Socialförsäkringsutskottets betänkande

2020/21:SfU7

 

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Sammanfattning

Utskottet ställer sig bakom regeringens förslag till ändringar i utlänningsdata­lagen. Förslaget innebär att Migrationsverket, Polismyndigheten och utlands-myndigheterna i sin verksamhet enligt utlännings- och medborgarskaps-lagstiftningen kan få behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga it-system fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet.

Lagändringen föreslås träda i kraft den 1 december 2020.

Utskottet föreslår att riksdagen avslår två motionsyrkanden, varav ett om avslag på propositionen.

I betänkandet finns två reservationer (V).

Behandlade förslag

Proposition 2020/21:5 Behandling av känsliga personuppgifter i testverksam­het enligt utlänningsdatalagen.

Två yrkanden i en följdmotion.

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Reservationer

1.Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen, punkt 1 (V)

2.En utförligare integritetsanalys, punkt 2 (V)

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Följdmotionen

Bilaga 2
Regeringens lagförslag

Bilaga 3
Konstitutionsutskottets yttrande 2020/21:KU2y

 

 

Utskottets förslag till riksdagsbeslut

 

 

1.

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Riksdagen antar regeringens förslag till lag om ändring i utlänningsdatalagen (2016:27).

Därmed bifaller riksdagen proposition 2020/21:5 och avslår motion

2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 1.

 

Reservation 1 (V)

2.

En utförligare integritetsanalys

Riksdagen avslår motion

2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 2.

 

Reservation 2 (V)

Stockholm den 5 november 2020

På socialförsäkringsutskottets vägnar

Maria Malmer Stenergard

Följande ledamöter har deltagit i beslutet: Maria Malmer Stenergard (M), Rikard Larsson (S), Carina Ohlsson (S), Katarina Brännström (M), Teresa Carvalho (S), Solveig Zander (C), Elisabeth Björnsdotter Rahm (M), Julia Kronlid (SD), Emilia Töyrä (S), Hans Eklind (KD), Björn Petersson (S), Jonas Andersson i Skellefteå (SD), Mats Berglund (MP), Arin Karapet (M), Jennie Åfeldt (SD), Christina Höj Larsen (V) och Fredrik Malm (L).

 

 

 

 

 

Redogörelse för ärendet

I betänkandet behandlar utskottet proposition 2020/21:5 Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen. Med anledning av propositionen har en motion väckts. Regeringens förslag till riksdagsbeslut och förslagen i motionen finns i bilaga 1. Regeringens lag-förslag finns i bilaga 2.

Lagrådet har yttrat sig och hade inga invändningar mot regeringens förslag.

Socialförsäkringsutskottet beslutade den 13 oktober 2020 att ge konstitu­tionsutskottet tillfälle att yttra sig över propositionen och motionen i de delar de berör konstitutionsutskottets beredningsområde. Konstitutionsutskottets yttrande finns i bilaga 3.

 

Utskottets överväganden

Behandling av känsliga personuppgifter i testverk­samhet enligt utlänningsdatalagen

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till ändringar i utlänningsdata­lagen.

Riksdagen avslår motionsyrkanden om att avslå propositionen och om en utförligare integritetsanalys.

Jämför reservation 1 (V) och 2 (V).

Gällande ordning

EU-rättsliga krav på kontroll av biometriska uppgifter

Flera EU-rättsakter som rör utlänningars inresa, utresa och vistelse i medlems­staterna innehåller bestämmelser som möjliggör eller kräver behandling av biometriska uppgifter.

I artikel 4.14 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphä­vande av direktiv 95/46/EG (här benämnd dataskyddsförordningen) anges att biometriska uppgifter definieras som personuppgifter som fåtts fram genom en särskild teknisk behandling som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifie-ringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksupp­gifter. I skäl 51 i dataskyddsförordningen anges bl.a. att behandling av foton inte systematiskt bör anses utgöra behandling av känsliga personuppgifter eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person.

Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelands-medborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011 trädde i kraft i slutet av 2017.

För användningen av in- och utresesystemet genomfördes samtidigt ändringar i Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer.

Utlänningsdatalagen

Utlänningsdatalagen (2016:27), förkortad UdL, är en registerförfattning som kompletterar dataskyddsförordningen (4 a § UdL). Lagen innehåller bestämmelser om Migrationsverkets, Polismyndighetens och utlands-myndigheternas behandling av personuppgifter i deras verksamhet enligt utlännings- och medborgarskapslagstiftningen. Syftet med lagen är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 § UdL).

I 11 och 12 §§ UdL anges för vilka primära ändamål som myndigheterna får behandla personuppgifter. Personuppgifter får behandlas bl.a. om det behövs för att kontrollera en utlänning i samband med inresa och utresa samt för kontroll under vistelsen i Sverige. Personuppgifter får även behandlas om det behövs för att utföra testverksamhet.

