Dir. 2001:108

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgalagstiftning

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarlagstiftning

Dir. 2001:108

Beslut vid regeringssammanträde den 20 december 2001.

Sammanfattning av uppdraget

En särskild utredare skall kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren skall utifrån ett helhetsperspektiv granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204). Utredaren skall särskilt beakta behovet av en rättslig reglering som inte är beroende av att vissa tekniska lösningar används och som ger myndigheterna möjlighet att hantera information på ett bra sätt. Samtidigt skall utredaren väga in rättssäkerhetsaspekter, främst enskildas behov av skydd för sin personliga integritet.

Gällande bestämmelser

Internationella regler om dataskydd

Den 24 oktober 1995 beslutade Europaparlamentet och rådet om direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 3 1995L0046), det s.k. dataskyddsdirektivet. Internationella riktlinjer för automatisk databehandling av personuppgifter finns bl.a. även i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, antagen den 28 januari 1981 (CE-ETS-108/81).

Bilaga 1 SOU 2003:40

308

Datalagen och personuppgiftslagen

När personuppgiftslagen (1998:204) trädde i kraft i oktober 1998 ersatte den datalagen (1973:289). Genom övergångsbestämmelserna till personuppgiftslagen gavs ytterligare tid för att anpassa den då gällande lagstiftningen på olika rättsområden. Enligt övergångsbestämmelserna skulle datalagen fortsätta att tillämpas till och med den 30 september 2001 i fråga om bl.a. sådan behandling av personuppgifter som påbörjats före den 24 oktober 1998. Från den 1 oktober 2001 tillämpas således personuppgiftslagen fullt ut på all automatiserad behandling av personuppgifter om inte annat framgår av författning.

Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen. Lagens bestämmelser innehåller därför motsvarande bestämmelser och följer samma struktur som finns i direktivet. Syftet med dataskyddsdirektivet och personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Innehållet i personuppgiftslagen bygger på att själva hanteringen av personuppgifter regleras. Regleringsmodellen innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är förbjuden. Enligt 2 § i lagen gäller särreglering i annan författning före personuppgiftslagen. En förutsättning är dock att författningen är förenlig med dataskyddsdirektivet på de områden där det direktivet är tillämpligt. Personuppgiftslagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad (5 § första stycket). Lagen gäller också för manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § andra stycket). I övrigt innehåller personuppgiftslagen bl.a. definitioner av centrala begrepp, förutsättningar för behandling av personuppgifter, bestämmelser om information, rättelse, skadestånd och säkerhet vid behandlingen.

I lagens 13 § finns ett principiellt förbud mot att behandla känsliga personuppgifter. Det finns dock möjlighet att göra undantag från förbudet, t.ex. får känsliga uppgifter behandlas om den registrerade har lämnat ett uttryckligt samtycke till behandlingen eller om behandlingen är nödvändig på grund av vissa särskilt angivna förhållanden. Vidare får det föreskrivas generella föreskrifter

SOU 2003:40

om undantag, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).

309

Utlännings- och medborgarskapslagstiftningen

De myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen är främst Migrationsverket och Utlänningsnämnden. Även Integrationsverket, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna bedriver sådan verksamhet. Samtliga dessa myndigheters behandling av personuppgifter påbörjades före den 24 oktober 1998. Det innebär att före den 1 oktober 2001 krävdes Datainspektionens tillstånd för behandlingen. Sedan den 1 oktober 2001 gäller dock personuppgiftslagens bestämmelser för all automatiserad behandling av personuppgifter.

Utöver personuppgiftslagens allmänt gällande bestämmelser om behandling av personuppgifter finns specifika regler för utlännings- och medborgarskapsområdet i en särskild förordning som trädde i kraft den 1 oktober 2001, förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förutom bestämmelser om tillämpningsområde och personuppgiftsansvar, finns det i den nämnda förordningen en närmare reglering av automatiserad behandling av personuppgifter i verksamhetsregister, rättsfallsregister, fingeravtrycksregister och landinformationsregister. Under dessa huvudkategorier finns närmare regler om de ändamål för vilka uppgifterna får behandlas i registren, vad registren får innehålla, under vilka förutsättningar känsliga personuppgifter får behandlas, myndigheters direktåtkomst till register och användningen av sökbegrepp.

