Regeringens proposition 2020/21:5
| Behandling av känsliga personuppgifter i | Prop. |
| testverksamhet enligt utlänningsdatalagen | 2020/21:5 |
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 10 september 2020
Stefan Löfven
Morgan Johansson (Justitiedepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår att känsliga personuppgifter ska få behandlas i testverksamhet enligt utlänningsdatalagen om uppgifterna är absolut nödvändiga för syftet med behandlingen. Förslaget innebär att Migrationsverket, Polismyndigheten och utlandsmyndigheterna i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen kan få behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga itsystem fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet.
Lagändringen föreslås träda i kraft den 1 december 2020.
1
Prop. 2020/21:5
2
Innehållsförteckning
| 1 | Förslag till riksdagsbeslut | Prop. 2020/21:5 |
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om ändring i utlänningsdatalagen (2016:27).
3
Prop. 2020/21:5
4
2Förslag till lag om ändring i utlänningsdatalagen (2016:27)
Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.
Nuvarande lydelseFöreslagen lydelse
14 §1
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas
| 1. för de ändamål som anges i | 1. för de ändamål som anges i |
| 11 § |
11 och 13 §§ om uppgifterna är |
| uppgifterna är absolut nödvändiga | absolut nödvändiga för syftet med |
| för syftet med behandlingen, eller | behandlingen, eller |
2.i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2.föreskrifter om gallring.
Denna lag träder i kraft den 1 december 2020.
1Senaste lydelse 2018:1611.
| 3 | Ärendet och dess beredning | Prop. 2020/21:5 |
Flera
Det har inom Justitiedepartementet utarbetats en promemoria som behandlar frågan om känsliga personuppgifter bör få användas i testverksamhet i sådan behandling som sker med stöd av utlänningsdatalagen. En sammanfattning av promemorian finns i bilaga 1 och promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3.
Promemorian och remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2020/00975/L7).
Lagrådet
Regeringen beslutade den 4 juni 2020 att inhämta Lagrådets yttrande över lagförslaget i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslaget utan erinran. I förhållande till lagrådsremissen föreslås att ikraftträdandet tidigareläggs med en månad. Denna ändring är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över förslaget.
4Nuvarande bestämmelser om behandling av känsliga personuppgifter
Grundläggande reglering om skydd av den personliga integriteten
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i detta skydd får endast göras
genom lag och bara för att tillgodose ändamål som är godtagbara i ett
5
Prop. 2020/21:5 demokratiskt samhälle (2 kap. 20 och 21 §§ regeringsformen). För andra än svenska medborgare får skyddet dock begränsas genom lag utan de särskilda krav som följer av 2 kap. 21 § regeringsformen (2 kap. 25 § första stycket 3 regeringsformen).
6
Grundlagsskyddet omfattar enbart betydande intrång i den personliga integriteten. I förarbetena till bestämmelsen framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183).
Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller Europakonventionen och vissa av dess tilläggsprotokoll som lag i Sverige. Av 2 kap. 19 § regeringsformen följer att lag och annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8 i konventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se exempelvis
Dataskyddsförordningens bestämmelser om känsliga personuppgifter
Behandling av personuppgifter som sker i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt
utlännings- och medborgarskapslagstiftningen omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, här benämnd dataskyddsförordningen).
För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen måste minst ett av de villkor som anges i artikel 6.1
förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. De rättsliga grunderna i artikel 6.1 c och e ska vara fastställda i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för personuppgiftsbehandling (artikel 6.3 första stycket). Vidare ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.3 andra stycket).
Dataskyddsförordningen innehåller ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I svensk rätt betecknas sådana personuppgifter som känsliga personuppgifter (se t.ex. 14 § första stycket utlänningsdatalagen).
Förbudet i dataskyddsförordningen mot behandling av känsliga personuppgifter kompletteras av ett antal undantag som gör det möjligt att behandla sådana personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).
