Justitieutskottets betänkande

2018/19:JuU18

 

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform

Sammanfattning

Utskottet ställer sig bakom regeringens förslag till ändringar i lagen om passagerarregister och utlänningslagen. Lagändringarna syftar till att dels anpassa lagstiftningen till EU:s dataskyddsreform, dels göra regleringen mer ändamålsenlig. Lagändringarna föreslås träda i kraft den 1 maj 2019.

Utskottet föreslår även ett tillkännagivande med anledning av ett motionsyrkande. Enligt utskottet bör regeringen vidta åtgärder för att ge Tullverket direktåtkomst till personuppgifterna i passagerarregistret.

I ärendet finns ett särskilt yttrande (V).

Behandlade förslag

Proposition 2018/19:37 Anpassning av lagen om passagerarregister till EU:s dataskyddsreform.

Ett yrkande i en följdmotion.

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform

Särskilt yttrande

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform, punkt 1 (V)

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Följdmotionen

Bilaga 2
Regeringens lagförslag

 

 

Utskottets förslag till riksdagsbeslut

 

 

1.

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform

Riksdagen antar regeringens förslag till

1. lag om ändring i lagen (2006:444) om passagerarregister,

2. lag om ändring i utlänningslagen (2005:716).

Därmed bifaller riksdagen proposition 2018/19:37 punkterna 1 och 2.

 

2.

Direktåtkomst för Tullverket

Riksdagen ställer sig bakom det som utskottet anför om att ge Tullverket direktåtkomst till personuppgifterna i passagerarregistret och tillkännager detta för regeringen.

Därmed bifaller riksdagen motion

2018/19:3024 av Johan Pehrson och Jonny Cato Hansson (L, C).

 

Stockholm den 14 mars 2019

På justitieutskottets vägnar

Fredrik Lundh Sammeli

Följande ledamöter har deltagit i beslutet: Fredrik Lundh Sammeli (S), Andreas Carlson (KD), Johan Forssell (M), Petter Löberg (S), Adam Marttinen (SD), Maria Strömkvist (S), Linda Westerlund Snecker (V), Louise Meijer (M), Katja Nyberg (SD), Joakim Sandell (S), Carina Ödebrink (S), Juno Blom (L), Rasmus Ling (MP), Ingemar Kihlström (KD), Josefin Malmqvist (M), Jonny Cato Hansson (C) och Lars Andersson (SD).

 

 

 

 

Redogörelse för ärendet

I betänkandet behandlar utskottet proposition 2018/19:37 Anpassning av lagen om passagerarregister till EU:s dataskyddsreform. Regeringen föreslår vissa ändringar i lagen (2006:444) om passagerarregister och utlänningslagen (2005:716). Lagändringarna syftar till att dels anpassa lagstiftningen till EU:s dataskyddsreform, dels göra regleringen mer ändamålsenlig. Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.

En motion har väckts med anledning av propositionen. Förslaget i motionen finns i bilaga 1.

 

 

Utskottets överväganden

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till ändringar i lagen om passagerarregister och utlänningslagen. Lagändringarna syftar till att dels anpassa lagstiftningen till EU:s dataskyddsreform, dels göra regleringen mer ändamålsenlig.

Riksdagen gör vidare ett tillkännagivande om att regeringen bör vidta åtgärder för att ge Tullverket direktåtkomst till personuppgifterna i passagerarregistret.

Jämför det särskilda yttrandet (V). 

Bakgrund

EU:s dataskyddsreform

Europeiska unionens (EU) nya dataskyddsreglering består huvudsakligen av två rättsliga instrument. Det ena är dataskyddsförordningen[1] och det andra är dataskyddsdirektivet[2]. Detta innebär bl.a. att reglerna om personuppgiftsbehandling finns i två parallella regelverk.

Dataskyddsförordningen utgör från och med den 25 maj 2018 grunden för generell personuppgiftsbehandling inom EU. Förordningen är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerade nationella bestämmelser av olika slag. I dataskyddslagen (2018:218) finns bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt.

