrationsverket i ärenden om återvändande be- höver ordna resehandlingar och mottagande i mottagarlandet. Ett vanligt fall när personuppgifter överförs till tredjeland är vidare när polisen ska verkställa beslut om avvisningar eller utvisningar. Polisen kan då behöva kontakta utländska beskickningar för att kunna fastställa en persons identitet och för att få ut resehandlingar för personen. Olika uppgifter, exempelvis om familjeförhållanden och adresser i utlandet, skickas då över till den utländska beskickningen för att möjliggöra utredningen av identiteten, se bland annat 7 kap. 20 § UtlF. Överföring av personuppgifter till tredjeland sker i sist- nämnda fall normalt utan den enskildes samtycke. Vidare kan polis- en behöva få uppgifter verifierade hos myndigheter i det land där en utlandsmyndighet finns.

250

SOU 2015:73

En ny lag om behandling av personuppgifter…

Utredningens övervägande

Utredningens förslag: Förutom med den registrerades samtycke bör överföring av personuppgifter till tredjeland få ske om det är absolut nödvändig för

1.handläggning av ärenden eller biträde i sådana ärenden,

2.kontroll av utlänning och

3.återsökning av rättslig information.

När det gäller tillhandahållande av information till en utländsk myndighet i tredjeland, se avsnitt 7.9.3.

Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om i vilken utsträckning per- sonuppgifter får överföras till tredjeland.

Internationellt samarbete och informationsutbyte har, som tidigare nämnts, en stor betydelse i verksamhet enligt utlännings- och med- borgarskapslagstiftningen. Det är därför av allmänt intresse att personuppgifter som behandlas enligt utlänningslagstiftningen bör kunna föras över till tredjeland när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt och rimligt sätt. Förslaget till en ny utlänningsdatalagstiftning bör där- för enligt utredningen utformas på ett sådant sätt att den inte hindrar överföring till tredjeland som är befogad utifrån detta allmän- intresse.

Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredjeland, om den registrerade samtycker till det. Om en registrerad i tredjeland exempelvis ansöker om visum vid en utlandsmyndighet, får han eller hon anses ha samtyckt till den över- föring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredjeland som inleder en elektronisk kommunikation med en myndighet i Sverige, exempelvis via e-post eller via ett sär- skilt inrättat elektroniskt ansökningsförfarande, anses ha samtyckt till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredjeland.

I bland finns det även, som ovan nämnts, behov för aktuella myndigheter att överföra personuppgifter till tredjeland oavsett om samtycke till detta föreligger. Så kan exempelvis vara fallet vid

251

En ny lag om behandling av personuppgifter…

SOU 2015:73

utlämnande av personuppgifter till förtroendeadvokater eller andra personer när utlandsmyndigheter i tredjeland biträder svenska myn- digheter med utredning i enskilda ärenden, men även vid återvän- dandeärenden och verkställighetsärenden avseende avvisningar eller utvisningar.

Personuppgifter överförs ibland även till andra EU-länder vid s.k. Joint Return Operations (JRO), dvs. gemensamma återvändar- operationer koordinerade och finansierade genom EU:s gräns- kontrollbyrå Frontex. Anledningen till överföringen av uppgifter är att en medlemsstat som organiserar en insats behöver information om de som ska återvända för att kunna organisera och möjliggöra ett återvändande hos destinationslandet.

Vidare deltar Migrationsverket, Polismyndigheten och de andra myndigheterna som utför verksamhet enligt utlännings- och med- borgarskapslagstiftningen i olika samarbetsorgan rörande asyl- och migrationsfrågor där även tredjeländer medverkar. I dessa fall lämnas dock aldrig några personuppgifter ut. Det rör sig i huvudsak om uppgifter som finns i Migrationsverkets informationssamling Lifos.

Vad nu anförts leder utredningen till slutsatsen att de undan- tagen från förbudet mot överföring av personuppgifter till tredje- land i 34 § PUL och undantaget i utlänningsdataförordningen inte är tillräckliga för att tillgodose all sådan överföring av personupp- gifter som är befogad utifrån ovan nämnda allmänna intressen. Ytterligare undantag behövs alltså i den nya utlänningsdatalagen.

Förutom med den registrerades samtycke anser utredningen att överföring av personuppgifter till tredjeland ska få ske om det är absolut nödvändigt för 1) den överförande myndighetens handlägg- ning av ärende eller biträde i sådana ärenden, 2) kontroll av utlän- ning i samband med inresa och utresa samt kontroll under vistelsen i Sverige och 3) sådan behandling som sker för ändamålet för åter- sökning av avgöranden, rättsutredningar och annan rättslig infor- mation.

Det kompletterande undantaget är enligt utredningens bedöm- ning förenligt med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse, se artikel 26 i dataskyddsdirektivet.