Utlänningsdatalagen kompletterar dataskyddsförordningen
Utlänningsdatalagen är en registerförfattning som kompletterar dataskyddsförordningen (4 a §). Lagen innehåller bestämmelser om Migrationsverkets, Polismyndighetens och utlandsmyndigheternas behandling av personuppgifter i deras verksamhet enligt utlännings- och medborgarskapslagstiftningen. Syftet med lagen är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 §). Lagen gäller bl.a. behandling av personuppgifter i myndigheternas verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige (2 § 1 och 2 samt 3 §). Utlänningsdatalagen gäller dock inte all personuppgiftsbehandling som myndigheterna utför inom migrationsrättsområdet. Enligt 5 och 6 §§ är t.ex. vissa
Prop. 2020/21:5
7
Prop. 2020/21:5 eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora
8
I 11 och 12 §§ utlänningsdatalagen anges för vilka primära ändamål som myndigheterna får behandla personuppgifter. Personuppgifter får behandlas bl.a. om det behövs för att kontrollera en utlänning i samband med inresa och utresa samt för kontroll under vistelsen i Sverige (11 § 2). Personuppgifter får även behandlas om det behövs för att utföra testverksamhet (11 § 5). I förarbetena till utlänningsdatalagen uppgav regeringen att myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen ofta har ett behov av att kunna använda personuppgifter i testverksamhet. Testverksamheten kan t.ex. handla om att kontrollera att befintliga
I propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning bedömde regeringen att den behandling av personuppgifter som får utföras enligt utlänningsdatalagen är tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen (prop. 2017/18:254 s. 14 f.).
Utlänningsdatalagens bestämmelser om känsliga personuppgifter
Känsliga personuppgifter förekommer i stor utsträckning i den verksamhet som bedrivs på utlännings- och medborgarskapsområdet. Behandling av känsliga personuppgifter regleras i bl.a. 14 § utlänningsdatalagen. Enligt paragrafen får känsliga personuppgifter behandlas för samtliga primära ändamål i 11 § utom testverksamhet (14 § första stycket 1). Känsliga personuppgifter får endast behandlas om det är absolut nödvändigt för syftet med behandlingen.
Bestämmelserna om känsliga personuppgifter i 14 § hindrar inte att sådana personuppgifter behandlas med stöd av 15 § (14 § andra stycket). Enligt den paragrafen får Migrationsverket föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Den sistnämnda paragrafen reglerar möjligheten att ta fotografi och fingeravtryck bl.a. om en utlänning inte kan styrka sin identitet när han eller hon kommer till Sverige. Uppgifter om fingeravtryck eller fotografier i registren får användas i testverksamhet (15 § andra stycket 3 utlänningsdatalagen).
I propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning bedömde regeringen att den behandling av känsliga personuppgifter som möjliggörs genom utlänningsdatalagen uppfyller de krav som ställs i artikel 9.2 g i dataskyddsförordningen för att få behandla känsliga personuppgifter (prop. 2017/18:254 s. 30 f.).
Flera
Biometriska uppgifter definieras som personuppgifter som erhållits genom en särskild teknisk behandling som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14 i dataskyddsförordningen). I skäl 51 i dataskyddsförordningen anges bl.a. att behandling av foton inte systematiskt bör anses utgöra behandling av känsliga personuppgifter eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Regeringen har bedömt att fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma identifiering faller utanför definitionen av biometriska uppgifter. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen (prop. 2017/18:232 s. 86 och prop. 2017/18:254 s. 33 f.). I utlänningslagen används genomgående begreppen fotografier och fotografering även för ansiktsbilder. Syftet är att skapa enhetlighet inom utlänningslagen (prop. 2010/11:123 s. 13).
