Dir. 2014:76

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Kommittédirektiv

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Beslut vid regeringssammanträde den 28 maj 2014

Sammanfattning

En särskild utredare ska utarbeta förslag till en lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och anpassa författningsregleringen på området till nationella bestämmelser och internationella åtaganden.

Utredaren ska bl.a.

  • kartlägga nuvarande behandling och analysera framtida behov av att behandla personuppgifter enligt utlännings- och medborgarskapslagstiftningen,
  • beakta enskildas behov av skydd för sin personliga integritet,
  • beakta behovet av en rättslig reglering som ger myndigheter möjlighet att hantera information på ett effektivt sätt,
  • analysera förutsättningarna för att i författning ge

Migrationsverket en möjlighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker, och

  • analysera behovet av och förutsättningarna för ett effektivare informationsutbyte mellan Migrationsverket och vissa andra myndigheter.

Uppdraget ska redovisas senast den 31 juli 2015.

Skydd för den personliga integriteten

Gällande nationell rätt och internationella åtaganden

Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen (RF). Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket RF att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock enligt 2 kap. 20 § första stycket 2 RF under vissa förutsättningar göras i lag. I en övergångsbestämmelse anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Grundlagsändringen medför bl.a. att viss personuppgiftsbehandling som för närvarande regleras i förordning i framtiden måste regleras i lag.

I Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) finns bestämmelser om automatisk databehandling av personuppgifter. Konventionens bestämmelser träffar bl.a. asyl- och migrationsområdet. Konventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Konventionens innehåll kan ses som en precisering av skyddet för enskilda vid användning av automatisk databehandling enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). En bestämmelse om respekt för privatlivet och familjelivet finns även i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna. Av artikel 8 i stadgan följer vidare bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

I personuppgiftslagen (1998:204), förkortad PUL, finns allmänna bestämmelser till skydd för den enskildes personliga integritet vid behandling av personuppgifter. Med behandling

avses t.ex. insamling, registrering och olika former av utlämnande av uppgifter. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet innehåller bestämmelser som preciserar och skärper de krav på regleringen som ställs i dataskyddskonventionen och gäller även det bl.a. på asyl- och migrationsområdet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.

PUL är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde. I vissa verksamheter regleras behandling av personuppgifter i särskilda registerförfattningar. Dessa har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register inom den offentliga sektorn. Registerförfattningar reglerar myndigheternas behandling av personuppgifter främst i syfte att skydda enskildas personliga integritet. En utgångspunkt vid utarbetandet av registerförfattningar är att regleringen så långt som möjligt ska vara i överensstämmelse med personuppgiftslagen. En särlagstiftning i förhållande till personuppgiftslagen bör begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen.

Särskilda regler för utlännings- och medborgarskapsområdet finns i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Översynen av EU:s dataskyddsreglering

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för

personuppgifter. Kommissionen har bl.a. lämnat förslag till en ny förordning med en generell reglering av uppgiftsskyddet som ska ersätta dataskyddsdirektivet. Förhandlingarna om förslaget pågår inom EU. Det är i nuläget oklart hur lång tid det kan ta innan rättsakten antas slutligt av Europaparlamentet och rådet. Det är också oklart vilka effekter de nya reglerna kommer att få i Sverige. Om dataskyddsdirektivet ersätts av en EUförordning kommer dock åtminstone personuppgiftslagen att behöva upphävas eller lagens tillämpningsområde snävas in avsevärt. I vilken utsträckning det kommer att finnas utrymme att behålla en sektorspecifik registerlagstiftning och i vilken mån det blir möjligt att komplettera en eventuell EU-förordning med generella nationella normer är för närvarande svårt att förutse. I förhandlingarna förespråkar Sverige att regleringen ges formen av ett direktiv i stället för en förordning, men stödet för detta har visat sig vara svagt bland övriga medlemsstater. Mot den bakgrunden arbetar regeringen för att förordningen utformas på ett sätt som ger medlemsstaterna stor flexibilitet att precisera villkoren för behandling av personuppgifter främst inom den offentliga sektorn. För en sådan inriktning finns det ett brett stöd också bland övriga medlemsstater.