Ett av de sekundära ändamålen i den nya lagstiftningen är tillhanda- hållande av information till en utländsk myndighet, se avsnitt 7.9.3. Den myndigheten kan finnas i tredjeland. Att sådan överföring får

252

SOU 2015:73

En ny lag om behandling av personuppgifter…

ske under vissa förutsättningar följer redan av ändamålsbestäm- melsen. Möjligheten behöver därför inte anges som ett särskilt undantag från förbudet för överföring av personuppgifter till tredje- land.

En fråga som har diskuterats är om personuppgifter kan anses överföras till tredjeland även om de fortsätter att vara under den personuppgiftsansvariges kontroll. Ett exempel på detta är om den personuppgiftsansvarige på en tillfällig resa till tredjeland tar med sig en bärbar dator i vilken personuppgifter dessförinnan lagrats (se SOU 2003:40 s. 247). Enligt utredningen finns det inget stöd för att tolka dataskyddsdirektivet på detta sätt. Utredningen föreslår därför inga undantag från förbudet mot överföring av person- uppgifter till tredjeland som tar sikte på situationer som den nu beskrivna.

Av hänsyn till integritetsintresset bör regeringen eller den myn- dighet som regeringen bestämmer med stöd av 8 kap. 7 § regerings- formen kunna meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.

Eventuella sekretesshinder måste dock alltid övervägas innan per- sonuppgifter lämnas ut till tredjeland, se bland annat SOU 2001:160 s. 66 f. och JO 2012/13 s. 265. I beslutet uttalade JO kritik mot Utrikesdepartementet för brister vid äkthetskontrollen av hand- lingar i ett asylärende. När det gäller sekretess och överföring av personuppgifter till tredjeland, se även SOU 2015:39 s. 483 f.

7.7.9Anmälningsskyldighet och personuppgiftsombud

I 36 § första stycket PUL föreskrivs att behandling som är helt eller delvis automatiserad ska anmälas till tillsynsmyndigheten. Regeln bygger på artikel 18.1 i dataskyddsdirektivet. Artikeln är emellertid bara en huvudregel. Undantag är i viss utsträckning tillåtna. Enligt utredningen finns förutsättningar för att undanta personuppgifts- behandlingen på utlännings- och medborgarskapsområdet från anmälningsskyldighet. Någon hänvisning till 36 § PUL behövs där- för inte.

I avsnitt 7.8 föreslås en särskild bestämmelse med skyldighet för Migrationsverket, Polismyndigheten och Säkerhetspolisen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett

253

En ny lag om behandling av personuppgifter…

SOU 2015:73

sådant ombud utses och entledigas. Den nya lagen bör hänvisa till 38–40 §§ PUL om personuppgiftsombudets uppgifter.

Ett personuppgiftsombud ska enligt 38 § PUL självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister. Har ett personuppgiftsombud anledning att miss- tänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgifts- ombudet anmäla förhållandet till Datainspektionen. Även i övrigt ska personuppgiftsombud samråda med Datainspektionen vid tvek- samhet rörande tillämpningen av utlänningsdatalagen eller de bestäm- melser i personuppgiftslagen som lagen hänvisar till. Av 39 § PUL följer att personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Slutligen har personuppgiftsombuden också till uppgift att hjälpa registrerade att få rättelse när det finns anledning att miss- tänka att behandlade personuppgifter är felaktiga eller ofullstän- diga, se 40 § PUL.

I 41 § PUL anges att regeringen har möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna ordning bör gälla även fortsättningsvis vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Den nya lagen bör därför innehålla en hänvisning till 41 § PUL.

7.7.10Upplysningar till allmänheten

Den personuppgiftsansvarige ska enligt 42 § PUL till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personupp- gifter som inte har anmälts till tillsynsmyndigheten. Upplysningar- na ska omfatta det som en anmälan enligt 36 § första stycket PUL skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyl- dig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

254

SOU 2015:73

En ny lag om behandling av personuppgifter…

Den enskilde bör på ett snabbt och enkelt sätt kunna få besked om vilka behandlingar som utförs i den här aktuella verksamheten även i de fall den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § PUL bör därför tas in i den nya lagen.

7.7.11Tillsynsmyndighetens befogenheter

Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Om Data- inspektionen inte efter en begäran enligt 43 § PUL kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. I tidigare lagstiftning har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. Någon sådan möjlighet finns exempelvis inte i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt polisdatalagen.

Bestämmelserna om Datainspektionens befogenheter är i dag tillämpliga vid personuppgiftsbehandling i här aktuell verksamhet. Enligt gällande rätt finns det således redan en möjlighet för Data- inspektionen att förbjuda myndigheternas personuppgiftsbehand- ling. Denna möjlighet bör finnas även fortsättningsvis. En hänvis- ning bör därför göras också till 43 och 44 §§ PUL.