I slutet av 2017 trädde en ny
När förordningarna börjar tillämpas fullt ut kommer biometriska uppgifter att kunna användas för olika kontroller (se t.ex. artikel 23 och artikel 26 i
Prop. 2020/21:5
9
| Prop. 2020/21:5 | 5 | Känsliga personuppgifter ska få | ||||
| användas i testverksamhet | ||||||
| Regeringens förslag: Känsliga personuppgifter ska få behandlas i | ||||||
| testverksamhet enligt utlänningsdatalagen om uppgifterna är absolut | ||||||
| nödvändiga för syftet med behandlingen. | ||||||
| Promemorians förslag överensstämmer med regeringens. | ||||||
| Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller | ||||||
| har inte några synpunkter på förslaget, däribland Datainspektionen, | ||||||
| Säkerhets- och integritetsskyddsnämnden, Kammarrätten i Stockholm och | ||||||
| Förvaltningsrätten i Stockholm. Justitiekanslern anser att det finns ett | ||||||
| tydligt behov av att kunna behandla biometriska uppgifter vid | ||||||
| testverksamhet men ifrågasätter om det är nödvändigt att samtliga | ||||||
| kategorier av känsliga personuppgifter omfattas. Riksdagens ombudsmän | ||||||
| efterfrågar en analys av om det finns behov av att slopa förbudet mot att | ||||||
| behandla | känsliga | personuppgifter | i | testverksamhet | helt. | |
| Polismyndigheten efterfrågar ett klargörande gällande tillämpnings- | ||||||
| området för den föreslagna bestämmelsen med hänsyn till testverksamhet | ||||||
| som kommer att genomföras i centrala |
||||||
| Polismyndigheten ett klargörande av vad som utgör behandling av | ||||||
| biometriska uppgifter. Polismyndigheten undrar särskilt om kontroller av | ||||||
| hårdvara enbart för upptagning av fotografi eller fingeravtryck innebär | ||||||
| behandling av känsliga personuppgifter. Enligt Migrationsverket vore det | ||||||
| värdefullt med ytterligare vägledning när det gäller bedömningen av | ||||||
| rekvisitet | ”absolut nödvändiga”. Sveriges advokatsamfund avstyrker | |||||
| förslaget och hänvisar till att promemorian saknar en närmare analys av | ||||||
| integritetsriskerna och alternativa tillvägagångssätt, t.ex. användandet av | ||||||
| fiktiva testdata. Advokatsamfundet anser också att begreppet ”absolut | ||||||
| nödvändiga” är olämpligt. | ||||||
| Skälen för regeringens förslag | ||||||
| Det är nödvändigt att kunna behandla känsliga personuppgifter i | ||||||
| testverksamhet | ||||||
| Som nämnts kräver vissa |
||||||
| och vistelse i medlemsstaterna att känsliga personuppgifter kan behandlas. | ||||||
| Utlänningsdatalagens nuvarande utformning innebär att Polis- | ||||||
| myndigheten, Migrationsverket och utlandsmyndigheterna har rättsligt | ||||||
| stöd för att behandla känsliga personuppgifter om uppgifterna är absolut | ||||||
| nödvändiga för att kontrollera en utlänning i samband med inresa och | ||||||
| utresa eller under vistelsen i Sverige. Det är däremot förbjudet att behandla | ||||||
| sådana uppgifter för att utföra sådan testverksamhet som är nödvändig för | ||||||
| att kunna skapa och utveckla de tekniska system som ska användas vid | ||||||
| kontrollerna. I annan lagstiftning, t.ex. brottsdatalagen (2018:1177) och | ||||||
| lagen (2018:1693) om polisens behandling av personuppgifter inom | ||||||
| brottsdatalagens område, finns en möjlighet att behandla känsliga | ||||||
| personuppgifter om det är absolut nödvändigt för ändamålet med | ||||||
| behandlingen. Det finns alltså inget förbud mot att behandla känsliga | ||||||
| 10 | personuppgifter i testverksamhet som sker för brottsbekämpande syften. | |||||
| Motsvarande begränsning saknas också när personuppgifter behandlas | Prop. 2020/21:5 | |
| med stöd av vissa |
||
| förordningen. | ||
| Förbudet att behandla känsliga personuppgifter i testverksamhet innebär | ||
| ett hinder för berörda myndigheter att skapa och utveckla nya tekniska | ||
| system som är nödvändiga för att kunna utföra kontroller som de är ålagda | ||
| att utföra, t.ex. kontroll av biometriska uppgifter. Även befintliga |
||
| kan behöva kontrolleras genom tester så att de fungerar på ett effektivt och | ||
| rättssäkert sätt. När det gäller ansiktsigenkänning behöver programvaran | ||
| exempelvis kunna tränas och valideras på verkliga förhållanden gällande | ||
| förmågan att jämföra nytagna ansiktsbilder med befintliga ansiktsbilder i | ||
| chip och på bild i olika länders resehandlingar. Uppgifterna som används | ||
| vid test och validering behöver återspegla verkliga förhållanden, t.ex. | ||
| avseende glasögon, smink, frisyrer och huvudbonader. Det är alltså inte | ||
| möjligt att utföra nödvändiga tester och validering av tekniken för | ||