Behandling av känsliga personuppgifter

Känsliga personuppgifter förekommer i stor utsträckning i den verksamhet som bedrivs på utlännings- och medborgarskapsområdet. Enligt 14 § första stycket UdL får känsliga personuppgifter behandlas för samtliga primära ändamål i 11 § UdL utom testverksamhet. Känsliga personuppgifter får endast behandlas om det är absolut nödvändigt för syftet med behandlingen. Vid behandlingen av känsliga personuppgifter finns det inga begränsningar av vilka slags uppgifter som får behandlas eller vilka myndigheter som får behandla dem (14 § första stycket 1 UdL).

Bestämmelserna om känsliga personuppgifter i 14 § UdL hindrar inte att sådana personuppgifter behandlas med stöd av 15 § UdL, enligt vilken Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Fotografi och fingeravtryck får tas bl.a. om en utlänning inte kan styrka sin identitet när han eller hon kommer till Sverige. Uppgifter om fingeravtryck eller fotografier i registren får användas i testverksamhet (15 § andra stycket 3 UdL).

Propositionen

När EU-förordningarna börjar tillämpas fullt ut kommer biometriska uppgifter att kunna användas för olika kontroller. Enligt regeringen innebär det att gräns­myndigheterna kommer att kunna använda sig av bl.a. ansiktsigenkänning och verifiering av fingeravtryck för att kontrollera tredjelandsmedborgares identi­tet i samband med gränskontroller. Vissa in- och utresekontroller kommer att kunna genomföras via självbetjäningssystem som hanterar biometriska upp­gifter. Det finns även bestämmelser som gör det möjligt att använda biometriska uppgifter för att kontrollera utlänningars identitet inom medlemsstaternas territorium. In- och utresesystemet beräknas tas i drift under 2022. Som utlänningsdatalagen är utformad i dag kan enligt propositionen Polismyndigheten, Migrationsverket och utlandsmyndigheterna inte utföra tester med känsliga personuppgifter, som exempelvis biometriska uppgifter.

Regeringen anser att förbudet mot att behandla känsliga personuppgifter i testverksamhet innebär ett hinder för berörda myndigheter att skapa och utveckla nya tekniska system som är nödvändiga för att kunna utföra kontroller som de är skyldiga att utföra, t.ex. kontroll av biometriska uppgifter. En programvara behöver testas och valideras på verkliga förhållanden när det gäller förmågan att exempelvis jämföra nytagna ansiktsbilder med befintliga ansiktsbilder i chip och på bild i olika länders resehandlingar. Det är enligt regeringen inte möjligt att utföra nödvändiga tester och validering av tekniken för ansiktsigenkänning utan ansiktsbilder som visar t.ex. glasögon, smink, frisyrer och huvudbonader. Regeringen anser att det t.o.m. kan diskuteras om det över huvud taget är tekniskt möjligt att ta tekniska system i drift utan en föregående testperiod. Även befintliga it-system kan enligt regeringen behöva kontrolleras genom tester så att de fungerar på ett effektivt och rättssäkert sätt. Regeringen hänvisar till att Datainspektionen i december 2019, inom ramen för ett förhandssamråd om en planerad pilotstudie med biometrisk ansikts-verifiering vid Skavsta flygplats, bedömde att Polismyndigheten har ett uppenbart behov av att kunna behandla känsliga personuppgifter i testverk­samhet men att det saknas lagstöd för det i utlänningsdatalagen.

Regeringen föreslår sammanfattningsvis att utlänningsdatalagen ändras så att känsliga personuppgifter kan få behandlas i testverksamheten.

I propositionen anges att samma höga krav ska ställas vid behandling av känsliga personuppgifter i testverksamhet som i skarp drift och behandlingen ska bara vara tillåten om uppgifterna är absolut nödvändiga för syftet med behandlingen. Mot den bakgrunden anser regeringen att det saknas anledning att lämna förslag om att begränsa vilka kategorier av känsliga personuppgifter som får behandlas i testverksamhet eller vilka myndigheter som får behandla uppgifterna.

Regeringen föreslår att lagändringen ska träda i kraft den 1 december 2020.

Motionen

Christina Höj Larsen m.fl. (V) begär i kommittémotion 2020/21:399 yrkande 1 att riksdagen ska avslå regeringens proposition. Motionärerna anser att regeringen inte i tillräcklig utsträckning tagit hänsyn till de problem och risker som uppstår när en mer omfattande testverksamhet ska tillåtas. Bland annat behöver det göras en utförligare integritetsanalys som visar att förslagen står i proportion till integritetsintrånget. I yrkande 2 begärs ett tillkänna-givande om att regeringen bör återkomma med förslag utifrån propositionen som innefattar en utförligare analys av riskerna när det gäller skyddet för den personliga integriteten.

Konstitutionsutskottets yttrande

Konstitutionsutskottet har yttrat sig över propositionen och motionen. Yttran­det har begränsats till att avse frågor om skyddet för den personliga integrite­ten. I yttrandet anför konstitutionsutskottet bl.a. följande:

Utskottet vill inledningsvis betona vikten av att värna den enskildes per­sonliga integritet. Lagförslag bör föregås av en noggrann analys av konse­kvenserna för den personliga integriteten, och en avvägning måste göras mellan integritetsskyddsintresset och det intresse som motiverar lagförsla­get. En inskränkning av skyddet för den personliga integriteten får inte gå längre än vad som är nödvändigt med hänsyn till det ändamål som har för­anlett den.