En annan fråga är om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. Som ovan anförts är huvud- principen att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter. Ett förbud enligt 44 § PUL bör således inte kunna förenas med vite.

Av 45 § första stycket PUL framgår att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse eller om saken är brådskan-

255

En ny lag om behandling av personuppgifter…

SOU 2015:73

de, får Datainspektionen förbjuda behandlingen. Bestämmelsen gäller redan inom verksamheten och bör gälla även fortsättningsvis. En hänvisning till 45 § första stycket bör således göras. Däremot bör den nya lagen inte hänvisa till paragrafens andra stycke eller till 46 §. Dessa båda bestämmelser rör vite.

Enligt 47 § PUL har Datainspektionen rätt att hos allmän för- valtningsdomstol ansöka om att sådana uppgifter som har behand- lats på ett olagligt sätt ska utplånas. Bestämmelsen har sitt ursprung i dataskyddsdirektivet, som anger att varje nationell tillsynsmyn- dighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Av förarbetena till personuppgiftslagen framgår att vid bedömningen kan beaktas om utplånandet skulle innebära stora praktiska svårigheter för den personuppgiftsansvarige eller ett svårt ekonomiskt avbräck (se prop.1997/98:44 s. 142). När det gäller personuppgifter hos myndigheter är det i praktiken inte möjligt att utplåna uppgifter som behövs för handläggningen av ärenden eller som på grund av grundlagsbestämmelser eller lag ska bevaras.

Bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

7.7.12Skadestånd och straff

I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integri- teten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen tillämpas vid behandling enligt nuvarande utlänningsdataförordning och bör gälla även fortsättningsvis. En hänvisning till 48 § PUL bör därför tas in i den nya lagen.

I kapitel 11 behandlar utredningen skadeståndsskyldighet efter kontroll vid Schengenviseringar.

I 49 § PUL föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Behandlingen av personupp- gifter enligt den nya lagen kommer att utföras av personer som är anställda vid statliga myndigheter. De omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Eftersom det är myndigheter som

256

SOU 2015:73

En ny lag om behandling av personuppgifter…

kommer att utföra personuppgiftsbehandlingen, torde det inte bli aktuellt att tillämpa straffbestämmelsen (se prop. 1997/98:97 s. 109). Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i den nya lagen.

7.7.13Överklagande

I 51 § första stycket PUL föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän för- valtningsdomstol. Som anges ovan föreslås Datainspektionen kunna meddela förbud enligt 44 § eller 45 § första stycket PUL. Därmed bör även en hänvisning till 51 § första stycket PUL göras.

Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Datainspektionen bör ges möjlighet att meddela interimistiska beslut i här aktuella fall. Hänvisning i den nya lagen bör därför göras även till 51 § andra stycket PUL.

En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket PUL, överklagas hos allmän förvaltnings- domstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammar- rätten. I förarbetena till dessa bestämmelser anges att det efter in- förandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i sär- skilda registerförfattningar, som hänvisar till personuppgiftslagen (se prop. 2005/06:173 s. 53). Den nya lagen bör således inte inne- hålla någon särskild bestämmelse om överklagande, endast en hän- visning till personuppgiftslagens bestämmelser om överklagande.

7.8Personuppgiftsansvar

7.8.1Allmänt om personuppgiftsansvar

Enligt 3 § PUL är personuppgiftsansvarig den som ensam eller till- sammans med andra bestämmer ändamålet och medlen för behand- lingen av personuppgifter. I registerförfattningar är det vanligt att

257

En ny lag om behandling av personuppgifter…

SOU 2015:73

det anges vem som är personuppgiftsansvarig för den personupp- giftsbehandling som regleras.

I 2 § nuvarande utlänningsdataförordning anges att Migrations- verket är personuppgiftsansvarigt för den behandling av person- uppgifter som verket utför. Verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför. Polismyndig- heten är personuppgiftsansvarig för den behandling som myndigheten utför och Säkerhetspolisen för den behandling som den utför.

7.8.2Utredningens överväganden

Utredningens förslag: Den myndighet som utför en behandling eller som det åligger att utföra en behandling ska vara person- uppgiftsansvarig för behandlingen. Migrationsverket bör även vara personuppgiftsansvarigt för utlandsmyndigheternas automatise- rade personuppgiftsbehandling.

Migrationsverket, Polismyndigheten och Säkerhetspolisen ska vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.

Den personuppgiftsansvarige ska anmäla till Datainspek- tionen när ett personuppgiftsombud utses eller entledigas.

I den nya lagen bör som huvudregel gälla att den som utför själva behandlingen också ska ha personuppgiftsansvaret. Således bör Migrationsverket, Polismyndigheten och Säkerhetspolisen vara per- sonuppgiftsansvariga för den behandling som respektive myndighet utför.