| ansiktsigenkänning utan ansiktsbilder. Testverksamheten är en nödvändig | ||
| förutsättning för att ett sådant system ska kunna användas i skarpt läge på | ||
| ett rättssäkert och |
||
| kan diskuteras om det överhuvudtaget är tekniskt möjligt att ta tekniska | ||
| system i drift utan en föregående testperiod. Datainspektionen har i | ||
| december 2019, inom ramen för ett förhandssamråd om en planerad | ||
| pilotstudie med biometrisk ansiktsverifiering vid Skavsta flygplats, | ||
| bedömt att det finns ett uppenbart behov för Polismyndigheten att kunna | ||
| behandla känsliga personuppgifter i testverksamhet men att det saknas | ||
| lagstöd för det i utlänningsdatalagen. | ||
| I promemorian föreslås att utlänningsdatalagen ändras så att känsliga | ||
| personuppgifter får behandlas i testverksamhet. Majoriteten av | ||
| remissinstanserna är positiva till förslaget eller lämnar det utan | ||
| invändningar. Sveriges advokatsamfund avstyrker förslaget | med | |
| hänvisning till att promemorian saknar en närmare analys av dels riskerna | ||
| för enskildas personliga integritet, dels alternativa och mindre | ||
| integritetskränkande tillvägagångssätt, t.ex. användandet av fiktiva | ||
| testdata. Advokatsamfundet pekar bl.a. på den bedömning | som | |
| Datainspektionen gjorde gällande testverksamhet inför införandet av | ||
| utlänningsdatalagen. 2014 års Utlänningsdatautredning hade föreslagit att | ||
| känsliga personuppgifter skulle få behandlas i testverksamhet (SOU | ||
| 2015:73 s. 294 f.). Datainspektionen, som var remissinstans, ansåg att det | ||
| saknades underlag för att bedöma Migrationsverkets behov av att kunna | ||
| behandla känsliga personuppgifter i sådan verksamhet. Regeringen | ||
| instämde i Datainspektionens uppfattning att det inte fanns tillräckliga skäl | ||
| att tillåta behandling av känsliga personuppgifter för testverksamhet och | ||
| gick inte vidare med utredningens förslag (prop. 2015/16:65 s. 78 f.). | ||
| Som Sveriges advokatsamfund påpekar är det viktigt att | ||
| integritetsriskerna beaktas. För att genomföra test och validering och nå | ||
| tillförlitliga och rättssäkra resultat kan en relativt stor mängd känsliga | ||
| personuppgifter behöva behandlas. Detta innebär ett integritetsintrång. Att | ||
| ta ett system i drift utan testperiod riskerar dock att medföra onödiga och | ||
| oproportionerliga ingrepp i enskildas personliga integritet eftersom | ||
| systemet kan innehålla fel och brister. En sådan behandling av känsliga | ||
| personuppgifter kan strida mot artikel 9.2 g i dataskyddsförordningen och | ||
| de krav som ställs där om proportionalitet och lämpliga och särskilda | 11 | |
Prop. 2020/21:5 åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Möjligheten att testa ny teknik bidrar alltså till att det kan införas träffsäkra, rättssäkra och effektiva system, där risken för olägenheter i form av felbedömningar till den enskildes nackdel minimeras samtidigt som en hög säkerhetsnivå kan upprätthållas. Det intrång i enskildas personliga integritet som kan uppkomma när ett system är i skarp drift blir med andra ord mindre om systemet först kan testas. Som nämnts finns det situationer när det inte finns något alternativ till att använda verkliga personuppgifter för att testa och validera nödvändiga tekniska system, dvs. situationer där användandet av fiktiva uppgifter inte skulle ge ett tillförlitligt och rättssäkert resultat. Om inga integritetshöjande åtgärder vidtas skulle behandling av känsliga personuppgifter vid test och validering av ny teknik kunna innebära en hög risk för den enskildes personliga integritet. Under förutsättning att åtgärder vidtas för att säkerställa skyddet för personuppgifterna kan integritetsriskerna dock minimeras. Det kan i sammanhanget nämnas att Datainspektionen, i den planerade pilotstudien, bedömde att Polismyndigheten hade vidtagit de integritetshöjande åtgärder som kunde anses rimliga. I det följande föreslås att samma höga krav bör ställas på behandling av känsliga personuppgifter i testverksamhet som vid sådan behandling i skarp drift, bl.a. genom att behandling av känsliga personuppgifter bara tillåts om uppgifterna är absolut nödvändiga för syftet med behandlingen. Därutöver måste naturligtvis de krav som dataskyddsförordningen uppställer på bl.a. öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet uppfyllas även vid testverksamhet. Sammantaget anser regeringen att behandling av känsliga personuppgifter i testverksamhet bör tillåtas. Inte heller Datainspektionen invänder mot förslaget. Utlänningsdatalagen bör alltså ändras så att känsliga personuppgifter får behandlas i testverksamhet.