Utskottet konstaterar att regeringen bemöter remissinstansernas syn­punkter och redogör utförligt för sina överväganden när det gäller försla­gets konsekvenser för den personliga integriteten. Regeringen redogör även för den avvägning som har gjorts mellan integritetsskyddsintresset och intresset av att berörda myndigheter ska kunna skapa och utveckla nya tekniska system och kontrollera befintliga it-system som är nödvändiga för att utföra kontroller som myndigheterna är ålagda att utföra. Regeringen framhåller att de krav som dataskyddsförordningen uppställer på bl.a. öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet givetvis måste uppfyllas även vid testverksamhet.

Utifrån de utgångspunkter som konstitutionsutskottet har att beakta har utskottet inget att invända mot att propositionen bifalls och att motion 2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 1 och 2 avslås.

Utskottets ställningstagande

Regeringens lagförslag innebär att Migrationsverket, Polismyndigheten och utlandsmyndigheterna i sin verksamhet enligt utlännings- och medborgar­skapslagstiftningen kan få behandla känsliga personuppgifter för att t.ex. kon­trollera att befintliga it-system fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samar­betet. Utskottet delar regeringens bedömning att det är nödvändigt att kunna behandla känsliga personuppgifter i testverksamhet. I likhet med regeringen anser utskottet att samma krav bör gälla för behandling av känsliga person­uppgifter i testverksamhet som vid behandling i skarp drift och att behandlingen bara ska vara tillåten om uppgifterna är absolut nödvändiga för syftet med behandlingen. Konstitutionsutskottet, som har yttrat sig över regeringens lagförslag i fråga om skyddet för den personliga integriteten, har inget att invända mot att propositionen bifalls.

Med det anförda tillstyrker utskottet propositionen och avslår därmed motion 2019/20:399 (V) yrkande 1. Enligt utskottets mening är det inte aktuellt för riksdagen att göra tillkännagivande om en mer gedigen analys av konsekvenserna för den personliga integriteten. Utskottet avstyrker därför även motionens yrkande 2.

Reservationer

 

 

 

1.

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen, punkt 1 (V)

av Christina Höj Larsen (V).

Förslag till riksdagsbeslut

Jag anser att förslaget till riksdagsbeslut under punkt 1 borde ha följande lydelse:

Riksdagen avslår regeringens förslag.

Därmed bifaller riksdagen motion

2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 1 och

avslår proposition 2020/21:5.

 

 

Ställningstagande

Det är viktigt att tillräcklig testverksamhet och liknande kan genomföras innan it-system sätts i drift. Det är emellertid beklagligt att regeringen i detta fall inte i tillräcklig utsträckning tagit hänsyn till de problem och risker som finns med att tillåta en mer omfattande testverksamhet. Flera remissinstanser har efterlyst dels en närmare analys av riskerna för enskildas personliga integritet och alternativa mindre integritetskränkande tillvägagångssätt, dels efterfrågat en analys av om det finns ett behov som motiverar att förbudet mot att behandla känsliga personuppgifter i testverksamhet helt slopas. Vidare har det påtalats att det är oklart vad som utgör behandling av biometriska uppgifter och att det behövs ytterligare vägledning när det gäller bedömningen av vad som utgör en ”absolut nödvändig” behandling.

Sammantaget har regeringens förslag så stora brister att propositionen bör avslås.

 

 

 

 

 

2.

En utförligare integritetsanalys, punkt 2 (V)

av Christina Höj Larsen (V).

Förslag till riksdagsbeslut

Jag anser att förslaget till riksdagsbeslut under punkt 2 borde ha följande lydelse:

Riksdagen ställer sig bakom det som anförs i reservationen och tillkännager detta för regeringen.

Därmed bifaller riksdagen motion

2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 2.

 

 

Ställningstagande

Bristerna i regeringens förslag är så stora att lagförslagen inte bör antas. Frågor om den personliga integriteten bör ges större vikt i ett lagstiftningsärende av detta slag. Regeringen bör därför återkomma till riksdagen med ett mer genomarbetat förslag för att kunna möjliggöra testverksamhet. Förslaget måste innefatta en mer gedigen analys av riskerna när det gäller den personliga integriteten. Detta bör riksdagen ställa sig bakom och tillkännage för regeringen. 

 

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2020/21:5 Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen:

Riksdagen antar regeringens förslag till lag om ändring i utlänningsdatalagen (2016:27).

Följdmotionen

2020/21:399 av Christina Höj Larsen m.fl. (V):

1.Riksdagen avslår proposition 2020/21:5 Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen.

2.Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör återkomma med förslag utifrån proposition 2020/21:5 Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen som innefattar en gedigen analys av risker när det gäller den personliga integriteten och tillkännager detta för regeringen.

 

 

 

Bilaga 2

Regeringens lagförslag

 

Bilaga 3

Konstitutionsutskottets yttrande 2020/21:KU2y