Som framgår ovan gäller för närvarande särskilda regler för utlands- myndigheternas personuppgiftsbehandling. Det kan diskuteras om Migrationsverket även i fortsättningen bör ha personuppgiftsansva- ret för utlandsmyndigheterna. Vid denna bedömning bör beaktas vilken möjlighet Migrationsverket har att utöva kontroll och in- flytande över utlandsmyndigheternas personuppgiftsbehandling, till exempel vilken kontroll verket har över säkerheten vid person- uppgiftsbehandlingen på utlandsmyndigheterna.

De argument som kan framföras mot nuvarande ordning är att det är Utrikesdepartementet som äger och är anvarigt för utlands-

258

SOU 2015:73

En ny lag om behandling av personuppgifter…

myndigheternas lokaler och har ansvar för deras externa avtal. Migrationsverket och utlandsmyndigheterna ingår inte i någon gemensam myndighetsorganisation och Migrationsverket har inte en överordnad roll i förhållande till utlandsmyndigheterna. Efter- som utlandsmyndigheterna är underställda Utrikesdepartementet torde departementet ha bättre möjligheter än Migrationsverket till faktisk kontroll och inflytande över verksamheten.

Det som ändå talar för att nuvarande ordning ska bestå är att det är Migrationsverket som är tekniskt ansvarigt för de datasystem som utlandsmyndigheterna använder vid handläggning av sina vise- ringsärenden och olika tillståndsärenden. Behörigheten till data- systemen Wilma och W2 styrs av Migrationsverket. Uppgifterna hämtas från CUD. Det talar för att ansvaret bör ligga på Migrations- verket. Inget annat har heller framkommit än att nuvarande ordning har fungerat relativt väl. Vidare underlättar det för den enskilde om personuppgiftsansvaret är samlat hos en myndighet. Migrations- verket bör således även i fortsättningen ansvara för utlandsmyndig- heternas behandling av personuppgiftsbehandling enligt utlännings- och medborgarskapslagstiftningen. Ansvaret bör begränsas till ut- landsmyndigheternas automatiserade behandling, eftersom det är sådan behandling som Migrationsverket har möjlighet att utöva kon- troll över. Personuppgiftsansvaret för manuell behandling av person- uppgifter i register bör i stället ligga på utlandsmyndigheterna.

En myndighet har enligt 36 § PUL möjlighet att välja om ett personuppgiftsombud ska utses eller inte. Med hänsyn till omfatt- ningen av personuppgiftsbehandlingen och typen av uppgifter som behandlas inom verksamhet på utlännings- och medborgarskaps- området anser utredningen att det vore lämpligt att de personuppgifts- ansvariga myndigheterna var skyldiga att utse personuppgiftsom- bud. Att en myndighet utser ett personuppgiftsombud innebär att det finns en person som har ansvar för granskning och kontroll av den egna myndighetens verksamhet och för att behandlingen är laglig och korrekt. Det underlättar vidare för de enskilda som vill kontakta myndigheten i frågor som rör personuppgiftsbehandling att ha en särskild person att vända sig till. Migrationsverket, Polis- myndigheten och Säkerhetspolisen bör därför enligt utredningen vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det

259

En ny lag om behandling av personuppgifter…

SOU 2015:73

åligger myndigheten att utföra och anmäla dessa till Datainspek- tionen.

Utredningen har övervägt om även utlandsmyndigheterna bör vara skyldiga att utse personuppgiftsombud. Med tanke på att dessa myndigheter ser ganska olika ut och ofta är små har utredningen dock kommit till slutsatsen att det bör vara frivilligt för dessa myn- digheter om de vill ha ett personuppgiftsombud. I en del fall kan det säkert vara lämpligt.

7.9Ändamål

7.9.1Allmänt om ändamål

Personuppgiftslagens regelverk har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I 9 § PUL anges vissa grundläggande krav som den personuppgiftsansvarige måste leva upp till vid behandling av personuppgifter. Enligt punkten c får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. I punk- ten d anges den s.k. finalitetsprincipen enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Bestämmelserna innebär bland annat att den personuppgiftsansvariga redan vid insamlingen av upp- gifterna måste bestämma för vilket eller vilka ändamål insamlingen sker. De innebär också att vidarelämning av uppgifter måste föregås av en prövning av om mottagarens ändamål är oförenligt med de ursprungliga ändamålen eller inte.

Vid behandling av personuppgifter är ändamålsbestämmelsen således av central betydelse för skyddet för den personliga integri- teten. Ändamålet definierar vilka uppgifter som får behandlas och hur uppgifterna får behandlas. Ändamålet reglerar också hur länge uppgifterna får bevaras. Ändamålsbestämmelsen är den yttre ram som ska garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt. Bestämda ändamål begränsar den person- uppgiftsansvariges handlingsfrihet, vilket ska ge ett skydd för den enskildes personliga integritet.