Uppdraget

En lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Verksamhet enligt utlännings- och medborgarskapslagstiftningen bedrivs främst av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. I myndigheternas verksamhet enligt denna lagstiftning behandlas personuppgifter som ofta är av mycket integritetskänslig natur. Dessutom omfattar verksamheten ett mycket stort antal registrerade personer. Redan dessa förhållanden indikerar att verksamheten kräver särregler i en registerförfattning. Mycket talar för att den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen efter den 31 december 2015

inte är förenlig med grundlagen. Det finns därför ett behov av en lagreglering på området. En särskild utredare bör därför få i uppdrag att ta fram ett sådant förslag. I arbetet med utformningen av den nya lagen måste utredaren anlägga ett helhetsperspektiv och se till att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen passar väl in i personuppgiftslagens regelsystem. När det gäller domstolarnas behandling av personuppgifter måste beaktas det arbete som pågår med en domstolsdatalag. I departementspromemorian Domstolsdatalag (Ds 2013:10) föreslås en ny lagstiftning som bl.a. ska ge domstolarna och nämnderna möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin rättskipande och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Promemorian har remitterats.

Utredaren ska mot denna bakgrund

  • noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen,
  • analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet,
  • identifiera de integritetsintressen och övriga intressen som kan beröras av uppgiftsbehandlingen och i samband med detta särskilt beakta enskildas behov av skydd för sin personliga integritet,
  • lämna förslag till en lagreglering av personuppgiftsbehandling på utlännings- och medborgarskapsområdet som är utformad så att den är förenlig med den kommande regleringen av domstolarnas personuppgiftsbehandling,
  • uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål, och
  • i sitt arbete noga följa den fortsatta behandlingen inom EU av förslaget till ny dataskyddsreglering

samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.

Regleringen ska möjliggöra moderna och ändamålsenliga itsystem.

Regeringens utgångspunkt är att verksamhet enligt utlännings- och medborgarskapslagstiftningen ska kunna bedrivas så effektivt som möjligt med bl.a. användning av moderna och ändamålsenliga it-system. Behandlingen av personuppgifter inom rättsområdet är till en betydande del av internationell karaktär. Överförande av uppgifter till andra EU-länder eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete.

Utredaren ska därför

  • se till att den reglering som föreslås ger möjlighet att utveckla moderna och ändamålsenliga it-system.

Relationen till bland annat grundlag och offentlighets- och sekretesslagen

Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna över uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra ärendets behöriga gång. Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 6 § förvaltningslagen (1986:223). Såsom bl.a. Integritetsskyddskommittén har uppmärksammat i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22), förekommer det emellertid numera att uttömmande ändamålsreglering leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (SOU 2007:22 s. 464 f.).

Utredaren ska därför

Registrering av uppgifter om offentliga biträden m.fl.