Dataskyddsdirektivet innehåller bestämmelser om skydd för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även en sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Dataskyddsdirektivet genomfördes i huvudsak genom brottsdatalagen (2018:1177) som trädde i kraft den 1 augusti 2018. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan författning.

Lagen om passagerarregister

Europeiska unionens råd antog den 29 april 2004 direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare, det s.k. API-direktivet (API, Advance Passager Information, förhandsinformation om passagerare). I direktivet regleras flygtransportörers skyldighet att översända förhandsinformation om passagerare (API-uppgifter) till behöriga nationella myndigheter. Syftet med direktivet är att förbättra gränskontrollerna och att bekämpa olaglig invandring. Direktivet utgör också ett led i kampen mot terrorism.

API-direktivets bestämmelser om transportörers uppgiftsskyldighet har i Sverige genomförts genom bestämmelserna i 9 kap. 3 a–f §§ utlänningslagen (2005:716). Bestämmelserna innebär att en transportör som luftvägen transporterar passagerare till Sverige ska på begäran av Polismyndigheten överföra uppgifter om de ankommande passagerarna så snart incheckningen avslutats om passagerarna kommer direkt från en stat som inte tillhör Europeiska unionen och inte heller har slutit avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. Informationen ska föras över till Polismyndigheten som ska spara uppgifterna i ett passagerarregister. Uppgiftsskyldigheten omfattar bl.a. namn, födelsedatum, medborgarskap, avgångs- och ankomsttid för transporten samt det totala antalet passagerare vid transporten.

Lagen om passagerarregister (2006:444) är en registerförfattning som reglerar hur API-uppgifterna som har förts över till Polismyndigheten får behandlas. Av lagen framgår bl.a. att ändamålet med registret är att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna (4 §). Lagen innehåller vidare bestämmelser om utlämnande av uppgifter, direktåtkomst, rättelse och skadestånd. Lagen gäller i dag utöver personuppgiftslagen (1998:204). Om bestämmelserna i lagen om passagerarregister avviker från bestämmelserna i personuppgiftslagen ska alltså bestämmelserna i lagen om passagerarregister tillämpas.

Propositionen

Behandlingen av personuppgifter enligt lagen om passagerarregister faller enligt regeringen inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde, eftersom syftet med personkontrollen kan vara såväl att förbättra gränskontrollerna som att bekämpa olaglig invandring. I det enskilda fallet blir det myndigheten och den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig. Det finns därför behov av att se över vilka anpassningar av lagens bestämmelser som krävs i förhållande till båda regelverken.

Inledningsvis konstaterar regeringen att dataskyddsförordningen och brottsdatalagen ger utrymme för en sådan särskild reglering om behandling av personuppgifter som finns i lagen om passagerarregister. Många av bestämmelserna i lagen om passagerarregister är också förenliga med dataskyddsförordningen och brottsdatalagen. I några fall krävs dock vissa mindre lagändringar.

Bestämmelsen i lagen om passagerarregister om hur lagen förhåller sig till personuppgiftslagen ska upphävas, och alla hänvisningar till personuppgiftslagen ska tas bort och i stället införs en bestämmelse som klargör att lagen kompletterar EU:s dataskyddsförordning. Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till lagen.

Vidare införs en bestämmelse om att brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla när en behörig myndighet behandlar personuppgifter enligt lagen om passagerarregister för syften som faller inom brottsdatalagens tillämpningsområde, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till lagen.

När det gäller enskildas rättigheter upphävs bestämmelsen om rättelse i lagen om passagerarregister eftersom bestämmelser om rättelse i dataskyddsförordningen och brottsdatalagen kommer att bli direkt tillämpliga. I lagens bestämmelse om skadestånd införs en hänvisning till brottsdatalagens bestämmelse om skadestånd.

Det införs en möjlighet att lämna ut personuppgifter ur passagerarregistret elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Regeringen ska genom föreskrifter kunna begränsa möjligheten att tillhandahålla personuppgifter på detta sätt.