260

SOU 2015:73

En ny lag om behandling av personuppgifter…

7.9.2Primära och sekundära ändamål

Registerlagar innehåller normalt dels ändamål som avser den berörda myndighetens eget behov av att behandla personuppgifter, dels ända- mål som reglerar i vilken utsträckning uppgifter som samlats in för myndighetens egen verksamhet får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. De förstnämnda ändamålen brukar kallas för primära och de sist- nämnda för sekundära. I registerförfattningar är det också vanligt att man i författningen redovisar de primära och sekundära ända- målen var för sig, se till exempel polisdatalagen (2010:361) och kust- bevakningsdatalagen (2012:145).

Det finns vidare olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilka behandling får ske, både primära och sekundära. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in i enlighet med finalitetsprin- cipen.

Det finns exempel på båda metoderna i senare lagstiftning. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verk- samhet anges uttömmande samtliga de ändamål för vilka behandling får ske, både de som gäller insamling av uppgifter och efterföljande behandling. I polisdatalagen och kustbevakningsdatalagen har i stället den andra metoden valts. I dessa lagar anges att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet. Valet av metod diskuteras bland annat i förarbetena till polisdatalagen och kustbevakningsdatalagen (se prop. 2009/10:85 s. 98 f. och prop. 2011/12:45 s. 101 f.). I propositionerna anförs att de primära ändamålen bör anges uttömmande. En annan fråga en- ligt propositionerna är om även de sekundära ändamålen bör anges uttömmande. Den fördel som ses med en sådan reglering är att lag- stiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förut- sättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart för både tillämpare och andra vilken person- uppgiftsbehandling som får förekomma med stöd av den aktuella lagen. Det anförs vidare i propositionerna att man i förarbetena till

261

En ny lag om behandling av personuppgifter…

SOU 2015:73

flera registerlagar dock har gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Att bedöma nuvarande och förutse framtida behov av att kunna utlämna uppgifter är särskilt svårt i en sådan varierad och omfattande verksamhet som polisens brottsbekämpande verk- samhet. Det konstateras att de sekundära ändamålen bör uttryckas så preciserat och fullständigt som möjligt men att vidarebehandling därutöver bör vara möjlig om den är förenlig med finalitetsprin- cipen. För andra sekundära ändamål än de som anges i lagen bör utlämnande alltså tillåtas under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet att lämna ut uppgifterna.

7.9.3Utredningens överväganden

Utredningens förslag: Personuppgifter får behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen ska anges i lagen. Utöver de ändamål som anges i lagen får insamlade personupp- gifter även behandlas för att tillhandahålla andra information, om tillhandahållandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Särskilda ändamål

I nuvarande utlänningsdataförordning finns vissa särskilda bestäm- melser om ändamål. Enligt 3 § utlänningsdataförordningen får personuppgifter behandlas i verksamhetsregister för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller författning, fullgörande av underrättelseskyldighet som följer av lag eller annan författning samt för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt test- verksamhet. Av 8 § framgår att Migrationsverket får föra automa- tiserade register för återsökning av vägledande avgöranden, rätts- utredningar och liknande rättslig information. Vidare anges i 9 § att Migrationsverket får föra ett fingeravtrycksregister som får användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl

262

SOU 2015:73

En ny lag om behandling av personuppgifter…

åberopats, i ärenden om avvisning och utvisning samt i testverk- samhet. Ändamålet testverksamhet tillkom genom en ändring i utlän- ningsdataförordningen som träder i kraft den 15 juli 2015 (SFS 2015:310).

På senare tid har frågan huruvida ändamål bör regleras på det sätt som i dag är brukligt i registerlagar diskuterats. Exempelvis menar Informationshanteringsutredningen att huvudregeln bör vara att det är den personuppgiftsansvariga myndigheten själv som, inom ramen för sitt uppdrag, närmare specificerar för vilket eller vilka ändamål personuppgifter behandlas i verksamheten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen, se SOU 2015:39 s. 277 f. Även om det finns skäl för Informationshanteringsutredningens överväganden i frågan anser utredningen att samma princip för ändamålsreglering som finns i dagens reglering på utlännings- och medborgarskapsområdet bör finnas i den nya lagstiftningen. Utgångs- punkten bör alltså vara att den nya lagen ska innehålla ändamåls- bestämmelser.