Utredningsbehovet

Enligt 1 kap. 2 § tredje stycket regeringsformen (RF) skall det allmänna värna den enskildes privatliv och familjeliv. Vidare skall enligt 2 kap. 3 § RF varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att den personliga integriteten kränks genom registrering av uppgifter med hjälp av automatisk databehandling. Utlänningar som är i Sverige har i detta hänseende samma skydd som svenska medborgare (2 kap. 22 § första stycket 2

Bilaga 1 SOU 2003:40

310

RF). Detta skydd för den personliga integriteten kommer främst till uttryck i personuppgiftslagen.

Bestämmelser om rätten till respekt för privat- och familjelivet finns vidare i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (artikel 8). Europakonventionen gäller sedan den 1 januari 1995 som lag i Sverige.

Riksdagen har i skilda sammanhang påpekat att myndighetsregister som innehåller ett stort antal registrerade personer och som har ett särskilt känsligt innehåll skall regleras i lag (se bet. 1990/91:KU11 s. 11, jfr prop. 1997/98:44 s. 41). Myndigheter som Migrationsverket och Utlänningsnämnden har en verksamhet som i sig innebär att de ofta hanterar stora mängder av känsliga uppgifter. Regeringens uppfattning är, mot denna bakgrund, att mer specifika bestämmelser om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall regleras särskilt i lag. Sedan den 1 oktober 2001 gäller förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förordningen är dock avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.

I en skrivelse till regeringen den 22 juni 2000 begärde Statens invandrarverk (numera Migrationsverket) och Utlänningsnämnden bl.a. att en utredning skulle tillsättas för att utreda behovet av en författningsreglering av en central databas för registrering av uppgifter om utlänningars rätt att vistas i Sverige. Den centrala databasen hos Migrationsverket, STAMM (System för Tillstånd, Asyl, Mottagning och Medborgarskap), innehåller uppgifter om utlänningar och flera myndigheter planeras få tillgång till STAMM.

Datainspektionen har vidare överlämnat ett beslut till regeringen från den 23 november 2000 (diarienummer 124-2000). Beslutet gällde ändring av Migrationsverkets tillstånd för STAMM. I beslutet skriver Datainspektionen att STAMM innehåller delvis mycket känsliga uppgifter och att personuppgiftslagen i princip innebär förbud mot behandling av känsliga uppgifter. Datainspektionen anser i beslutet att överväganden om författningsstöd behövs för den behandling av känsliga uppgifter som sker i STAMM.

SOU 2003:40

Bilaga 1

311

Utredningsuppdraget

Lagrådet har i sitt yttrande i propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33) kritiserat användandet av en mer självbärande författningsteknik i förhållande till personuppgiftslagen. Enligt regeringens mening bör särlagstiftning i förhållande till personuppgiftslagen begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen, i detta fall utlännings- och medborgarskapslagstiftningen. Det kan handla om situationer då personuppgiftslagens mer allmänt hållna bestämmelser ger upphov till tolkningsproblem i förhållande till annan lagstiftning. Det kan också vara fråga om att det finns anledning att vara särskilt tydlig med att ange de undantag och preciseringar som är motiverade, exempelvis i fråga om behandlingen av känsliga personuppgifter.

Utgångspunkten för utredarens uppdrag bör vara att kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Även frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål bör uppmärksammas.

Utredaren bör anlägga ett helhetsperspektiv och inrikta sig på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen skall passa väl in i personuppgiftslagens regelsystem. Ett mål för utredningsuppdraget är att skapa enkla, tydliga och moderna regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller de krav i dataskyddshänseende som ställs i nationell och internationell rätt. Utredaren skall undvika att föreslagna författningsändringar, satta i relation till gällande rätt, leder till överlappande lagstiftning och att flera olika regler är tillämpliga beträffande samma behandling av personuppgifter i en myndighets verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Samtidigt bör den rättsliga analysen utgå från att myndigheterna skall kunna arbeta minst lika effektivt som idag. Det skall också finnas utrymme för flexibilitet inför framtiden. Verksamhet av det slag som Migrationsverket bedriver är till sin karaktär sådan att det är en förutsättning för ett rationellt arbetssätt att även större mängder känsliga personuppgifter kan hanteras smidigt.

Behandlingen av personuppgifter inom rättsområdet är vidare till betydande del av internationell karaktär. Överförande av uppgifter

Bilaga 1 SOU 2003:40

312

till andra EU-länder eller till tredje land är vanligt förekommande inom ramen för olika former av samarbete, såsom utbyte av information inom ramen för Sveriges medlemskap i Schengensamarbetet och i det konsulära samarbetet i viseringsfrågor. Det är således betydelsefullt att regelverket ger möjligheter att utveckla datasystem som underlättar utbytet av information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.