Migrationsverket har bl.a. till uppgift att förordna offentliga biträden i ärenden enligt utlänningslagen (2005:716). Till offentligt biträde får förordnas en advokat, en biträdande jurist på en advokatbyrå eller någon annan som är lämplig för uppdraget. Advokat är den som, efter prövning av bl.a. lämplighet, har antagits som ledamot i Sveriges advokatsamfund. En biträdande jurist står under tillsyn av en advokat vid den advokatbyrå där han eller hon är anställd. I Utvärderingsutredningen (SOU 2008:65, Sekretess och offentliga biträden i utlänningsärenden) uppmärksammades att det förekommer offentliga biträden som inte är lämpliga för sina uppdrag. Vidare har Statskontoret i rapporten En ny modell för Migrationsverkets offentliga biträden (2013:30) angett att lämplighetsprövningarna i samband med Migrationsverkets förordnanden inte genomförs enhetligt. Migrationsverket har i en framställan till regeringen utryckt att verket behöver ha möjlighet att registrera kvalitetsomdömen om biträdena för att kunna förordna lämpliga biträden som kan tillvarata sökandes rätt på bästa sätt. En sådan möjlighet finns inte enligt nu gällande författning. Uppgifter som vid Migrationsverkets lämplighetsprövningar har ansetts betydelsefulla är t.ex. tillräckliga kunskaper om utlänningsrätt, processvana och personlig lämplighet. Uppgifter om personlig lämplighet är typiskt sett integritetskänsliga. Frågan om det ska vara möjligt att kunna registrera omdömen av den typen och hur en sådan reglering i så fall ska utformas kräver därför noggranna överväganden. Mot bakgrund av den lämplighetsprövning och

den tillsyn som sker av advokater och biträdande justister anställda vid advokatbyråer finns det dock inte någon anledning att överväga någon registrering av den typen av uppgifter om de personerna. Migrationsverket har även framfört önskemål om att kunna behandla motsvarande uppgifter när det gäller tolkar, översättare och språkanalytiker. Detta för att skydda enskilda sökandes utsatta position och ställning samt uppfylla Migrationsverkets ansvar enligt såväl asylprocedurdirektivet som allmänna rättsgrundsatser.

Utredaren ska därför

  • analysera förutsättningarna för att ge Migrationsverket en möjlighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker,
  • för det fall utredaren anser att det finns förutsättningar för en sådan reglering när det gäller en eller flera av dessa grupper, utforma ett förslag till sådan reglering i den nya lag som föreslås och även undersöka förutsättningarna för att låta domstolar och andra myndigheter ta del av uppgifterna,
  • beakta såväl intresset av att Migrationsverket kan förordna eller anlita lämpliga offentliga biträden m.fl. som berörda parters integritetsintressen, och
  • uppmärksamma frågor om huruvida ett sådant register ska vara offentligt, huruvida den enskilde ska kunna överklaga en registrering, hur beslut om registrering av uppgifter ska fattas och när uppgifterna ska gallras.

Ett effektivare informationsutbyte

I departementspromemorian Åtgärder mot missbruk av reglerna för arbetskraftsinvandring (Ds 2013:57) föreslås bl.a. att Migrationsverket under löpande tillståndstid ska få möjlighet att utföra efterkontroller avseende beviljade arbetstillstånd. Det föreslås också bestämmelser om återkallelse av uppehållstillstånd som beviljats för arbete om förutsättningarna för

arbetstillståndet inte längre är uppfyllda eller det arbete som arbetstillståndet beviljats för inte påbörjats inom rimlig tid. För att Migrationsverkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd ska kunna ske snabbt och effektivt är det angeläget att Migrationsverket har tillgång till vissa uppgifter hos Skatteverket, Försäkringskassan och Kronofogdemyndigheten. I promemorian förslås därför bestämmelser som medger Migrationsverket direktåtkomst till uppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas.

Datainspektionen anför i sitt remissvar över promemorian att det kan innebära ett betydande intrång i de registrerades personliga integritet om en myndighet, för dess särskilda verksamhet, ges direktåtkomst till en samling av personuppgifter som en annan myndighet samlat in om enskilda personer för helt andra specifika verksamhetsändamål. Vidare anförs att de föreslagna sekretessbrytande bestämmelserna är otydliga och inkonsekventa samt att det behövs tekniska spärrar som uppfyller kravet på integritetsskyddande begränsningar av Migrationsverkets direktåtkomst. Enligt Datainspektionen behövs det också ytterligare analys av vilka uppgifter som är nödvändiga för Migrationsverket att inhämta och vilka ändringar som behövs i den registerförfattning som reglerar Migrationsverkets behandling av personuppgifter. Försäkringskassan framför i sitt remissvar att utformningen av den sekretessbrytande bestämmelsen som rör Försäkringskassans socialförsäkringsdatabas inte bryter sekretessen på ett sådant sätt att den kan läggas till grund för direktåtkomst. I en lagrådsremiss beslutad den 10 april 2014 lämnas bl.a. förslag som innebär att den typ av efterkontroller som föreslogs i promemorian införs. Mot bakgrund av remisskritiken innehåller lagrådsremissen inte promemorians förslag om direktåtkomst. I den delen bedömer regeringen att det behövs ytterligare analys.