Slutligen ska bestämmelsen i utlänningslagen om transportörers skyldighet att informera passagerare enligt personuppgiftslagen upphävas. Det finns inte längre något behov av dessa bestämmelser eftersom bestämmelserna i dataskyddsförordningen om information och tillgång till personuppgifter är direkt tillämpliga.

De förslag som är aktuella innebär enligt regeringen en viss förstärkning av enskildas skydd för den personliga integriteten. Förslaget om att personuppgifter i passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsbekämpande arbetet. Förslagen förväntas inte få några andra konsekvenser.

Lagändringarna föreslås träda i kraft den 1 maj 2019.

Direktåtkomst

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informationshanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (SOU 2015:39 s. 390 f.).

I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för ett register eller en databas saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Från integritetssynpunkt har det därför ansetts viktigt att frågor om tillgång till uppgifter genom direktåtkomst regleras särskilt i registerlagstiftningarna (se t.ex. prop. 2000/01:129 s. 73 f. och prop. 2001/02:144 s. 35 f.).

I 8 § lagen om passagerarregister anges att Säkerhetspolisen får ha direktåtkomst till personuppgifterna i passagerarregistret för en sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. Regeringen får meddela föreskrifter om att även en annan myndighet får ha direktåtkomst till registret för en sådan verksamhet. Regeringen har inte utnyttjat sin föreskriftsrätt.

Av propositionen framgår att Tullverket i en skrivelse till regeringen har begärt att få direktåtkomst till personuppgifterna i passagerarregistret på samma sätt som Säkerhetspolisen har i dag. Dessutom har Polismyndigheten i sitt remissvar anfört att det finns skäl att bevilja Tullverket direktåtkomst. Enligt Polismyndigheten kan en sådan åtkomst stärka Tullverkets möjligheter att bidra till att identifiera och ingripa mot internationella stöldligor.

Regeringen konstaterar att man när lagen om passagerarregister infördes resonerade kring frågan om någon annan myndighet än polismyndigheterna, t.ex. Tullverket, borde kunna begära in passageraruppgifter från transportörerna samt ges direktåtkomst till registret (prop. 2005/06:129 s. 37 f. och s. 79). Det anfördes bl.a. att polisen och Tullverket hade träffat en central överenskommelse om samverkan när det gäller person- och tullkontroll vid yttre gräns. Samtidigt påpekades att Tullverket inte helt hade övertagit ansvaret för personkontroll vid någon flygplats. Om Tullverket eller någon annan myndighet i framtiden skulle få ett sådant ansvar borde de enligt regeringen dock få samma befogenheter som polisen när det gäller möjligheten att begära in uppgifter samt ges direktåtkomst till registret. Regeringen gavs därför föreskriftsrätt om bl.a. direktåtkomst.

Vidare konstateras propositionen som är aktuell nu att det är Polismyndigheten som ansvarar för personkontrollen vid Sveriges yttre gräns. För närvarande bistår Tullverket Polismyndigheten endast i mycket begränsad omfattning vid personkontroller. Tullverket har inte heller övertagit ansvaret för personkontroll vid någon flygplats.

Mot denna bakgrund anser regeringen att det för närvarande saknas skäl att frångå den bedömning som regeringen gjorde när lagen om passagerarregister infördes när det gäller Tullverkets möjlighet till direktåtkomst. För det fall Tullverket framöver i större utsträckning skulle bistå Polismyndigheten vid personkontroller finns det dock möjlighet att, enligt 8 § andra stycket lagen om passagerarregister, föreskriva i en förordning att Tullverket får ha direktåtkomst till personuppgifterna i passagerarregistret. Det bör dock enligt regeringen, med anledning av Polismyndighetens remissvar, påpekas att det enligt lagens bestämmelser inte är möjligt att använda personuppgifterna för andra ändamål än för att underlätta verkställandet av personkontroller. En ändring av denna begränsning kräver en större översyn som inte kan tas om hand inom ramen för denna anpassning av lagens bestämmelser till EU:s dataskyddsreform.