Samma krav bör ställas på behandling av känsliga personuppgifter i testverksamhet som vid behandling av känsliga personuppgifter i övrigt
I promemorian föreslås, i likhet med vad som gäller för de övriga ändamål som anges i 14 § utlänningsdatalagen, att bestämmelsen ska omfatta samtliga kategorier av känsliga personuppgifter. Justitiekanslern ifrågasätter om det är nödvändigt och Riksdagens ombudsmän efterfrågar en analys av om det finns behov av att helt slopa förbudet mot att behandla känsliga personuppgifter i testverksamhet.
Vid behandling av känsliga personuppgifter i skarp drift finns det inga begränsningar när det gäller vilka slags uppgifter som får behandlas eller vilka myndigheter som får behandla uppgifterna (14 § första stycket 1 utlänningsdatalagen). Som nämnts föreslås nedan att samma höga krav ska gälla för behandling av känsliga personuppgifter i testverksamhet som uppställs vid behandling i skarp drift. Det kommer t.ex. bara vara tillåtet att behandla känsliga personuppgifter om det är absolut nödvändigt. Enligt regeringen talar detta för att det inte heller bör finnas några begränsningar när det gäller vilka kategorier av känsliga personuppgifter som får behandlas i testverksamhet eller vilka myndigheter som får behandla uppgifterna. Vidare har den tekniska utvecklingen förändrat
förutsättningarna för att använda ny teknik, framför allt biometri. Det har
12
under de senaste åren t.ex. utvecklats helt nya möjligheter att använda ansiktsigenkänning, vilket återspeglas i bl.a.
Polismyndigheten önskar ett förtydligande av vad som utgör behandling av biometriska uppgifter. Som nämns i avsnitt 4 definieras biometriska uppgifter i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14). Definitionen av biometriska uppgifter är unionsrättslig och uttolkas ytterst av
I promemorian föreslås att det ska krävas att uppgifterna är absolut nödvändiga för syftet med behandlingen för att känsliga personuppgifter ska få behandlas i testverksamhet. Enligt Migrationsverket vore det värdefullt med ytterligare vägledning när det gäller bedömningen av vad som är absolut nödvändigt. Sveriges advokatsamfund anser att begreppet är olämpligt eftersom det lämnar ett brett tolkningsutrymme för de tillämpande myndigheterna.
Redan i dag får behandling av känsliga personuppgifter endast ske om behandlingen är absolut nödvändig. Regleringen i utlänningsdatalagen bör enligt regeringen vara enhetlig. Det är därför inte lämpligt att använda ett annat rekvisit för behandling känsliga personuppgifter i testverksamhet. Genom kravet på att uppgifterna ska vara absolut nödvändiga tydliggörs att behandlingen av känsliga personuppgifter ska ske med försiktighet och att behovet ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av den redan insamlade uppgiften (prop. 2015/16:65 s. 81). I testverksamhet kan behandling av känsliga personuppgifter normalt inte anses vara absolut nödvändig om det är möjligt att nå ett rättssäkert och tillförlitligt resultat genom att använda
Prop. 2020/21:5
13
Prop. 2020/21:5 alternativa och mindre integritetskänsliga tillvägagångssätt, t.ex. fiktiva eller avidentifierade uppgifter.
14
Andra bestämmelser till skydd för den personliga integriteten
Utlänningsdatalagen innehåller även andra bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. behörighetsregler och regler om förbud mot att söka på bl.a. känsliga personuppgifter i databaser. I propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning bedömde regeringen att den nuvarande regleringen uppfyllde dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen och att utlänningsdatalagens bestämmelser om känsliga personuppgifter var förenliga med dataskyddsförordningen (prop. 2017/18:254 s. 33). Det saknas skäl att nu göra en annan bedömning. Den personuppgiftsbehandling som möjliggörs genom förslaget uppfyller alltså de krav som uppställs i artikel 9.2 g i dataskyddsförordningen. Förslaget ligger också i linje med annan lagstiftning, t.ex. lagen om polisens behandling av personuppgifter inom brottsdatalagens område.