Frågan är då hur ändamålsbestämmelserna ska formuleras. Som ovan anges ska ändamålsbestämmelserna definiera gränserna för den tillåtna personuppgiftsbehandlingen. Bestämmelserna bör därför vara så tydliga och specificerade som möjligt. Enligt 9 § första stycket c PUL får personuppgifter endast samlas in för särskilda ändamål. Av denna bestämmelse följer enligt förarbetena till personuppgifts- lagen att en alltför allmänt hållen ändamålsangivelse inte kan godtas (se SOU 1997:39 s. 350 och prop. 1997/98:44 s. 120). Hur detal- jerad ändamålsangivelsen ska vara för att uppfylla lagens krav får dock enligt förarbetena avgöras i praxis och genom kompletterande föreskrifter. När det gäller hur ändamålen i en registerförfattning ska formuleras har regeringen emellertid uttalat att syftet med ändamålen i en registerförfattning är att ange en yttersta ram inom vilken personuppgifter får behandlas och att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt (se prop. 1997/98:97 s. 121).

Den verksamhet som ska regleras i den nya lagen är både om- fattande och mångskiftande och utförs av flera myndigheter. Följden blir att ändamålsbestämmelserna måste formuleras tämligen generellt. Samtidigt ska bestämmelserna uppfylla personuppgiftslagens krav på särskilda ändamål. Ändamålen måste vara tillräckligt preciserade

263

En ny lag om behandling av personuppgifter…

SOU 2015:73

för att det ska gå att kontrollera att personuppgifter endast behand- las för avsedda ändamål.

Vid den kartläggning som utredningen gjort av användningen av personuppgifter i verksamhet enligt utlännings- och medborgarskaps- lagstiftningen har framkommit att ändamålsregleringen i nuvarande utlänningsdataförordning stämmer väl överens med Migrations- verkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndig- heternas behov. Det är därför lämpligt att ändamålsbestämmelserna i den nya lagen har sin utgångspunkt i dessa bestämmelser. Behand- ling av personuppgifter bör således vara tillåtet för ändamålen hand- läggning av ärenden i enlighet med vad som följer av lag och förordning, fullgörande av underrättelseskyldighet som följer av lag och förordning samt för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet. Be- handling bör också vara tillåten för ändamålen återsökning av avgöranden, rättsutredningar och annan information samt informa- tion rörande förhållanden i andra länder. Men även ändamålet att lämna ut insamlade uppgifter till enskilda och andra myndigheter bör regleras.

Utredningen konstaterar i avsnitt 7.11.2 att lagen inte bör inne- hålla någon uppräkning av vilka uppgifter som får behandlas i verk- samheten motsvarande den som i dag finns i 4 § utlänningsdataför- ordningen. Det ska i stället bestämmas av ändamålet. Endast sådana uppgifter som är nödvändiga för ett i lagen angivet ändamål får behandlas. Det innebär att det är ännu viktigare att ändamålsbestäm- melserna är tydliga och inte alltför vida. En ytterligare specificering i förhållande till vad som gäller enligt utlänningsdataförordningen är därför lämpligt. Utredningens förslag på ändamålsbestämmelser beskrivs närmare nedan.

Utöver de i utlänningsdatalagen angivna särskilda ändamålen kommer personuppgiftsbehandlingen styras av de bestämmelser i personuppgiftslagen som ska gälla utöver utlänningsdatalagen. Det innebär att de grundläggande kraven på personuppgiftsbehand- lingen i 9 § PUL kommer att gälla även vid personuppgiftsbehand- ling enligt den nya lagen. Av denna bestämmelse följer bland annat att den personuppgiftsansvarige har ansvar för att de personupp- gifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter än

264

SOU 2015:73

En ny lag om behandling av personuppgifter…

nödvändigt behandlas. Även denna reglering begränsar således person- uppgiftsbehandlingen.

Den nya lagens ändamålsreglering och finalitetsprincipen

I den nya lagen kommer det, som närmare kommer att utvecklas nedan, att finnas både primära och sekundära ändamål. När det gäller innebörden av begreppen primära och sekundära ändamål, se av- snitt 7.9.2. Även i den nuvarande utlänningsdataförordningen finns båda slagen av ändamålsbestämmelser. Frågan är då om ändamålen i den nya lagen ska regleras uttömmande eller om myndigheterna ska ha möjlighet att behandla personuppgifter för något annat ändamål under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet.

Ändamålsregleringens utformning har tagits upp i utredningens direktiv. Där anges att det, som bland annat Integritetsskydds- kommittén har uppmärksammat i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22), numera förekommer att ut- tömmande ändamålsreglering leder till att ett utlämnande av upp- gifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (se SOU 2007:22 s. 464 f.). Utredaren ska därför enligt utredningens direktiv se till att föreslagen reglering inte innehåller några uttömmande ändamålsregleringar. Det finns olika möjligheter att utforma ända- målsregleringen. Det verkar, som har berörts ovan, finnas i princip två olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med de i lagen angivna ändamålet (jfr finalitetsprincipen). Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling får ske, vare sig det är fråga insamling av uppgifter eller efterföljande behandling.