Utredaren ska mot denna bakgrund

  • analysera uppgiftsbehovet hos Migrationsverket när det gäller arbetet med handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd,
  • analysera förutsättningarna för att ge Migrationsverket direktåtkomst till dessa uppgifter och, om analysen ger stöd för att sådana förutsättningar finns, ta fram förslag till sådana bestämmelser,
  • om utredaren gör bedömningen att bestämmelser om direktåtkomst inte går att motivera, föreslå bestämmelser som möjliggör någon annan form av elektroniskt utlämnande som tillgodoser önskvärda krav på effektivitet och integritet för den enskilde,
  • utreda om det finns behov av och bör införas särskilda sekretessbrytande bestämmelser som gör att

Migrationsverket kan få tillgång till efterfrågade uppgifter och i så fall ge förslag till hur de bör utformas, och

  • utreda vilka tekniska eller andra begränsningar som måste finnas för att inte överskottsinformation ska röjas för Migrationsverket.

Bestämmelser om skadeståndsskyldighet efter kontroll av Schengenviseringar

Av Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (gränskodexen) framgår att en utlänning som har en Schengenvisering är skyldig att låta gränskontrolltjänstemän ta hans eller hennes fingeravtryck vid in- eller utresa för kontroll av identiteten och av viseringens äkthet.

I en departementspromemoria som behandlar gränskodexen (EU:s gränskodex, Ds 2011:28) föreslås att det i utlänningslagen införs bestämmelser som anger att när en kontroll har genomförts ska de fingeravtryck och biometriska data som har tagits för kontrollen omedelbart förstöras. Datainspektionen framhåller i sitt remissvar över promemorian

att det inte föreslås någon särskild bestämmelse om skadeståndsskyldighet för det fall uppgifter skulle behandlas i strid med förstöringsskyldigheten. Datainspektionen anger vidare att det kan behöva övervägas närmare om någon av de befintliga skadeståndsbestämmelserna i personuppgiftslagen eller annan lagstiftning blir tillämplig eller om det finns behov av en särskild sådan bestämmelse.

Utredaren ska därför

  • överväga behovet av särskilda bestämmelser om skadestånd för det fall fingeravtryck och biometriska data som tagits vid in- eller utresekontroll för kontroll av identitet och av en Schengenviserings äkthet inte omedelbart förstörs efter att kontrollen har genomförts i enlighet med de bestämmelser som föreslås i promemorian EU:s gränskodex, och
  • för det fall utredaren anser att ett sådant behov finns, utforma förslag till sådana bestämmelser.

Genomförande och redovisning av uppdraget

Utredaren ska samråda med Informationshanteringsutredningen (Ju 2011:11), Migrationsverket, Datainspektionen, Försäkringskassan, Pensionsmyndigheten och polisen samt, i den utsträckning som utredaren finner det behövligt, med kommittéer och utredare med närliggande frågeställningar.

I uppdraget ingår att lämna fullständiga författningsförslag utifrån de överväganden som görs. Utredaren är oförhindrad att ta upp även andra frågor som har samband med de frågeställningar som ska utredas.

Utredaren ska bedöma de kostnader och konsekvenser som förslaget kan komma att medföra. Om förslaget förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

Uppdraget ska redovisas senast den 31 juli 2015.

(Justitiedepartementet)