Som nämnts måste naturligtvis de krav som dataskyddsförordningen ställer på bl.a. öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet uppfyllas även vid testverksamhet. En myndighet som önskar behandla känsliga personuppgifter med stöd av den föreslagna bestämmelsen är i vissa fall också skyldig att samråda med Datainspektionen före behandling (artikel 36.1 i dataskyddsförordningen).
Polismyndigheten efterfrågar ett klargörande gällande tillämpningsområdet för den föreslagna bestämmelsen med hänsyn till testverksamhet som kommer att genomföras i centrala
om behandling av personuppgifter som Migrationsverket, Polismyndigheten eller utlandsmyndigheterna vidtar i sådan verksamhet som räknas upp i, när det gäller Migrationsverket och utlandsmyndigheterna, 2 § eller, när det gäller Polismyndigheten, 3 § och som inte omfattas av något av de undantag som listas i lagen, t.ex. avseende vissa
6Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Lagändringen ska träda i kraft den 1 december 2020.
Regeringens bedömning: Det finns inte något behov av övergångsbestämmelser.
Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås ett senare ikraftträdande.
Remissinstanserna: Polismyndigheten anser att lagändringen bör träda Prop. 2020/21:5 i kraft den 1 augusti 2020. I övrigt yttrar sig ingen remissinstans särskilt i
denna del.
Skälen för regeringens förslag och bedömning: I promemorian föreslås att lagändringarna ska träda i kraft den 1 januari 2021. Enligt Polismyndigheten blir detta för sent, bl.a. i förhållande till den tidsplan som tagits fram inom det europeiska samarbetet. Polismyndigheten anser att lagändringen i stället bör träda i kraft den 1 augusti 2020 och påpekar att även med ett sådant ikraftträdande kan planerade förberedelser komma att behöva bedrivas på kort tid.
Även regeringen anser att lagändringen bör träda i kraft så snart som möjligt. Ett tidigare ikraftträdande än den 1 december 2020 bedöms dock inte vara möjligt.
Det finns inte något behov av övergångsbestämmelser.
7Konsekvenser
Regeringens bedömning: Förslaget innebär inga ökade kostnader.
Promemorians bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens bedömning: Genom förslaget undanröjs förbudet för Polismyndigheten, Migrationsverket och utlandsmyndigheterna att behandla känsliga personuppgifter i testverksamhet. Det innebär att myndigheterna, om det är absolut nödvändigt, kan få behandla sådana personuppgifter för att t.ex. kontrollera att befintliga itsystem fungerar på ett effektivt och rättssäkert sätt och pröva och utveckla ny teknik. Om förslaget inte genomförs blir möjligheterna till kontroll och utveckling av tekniska system begränsad. Sverige skulle t.ex. inte kunna införa de tekniska system som krävs enligt det europeiska samarbetet.
Förslaget innebär i sig inga ökade kostnader, vare sig för det allmänna eller för enskilda. Förslaget bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser.
När det gäller den personliga integriteten innebär förslaget att känsliga personuppgifter får användas i fler situationer än i dag. Konsekvenserna beskrivs i avsnitt 5.
15
Prop. 2020/21:5
16
8Författningskommentar
Förslaget till lag om ändring i utlänningsdatalagen (2016:27)
14 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas
1.för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller
2.i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2.föreskrifter om gallring.
Paragrafen reglerar behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 5.
Ändringen i första stycket 1 innebär att känsliga personuppgifter får behandlas i testverksamhet om uppgifterna är absolut nödvändiga för syftet med behandlingen. Genom ändringen får myndigheterna möjlighet att använda känsliga personuppgifter t.ex. för att kontrollera att befintliga tekniska system fungerar eller för att pröva och utveckla nya tekniska system. Att behandlingen av de känsliga personuppgifterna ska vara absolut nödvändig innebär att behandlingen bör ske med försiktighet och aldrig slentrianmässigt. Det innebär däremot inte att känsliga personuppgifter endast får behandlas i undantagsfall. Verksamheten på utlännings- och medborgarskapsområdet kräver inte sällan att känsliga personuppgifter kan behandlas. Genom kravet på absolut nödvändighet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla sådana uppgifter ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter (jfr prop. 2015/16:65 s. 81 och 121). I testverksamhet kan behandling av känsliga personuppgifter normalt inte anses vara absolut nödvändig om det är möjligt att nå ett rättssäkert och tillförlitligt resultat genom att använda alternativa och mindre integritetskänsliga tillvägagångssätt, t.ex. fiktiva eller avidentifierade uppgifter.