Motionen

I kommittémotion 2018/19:3024 av Johan Pehrson och Jonny Cato Hansson (L, C) begärs att Tullverket ska få direktåtkomst till personuppgifterna i passagerarregistret. Enligt motionärerna finns det ett påtagligt behov av att vidta åtgärder för att försvåra för bl.a. internationella stöldligor att bedriva brottslighet i Sverige. Genom att Tullverket får direktåtkomst till passagerarregistret ges myndigheten bättre förutsättningar för sin brottsbekämpande verksamhet.

Utskottets ställningstagande

Utskottet konstaterar att det i dag endast är Säkerhetspolisen som har direktåtkomst till personuppgifterna i passagerarregistret. Regeringen har visserligen möjlighet att föreskriva att även andra myndigheter ska ha rätt till direktåtkomst, men denna befogenhet har man hittills inte utnyttjat. Som framkommer ovan har Tullverket begärt att få direktåtkomst till personuppgifterna i passagerarregistret på samma sätt som Säkerhetspolisen har i dag. Vidare har Polismyndigheten i sitt remissvar anfört att det finns skäl att bevilja Tullverket en sådan direktåtkomst.

Det finns inte minst av integritetsskäl anledning att vara restriktiv med att utöka myndigheters rätt till direktåtkomst till personuppgifter hos andra myndigheter. Samtidigt konstaterar utskottet att Tullverket genom de lagändringar som nu föreslås i normalfallet kommer att kunna få ut personuppgifter i passagerarregistret elektroniskt. Den mest påtagliga effekten av att inte ha rätt till direktåtkomst blir därför att det tar längre tid för Tullverket att få tillgång till uppgifterna. Mot denna bakgrund anser utskottet att Tullverket bör ges direktåtkomst till personuppgifterna i passagerarregistret. Utskottet bedömer att detta, även med hänsyn tagen till ändamålsbestämmelsen i 4 § lagen om pasageraregister, ger Tullverket bättre förutsättningar att bekämpa bl.a. stöldligor. Utskottet föreslår att riksdagen tillkännager detta för regeringen. Därmed tillstyrker utskottet motion 2018/19:3024 (L, C).

I övrigt anser utskottet att regeringens lagförslag är ändamålsenligt utformade och att de bör antas. Utskottet tillstyrker således propositionen i sin helhet.

 

Särskilt yttrande

 

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform, punkt 1 (V)

Linda Westerlund Snecker (V) anför:

 

 

Vänsterpartiet var kritiskt till att anta API-direktivet och menade att det innebär en skärpning av det s.k. transportöransvaret som kortsluter Genèvekonventionen och driver transportörerna till diskriminering på grund av ras och hudfärg. Denna kritik kvarstår än i dag.

Terrorism är ett hot som måste tas på allvar, oavsett var i världen det sker. När terrorn visar sig i all sin grymhet och omänsklighet är det naturligt att det höjs rop på snabba åtgärder. En framstressad symbolpolitik som innebär långtgående inskränkningar av fri- och rättigheter, utan att ge intryck av att uppnå syftet som är att motverka terrorism, framstår dock inte som rätt väg att gå. Metoderna för att bekämpa och motverka terrorism måste vara effektiva, rättssäkra och väl avvägda. Jag anser att den form av massregistrering av uppgifter om personer som inte är misstänkta för brott som API-direktivet innebär inte uppfyller dessa krav.

Även om jag således är kritisk till direktivet i sig konstaterar jag att det huvudsakliga syftet med de lagändringarna som föreslås nu är att genomföra de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Jag har inget att erinra mot detta och kan därför ställa mig bakom regeringens förslag till lagändringar.

 

.

 

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2018/19:37 Anpassning av lagen om passagerarregister till EU:s dataskyddsreform:

1.Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:444) om passagerarregister.

2.Riksdagen antar regeringens förslag till lag om ändring i utlänningslagen (2005:716).

Följdmotionen

2018/19:3024 av Johan Pehrson och Jonny Cato Hansson (L, C):

Riksdagen ställer sig bakom det som anförs i motionen om direktåtkomst för Tullverket till personuppgifterna i passagerarregistret och tillkännager detta för regeringen.

 

 

 

Bilaga 2

Regeringens lagförslag


[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

[2] Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.