En utgångspunkt för den nya lagen bör enligt utredningen vara att tillåtna ändamål ska anges så tydligt och fullständigt som möjligt. Särskilt viktigt är detta när det gäller de primära ändamålen. Det får således inte råda någon tvekan om vilken personuppgiftsbehandling som är tillåten i kärnverksamheten. Detta talar för att i vart fall de primära ändamålen bör anges uttömmande. Mot en sådan reglering

265

En ny lag om behandling av personuppgifter…

SOU 2015:73

talar att den nuvarande utlänningsdataförordningen inte är uttöm- mande i fråga om tillåtna ändamål. Senare behandling får således i dag ske för något annat ändamål än de som anges i förordningen förutsatt att ändamålet inte är oförenligt med det i förordningen angivna ändamålet. Såvitt är känt har denna möjlighet inte föranlett några olägenheter när det enskildas integritetsskydd. Utredningen har ändå stannat för slutsatsen att ett fullgott integritetsskydd kräver att regleringen av de primära ändamålen är uttömmande. En annan ordning skulle kunna leda till otydlighet och oförutsebarhet. De primära ändamålen bör således redovisas uttömmande i lagen. Uttalandet i utredningens direktiv avser rimligen inte de primära ändamålen utan tar sikte på hur de sekundära ändamålen bör ut- formas.

Vad därefter gäller de sekundära ändamålen finns det förstås för- delar om den regleringen också är uttömmande. Med en uttömmande reglering bestämmer man en gång för alla i vilken utsträckning upp- gifter ska få behandlas för att spridas till andra. En sådan reglering blir både tydlig och förutsebar. Det finns emellertid vissa nackdelar med att reglera de sekundära ändamålen uttömmande. Det är näm- ligen, som har berörts ovan, knappast möjligt att i en lag som den nu aktuella på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Mot den bakgrunden föreslår utredningen i enlighet med direktiven till ut- redningen att de sekundära ändamålen i den nya lagen inte ska anges uttömmande. Det ska alltså vara möjligt att i vissa fall kunna be- handla information för andra sekundära ändamål än de som anges i förslaget under förutsättning att det i det enskilda fallet inte kan anses vara oförenligt med insamlingsändamålet att lämna ut upp- gifterna.

Denna möjlighet bör alltså ses som en ventil, eftersom det inte går att förutse alla de fall då uppgifter bör kunna lämnas ut.

I den nya lagen kommer det således att finnas både primära och sekundära ändamål. De förstnämnda, alltså de ändamål som avser den berörda myndighetens eget behov av att behandla person- uppgifter, kommer att vara uttömmande. Uppgifter kan alltså inte behandlas för några andra primära ändamål än de särskilt angivna. Däremot kommer myndigheterna att ha möjlighet att lämna ut upp- gifter i enlighet med finalitetsprincipen.

266

SOU 2015:73

En ny lag om behandling av personuppgifter…

Nödvändighetskravet

Många registerförfattningar innehåller ändamålsbestämmelser som anger att en behandling av personuppgifter ska behövas eller vara nödvändig för de ändamål som anges i författningen (se till exem- pel 2 kap. 4 § patientdatalagen). Kravet att behandlingen ska vara nödvändig följer av dataskyddsdirektivets artikel 7. I bestämmelsen anges de principer som gör att personuppgiftsbehandling kan tillåtas. Av artikeln framgår att personuppgifter endast får behandlas om det är nödvändigt för vissa i artikeln angivna syften, såvida inte den registrerade otvetydigt lämnat sitt samtycke till behandlingen. Arti- kel 7 har genomförts i svensk rätt genom 10 § PUL och genom särskilda ändamålsbestämmelser i registerförfattningar.

I en kommentar till personuppgiftslagen anförs att nödvändig- hetskravets närmare innebörd inte är helt klart (Öman. S. m.fl., Personuppgiftslagen. En kommentar, 30 september 2014, Zeteo, kommentaren till 10 § ). Enligt Datalagskommittén, som bland annat hade till uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter i anledning av EU:s dataskyddsdirektiv, kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av per- sonuppgifter som omfattas av lagen. De flesta arbetsuppgifter kan rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt (se SOU 1997:39 s. 359). I senare förarbeten har det konstaterats att nödvändighets- kravet inte rimligen kan innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nöd- vändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg. En person- uppgift torde vara nödvändig att behandla för ett visst ändamål, om ändamålet inte kan realiseras om inte personuppgiften får användas (se SOU 1999:109 s. 156).