Sammanfattning av promemorian Behandling av känsliga personuppgifter i testverksamhet
Enligt utlänningsdatalagen (2016:27) är det normalt förbjudet att behandla känsliga personuppgifter i testverksamhet. I promemorian föreslås att sådana personuppgifter ska få behandlas i testverksamhet om uppgifterna är absolut nödvändiga för syftet med behandlingen. Förslaget innebär att Migrationsverket, Polismyndigheten och utlandsmyndigheterna kan få behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga itsystem fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet.
Lagändringen föreslås träda i kraft den 1 januari 2021.
Prop. 2020/21:5 Bilaga 1
17
Prop. 2020/21:5 Bilaga 2
18
Promemorians lagförslag
Förslag till lag om ändring i utlänningsdatalagen (2016:27)
Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.
Nuvarande lydelseFöreslagen lydelse
14 §1
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas
| 1. för de ändamål som anges i | 1. för de ändamål som anges i |
| 11 § |
11 och 13 §§ om uppgifterna är |
| uppgifterna är absolut nödvändiga | absolut nödvändiga för syftet med |
| för syftet med behandlingen, eller | behandlingen, eller |
2.i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2.föreskrifter om gallring.
Denna lag träder i kraft den 1 januari 2021.
1Senaste lydelse 2018:1611.
Förteckning över remissinstanserna
Prop. 2020/21:5 Bilaga 3
Efter remiss har yttranden över promemorian Behandling av känsliga personuppgifter i testverksamhet kommit in från Datainspektionen, Diskrimineringsombudsmannen, Förvaltningsrätten i Stockholm, Justitiekanslern, Kammarrätten i Stockholm, Migrationsverket, Polismyndigheten, Riksdagens ombudsmän, Sveriges advokatsamfund, Sveriges ambassad i Amman, Sveriges ambassad i Peking, Sveriges Ambassad i Teheran, Säkerhets- och integritetsskyddsnämnden samt Säkerhetspolisen.
Swedavia har erbjudits att lämna synpunkter men avstått.
19
Prop. 2020/21:5 Bilaga 4
20
Lagrådsremissens lagförslag
Förslag till lag om ändring i utlänningsdatalagen (2016:27)
Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.
Nuvarande lydelseFöreslagen lydelse
14 §1
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas
| 1. för de ändamål som anges i | 1. för de ändamål som anges i |
| 11 § |
11 och 13 §§ om uppgifterna är |
| uppgifterna är absolut nödvändiga | absolut nödvändiga för syftet med |
| för syftet med behandlingen, eller | behandlingen, eller |
2.i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2.föreskrifter om gallring.
Denna lag träder i kraft den 1 januari 2021.
1Senaste lydelse 2018:1611.
| Lagrådets yttrande | Prop. 2020/21:5 | |
| Bilaga 5 | ||
| Utdrag ur protokoll vid sammanträde |
||
| Närvarande: F.d. justitierådet Ella Nyström samt justitieråden | ||
| Per Classon och Stefan Johansson | ||
| Behandling av känsliga personuppgifter i testverksamhet | ||
| enligt utlänningsdatalagen | ||
| Enligt en lagrådsremiss den 4 juni 2020 har regeringen | ||
| (Justitiedepartementet) beslutat inhämta Lagrådets yttrande | ||
| över förslag till lag om ändring i utlänningsdatalagen (2016:27). | ||
| Förslaget har inför Lagrådet föredragits av rättssakkunniga | ||
| Viktoria Haglund. | ||
| Lagrådet lämnar förslaget utan erinran. |
21
Prop. 2020/21:5
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 10 september 2020
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Johansson, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Ygeman, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lind, Hallberg, Nordmark, Micko
Föredragande: statsrådet Johansson
Regeringen beslutar proposition Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen
22