Myndigheternas behandling av personuppgifter handlar inte enbart om att föra datoriserade register utan kan även avse t.ex. behandling av personuppgifter i en dator som sker uteslutande med hjälp av ord- och textbehandlingsprogram. Det är vidare viktigt att myndigheterna kan ge stöd för handläggningen av ärenden genom att de kan ha system för bakgrundsinformation, t.ex. landinformationssystem.

Andra arbetsområden där det kan förekomma personuppgifter är interninformation till anställda eller publicering av avidentifierade avgöranden på internet. En del av myndigheternas behandling av personuppgifter finns också inom området för intern administration, t.ex. ekonomi- och personaladministration. Även i den här typen av behandling kan det finnas känsliga personuppgifter, t.ex. om ledamöters politiska åskådning eller tolkars etnicitet.

Sedan ett par år pågår, med Migrationsverket som processansvarig myndighet, det s.k. WILMA-projektet om IT-stöd för ärendehanteringen av ansökningar om visering samt uppehålls- och arbetstillstånd som lämnas in vid svenska utlandsmyndigheter. Målet är att ansökningar om exempelvis uppehållstillstånd skall kunna registreras i systemet av utlandsmyndigheter i samband med att ansökningen görs och att vissa angivna myndigheter skall ha direktåtkomst till uppgifterna elektroniskt. En utgångspunkt för utredningen bör vara att det är viktigt att utbytet av information mellan t.ex. ambassader och Migrationsverket kan fungera smidigt och i enlighet med de lösningar som tas fram i projekt av det nu angivna slaget.

När det gäller Utlänningsnämnden har den s.k. NIPU-kommittén i betänkandet “Ökad rättssäkerhet i asylärenden” (SOU 1999:16) föreslagit att de ärenden som idag prövas av nämnden i framtiden skall prövas av allmänna förvaltningsdomstolar. En interdepartemental arbetsgrupp har vidare i promemorian “En specialdomstol för utlänningsärenden” (Ds 2000:45) utrett hur en specialdomstol skulle kunna fungera som överinstans.

SOU 2003:40

Bilaga 1

313

Regeringens avsikt är att i enlighet med Socialförsäkringsutskottets tillkännagivande i betänkandet över budgetpropositionen (bet. 2001/02:SfU2) under år 2002 kunna presentera ett förslag till ny instans- och processordning i utlännings- och medborgarskapsärenden. Utredaren skall följa reformarbetet och se till att eventuella förslag till författningsändringar eller andra åtgärder är anpassade till den framtida nya instans- och processordningen.

Regeringen beslutade den 29 november 2000 (UD 2000:05, dir. 2000:82) att tillkalla en särskild utredare med uppgift att bl.a. överväga sekretess hos utlandsmyndigheterna, författningsreglering av en central databas hos Migrationsverket samt behandlingen av utlänningar i förvar. Utredaren skall redovisa sitt uppdrag senast den 31 december 2001 (UD 2000:05). Med anledning av de nya direktiv som nu beslutas anser regeringen att det är naturligt att till den nya utredningen föra frågorna om författningsreglering och eventuella andra åtgärder för en modifierad central databas hos Migrationsverket, frågor som således tidigare ingått i uppdraget till Utredningen om sekretess hos utlandsmyndigheterna m.m. Regeringen har därför denna dag även beslutat om att genom tilläggsdirektiv begränsa den sistnämnda utredningens uppdrag i enlighet med detta.

Det är naturligt att sekretessfrågor kommer upp i sammanhang som rör överföring av känsliga uppgifter mellan olika myndigheter oavsett om behandlingen av uppgifterna i sin helhet sker i Sverige eller i vissa delar vid svenska utlandsmyndigheter. Den grundläggande bestämmelsen om utlänningssekretess finns i 7 kap. 14 § sekretesslagen (1980:100). I det helhetsperspektiv som utredaren skall anlägga ingår även att beakta vad Utredningen om sekretess hos utlandsmyndigheterna m.m. kommer fram till i frågor om sekretess och överföring av uppgifter och vid behov föreslå kompletterande författningsändringar eller andra åtgärder.

Uppdraget skall redovisas senast den 31 december 2002.

(Utrikesdepartementet)