Utlänningsdatalag (2016:27)

SFS nr: 2016:27
Departement/myndighet: Justitiedepartementet L7
Utfärdad: 2016-02-04
Ändrad: t.o.m. SFS 2023:338
Ändringsregister: SFSR (Regeringskansliet)
Källa: Fulltext (Regeringskansliet)

Innehåll:

Lagens syfte

1 §   Syftet med denna lag är att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 §   Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör
   1. utlänningars inresa i Sverige, i en stat som ingår i Europeiska unionen, i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet eller i Schweiz,
   2. utlänningars vistelse eller arbete i Sverige och utresa eller avlägsnande från Sverige,
   3. statusförklaring,
   4. mottagande av asylsökande och andra utlänningar,
   5. bistånd och stöd till utlänningar,
   6. svenskt medborgarskap,
   7. statlig ersättning för kostnader för utlänningar,
   8. bosättning av utlänningar, eller
   9. utfärdande av resehandlingar.

3 §   Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige. Lag (2018:1611).

4 §   Lagen gäller endast om behandlingen av personuppgifter enligt 2 eller 3 § är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till annan reglering

4 a §   Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Lag (2018:1611).

4 b §   Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Lag (2018:1611).

4 c §   Denna lag gäller inte vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen (2018:1177). Lag (2018:1611).

5 §    /Upphör att gälla U:den dag som regeringen bestämmer/ Denna lag gäller inte när personuppgifter behandlas med stöd av
   1. lagen (2006:444) om passagerarregister,
   2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),
   3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning),
   4. Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna,
   5. Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006,
   6. Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU, eller
   7. lagen (2021:1187) med kompletterande bestämmelser till EU:s förordningar om Schengens informationssystem och föreskrifter som har meddelats i anslutning till den lagen. Lag (2021:1191).

5 §    /Träder i kraft I:den dag som regeringen bestämmer/ Denna lag gäller inte när personuppgifter behandlas med stöd av
   1. lagen (2006:444) om passagerarregister,
   2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),
   3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning),
   4. Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna,
   5. Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006,
   6. Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU,
   7. lagen (2021:1187) med kompletterande bestämmelser till EU:s förordningar om Schengens informationssystem och föreskrifter som har meddelats i anslutning till den lagen, eller
   8. Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011. Lag (2022:243).

6 §   När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) ska bestämmelserna om rätten till ersättning i artikel 82 i EU:s dataskyddsförordning tillämpas om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen.
Lag (2018:1611).

7 §   Har upphävts genom lag (2018:1611).

7 §    /Träder i kraft I:den dag som regeringen bestämmer/ När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EU) 2018/1240 av den 12 september 2018 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226 tillämpas 19 § första stycket 1 och 2 och tredje stycket samt 20 § första stycket. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av den förordningen.
Lag (2023:338).

8 §   Har upphävts genom lag (2018:1611).

Personuppgiftsansvar

9 §   Migrationsverket, Polismyndigheten och en utlandsmyndighet är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Migrationsverket är dock personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.

10 §   Har upphävts genom lag (2018:1611).

Ändamål

11 §   Migrationsverket, Polismyndigheten och utlandsmyndigheterna får behandla personuppgifter om det behövs för
   1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
   2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
   3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
   4. framställning av statistik,
   5. utförande av testverksamhet, eller
   6. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

12 §   Migrationsverket får också behandla personuppgifter om det behövs för återsökning av
   1. avgöranden, rättsutredningar och annan rättslig information, eller
   2. information som rör förhållanden i andra länder.

13 §   Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till
   1. riksdagen eller regeringen,
   2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller
   3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

Personuppgifter som behandlas enligt 11 och 12 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Lag (2018:1611).

Behandling av känsliga personuppgifter

14 §   Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas
   1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller
   2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
   1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
   2. föreskrifter om gallring.
Lag (2020:932).

Migrationsverkets register över fingeravtryck och fotografier

15 §    /Upphör att gälla U:den dag som regeringen bestämmer/ Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).

Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast
   1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas,
   2. i ärenden om avvisning och utvisning,
   3. i testverksamhet,
   4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket,
   5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, eller
   6. vid kontroll av utlänningar under vistelsen i Sverige.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
   1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och
   2. föreskrifter om gallring. Lag (2021:391).

15 §    /Träder i kraft I:den dag som regeringen bestämmer/ Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 och 8 h §§ utlänningslagen (2005:716).

Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast
   1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas,
   2. i ärenden om avvisning och utvisning,
   3. i testverksamhet,
   4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket,
   5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, eller
   6. vid kontroll av utlänningar under vistelsen i Sverige.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
   1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och
   2. föreskrifter om gallring.
Lag (2022:243).

Tillgången till personuppgifter

16 §   Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

Sökbegränsningar

17 §   Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Detsamma gäller för uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden.

Förbudet omfattar inte uppgifter om beslut om förvar enligt utlänningslagen (2005:716).

Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. Lag (2018:1611).

18 §   Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Lag (2018:1611).

Information om personuppgiftsincidenter

18 a §   Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Lag (2018:1611).

Rätten att göra invändningar

18 b §   Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Lag (2018:1611).

Direktåtkomst

19 §   Direktåtkomst till personuppgifter hos Migrationsverket får endast medges
   1. Polismyndigheten,
   2. Säkerhetspolisen,
   3. utlandsmyndigheterna,
   4. Försäkringskassan,
   5. Pensionsmyndigheten,
   6. Skatteverket, eller
   7. en part eller en parts ombud eller biträde.

Direktåtkomst enligt första stycket 7 får endast avse personuppgifter i partens ärende.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
   1. ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket, och
   2. föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Uppgiftsskyldighet

20 §   Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 15 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.

Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 15 § andra stycket 1, 2, 5 eller 6.

Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten. Lag (2021:391).

Överföring av personuppgifter till tredjeland

21 §   Personuppgifter får föras över till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland. Lag (2018:1611).

Avskiljande

22 §   Personuppgifter som har behandlats för ändamål som anges i 11 § 1-4 och 13 § ska avskiljas så att tillgången till dem begränsas om de inte längre behövs i myndighetens löpande verksamhet.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.

Säkerhetsåtgärder

23 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter.


Övergångsbestämmelser

2018:1611
   1. Denna lag träder i kraft den 1 december 2018.
   2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.