Prövning av om en behandling är nödvändig ska göras inte bara då en personuppgift samlas in och registreras utan även vid senare

267

En ny lag om behandling av personuppgifter…

SOU 2015:73

behandling av uppgiften, såsom vid fortsatt lagring, behandling för framställning av statistik eller utlämnande.

Som framgår ovan är nödvändighetskravet svårt att närmare defi- niera. Det kan framstå som olämpligt att i lagen införa ett begrepp som har en oklar betydelse. Utredningen bedömer ändå att det är lämpligt att införa ett krav på att personuppgifter får behandlas en- dast om det är nödvändigt för de i lagen angivna ändamålen. Enligt 4 § nuvarande utlänningsdataförordning får de personuppgifter som anges i paragrafen behandlas i den mån det är nödvändigt för det ändamål för vilket behandlingen utförs. Ett nödvändighetskrav gäller således redan i dag för behandling av personuppgifter i verk- samhetsregister i här aktuell verksamhet. Genom nödvändighets- kravet betonas att behandling av uppgifter inte ska ske slentrian- mässigt och att en bedömning av nödvändigheten måste göras innan en behandling påbörjas. Eftersom begreppet är hämtat från data- skyddsdirektivet och personuppgiftslagen, har viss praxis utvecklats på området. Utredningen anser därför att det är lämpligt att införa ett krav på att behandlingen ska vara nödvändig för de i lagen angivna ändamålen för att vara tillåten.

För vilka ändamål ska personuppgifter få behandlas?

Handläggning av ärenden eller en myndighets biträde i sådana ärenden

En stor del av den personuppgiftsbehandling som sker i dag utförs i samband med de olika myndigheternas handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen. Myndigheterna måste naturligtvis kunna inhämta, ta emot, lagra och på andra sätt behandla personuppgifter i samband med att myndigheten fullgör sina uppgifter enligt lag och förordning.

Begreppet handläggning bör i sammanhanget tolkas ganska vid- sträckt och innefatta alla moment som kan bli aktuella vid handlägg- ning av ett ärende. Bestämmelsen ger till exempel stöd åt Migrations- verkets behandling av personuppgifter i samband med mottagande, registrering och beredning av ärenden, förordnande av offentligt biträde, kommunikation med parter, kommunikation med andra tjänstemän inom samma myndighet i anledning av ärendet och upp- rättande och meddelande av beslut. Under denna punkt faller även

268

SOU 2015:73

En ny lag om behandling av personuppgifter…

Polismyndighetens personuppgiftsbehandling i kontroll- och verk- ställighetsärenden. Till sådan verksamhet räknas också till exempel att Polismyndigheten på elektronisk väg får tips om var personer som ska utvisas befinner sig eller att myndigheten själv använder sig av automatiserad behandling i syfte att identifiera och hitta personer vars beslut om avlägsnande ankommer på Polismyndigheten att verkställa. Därutöver ger bestämmelsen stöd för utlandsmyndighets personuppgiftsbehandling i den medverkan med utredning i Migra- tionsverkets, Polismyndighetens och Säkerhetspolisens handläggning av utlännings- och medborgarskapsärenden som sker med stöd av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepre- sentationen. Även den personuppgiftsbehandling som utförs i sam- band med Polismyndighetens och Säkerhetspolisens verkställande av Migrationsverket beslut om förvar faller under denna punkt.

Bestämmelsen ger också stöd åt att personuppgifter som samlats in för ett visst ärende behandlas i ett senare ärende som rör samma person eller i ett ärende som rör en annan person men där den registrerade förekommer som till exempel anhörig.

Den förslagna bestämmelsen avser endast behandling av person- uppgifter som behövs för den egna myndighetens handläggning. Utlämnande av uppgifter till andra myndigheter för deras handlägg- ning regleras på annat sätt, se nedan.

Kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige

Polismyndigheten utför personuppgiftsbehandling i samband med den yttre och inre utlänningskontrollen. Migrationsverket kan också medverka vid sådan kontrollverksamhet. Den yttre och inre utlän- ningskontrollen kan ha brottsbekämpande syfte, till exempel att upptäcka gränsöverskridande brottslighet. I sådana fall regleras per- sonuppgiftsbehandlingen av polisdatalagen. I andra fall är ända- målet med kontrollen att kontrollera den inresandes identitet och att kontrollera att han eller hon uppfyller de formella och materiella kraven enligt utlänningslagen, för rätt till inresa och vistelse i Sverige. I sådana fall bör personuppgiftsbehandlingen regleras av utlännings- datalagen. Den personuppgiftsbehandling som Migrationsverket utför i samband med kontrollverksamheten omfattas inte av någon annan särlagstiftning. Det bör således finnas en bestämmelse av

269

4. registrering i beskattnings-	4. registrering i beskattnings-
databasen.	databasen.