Ds 2015:44
Passdatalag
1. Promemorians huvudsakliga innehåll
Promemorian innehåller förslag till en lag om behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet, en passdatalag. Syftet med lagen är att göra det möjligt för passmyndigheterna och Utrikesdepartementet att behandla personuppgifter på ett ändamålsenligt sätt i myndigheternas passverksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Målsättningen är att skapa en teknikneutral och flexibel lag som innehåller de bestämmelser som är av central betydelse för integritetsskyddet, däribland ändamålen med behandlingen och de begränsningar som ska gälla för behandling av vissa uppgifter. Kompletterande bestämmelser meddelas genom förordning eller föreskrifter. Lagförslaget reglerar behandlingen av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet. Med passverksamhet avses den verksamhet som passmyndigheterna och Utrikesdepartementet ansvarar för enligt passlagen. Den föreslagna lagen ska gälla utöver personuppgiftslagen (1998:204) och ska ersätta det fåtal särregler om personuppgiftsbehandling som finns i passlagen (1978:302) och passförordningen (1979:664).
Promemorian innehåller också förslag till en förordning om behandling av personuppgifter i passmyndigheternas verksamhet avseende nationella identitetskort. Den föreslagna förordningen ska ersätta de särregler om personuppgiftsbehandling som finns i förordningen (2005:661) om nationellt identitetskort. Förordningen ska gälla utöver personuppgiftslagen.
Författningsförslagen föreslås träda i kraft så snart som möjligt. Tidigaste tidpunkt för ikraftträdande torde vara sommaren 2016.
2. Författningsförslag
2.1. Förslag till passdatalag
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i passmyndigheternas och Regeringskansliets (Utrikesdepartementet) passverksamhet. Med passverksamhet avses den verksamhet som passmyndigheterna och Regeringskansliet (Utrikesdepartementet) ansvarar för enligt passlagen (1978:302).
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagens syfte
2 § Syftet med denna lag är att göra det möjligt för passmyndigheterna och Regeringskansliet (Utrikesdepartementet) att behandla personuppgifter på ett ändamålsenligt sätt i sin passverksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Förhållandet till passlagen
3 § I denna lag har termer och begrepp som också förekommer i passlagen (1978:302) samma betydelse som i den lagen.
Författningsförslag Ds 2015:44
Förhållandet till personuppgiftslagen
4 § Vid behandling av personuppgifter som omfattas av denna lag gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av den.
Personuppgiftsansvar
5 § Polismyndigheten är personuppgiftsansvarig för behandling av personuppgifter i passregistret och registret över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302).
Passmyndigheterna och Regeringskansliet (Utrikesdepartementet) är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet i övrigt utför med stöd av denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det behövs:
1. för att pröva ansökan om pass,
2. för att pröva framställning om återkallelse av pass, om provisorisk återkallelse av pass eller om begränsning i giltighet för pass,
3. för att utfärda, återkalla, dra in eller makulera pass,
4. för att omhänderta eller överlämna pass enligt 17 och 18 §§passlagen (1978:302),
5. vid talan mot beslut i passärenden, samt
6. för att i övrigt fullgöra passmyndigheternas och Regeringskansliets (Utrikesdepartementet) uppgifter enligt passlagen (1978:302).
7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för kontroll av identitetsuppgifter och uppgifter om pass vid gränskontroll. Sådana uppgifter får också behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten.
Ds 2015:44 Författningsförslag
8 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning.
9 § I fråga om behandling av personuppgifter för andra ändamål än vad som anges i 6-8 §§, gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Den enskildes inställning till personuppgiftsbehandlingen
10 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
Register
11 § Polismyndigheten ska med hjälp av automatiserad behandling föra ett passregister och ett register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302).
12 § Passregistret får endast innehålla de uppgifter om en person som behövs för de ändamål som anges i 6 §, och som avser:
a) för – och efternamn,
b) personnummer,
c) kön,
d) födelseort,
e) längd,
f) ansiktsbild och
g) namnteckning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de ytterligare uppgifter som registret får innehålla.
13 § Registret över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) får endast innehålla de uppgifter om en person som behövs för de ändamål som anges i 6 §, och som avser personnummer och för – och efternamn.
Författningsförslag Ds 2015:44
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de ytterligare uppgifter som registret får innehålla.
Särskilda kategorier av personuppgifter
14 § Personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa får behandlas om uppgifterna är nödvändiga för handläggningen av ett ärende eller om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text.
Sökförbud
15 § Som sökbegrepp får inte användas uppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa. Som sökbegrepp får inte heller användas uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 passlagen (1978:302) samt de biometriska data som kan tas fram ur dessa får inte användas vid sökning med hjälp av automatiserad behandling.
Första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.
Bevarande och gallring
16 § Uppgifter ska gallras så snart uppgiften inte längre behövs för något av de ändamål som den behandlas för.
Fingeravtrycken enligt 6 § andra stycket 1 passlagen (1978:302) och de biometriska data som tas fram ur dessa och ur ansiktsbilden enligt 6 § andra stycket 1 samma lag ska omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits.
Uppgifter i registret över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) ska gallras senast
Ds 2015:44 Författningsförslag
1. när den person som uppgifterna avser inte längre är intagen för vård enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård eller
2. när en anmälan enligt 20 § 1 passlagen (1978:302) har återkallats.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att gallring enligt första stycket ska ske senast vid en viss tidpunkt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter att uppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov, även om föreskrifterna kommer att avvika från första stycket.
Tillgången till personuppgifter
17 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Utlämnande av personuppgifter
18 § Polismyndigheten ska på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten,
Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.
Utlämnande på medium för automatiserad behandling
19 § Om en personuppgift får lämnas ut, får det ske på medium för automatiserad behandling.
Författningsförslag Ds 2015:44
Rättelse och skadestånd
20 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den ...
2. Bestämmelsen i 16 § första stycket behöver inte börja tillämpas förrän den …
2.2. Förslag till passdataförordning
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av passdatalagen (201X:XX). De uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.
Register
2 § Passregistret får, utöver de personuppgifter som anges i 12 § passdatalagen (201X:XX), också innehålla uppgifter om en person som avser:
a) ärendenummer,
b) dag för utfärdandet av passet, passnummer och giltighetstid,
c) beslut om att ansökan har avslagits eller passet har återkallats samt uppgift om vad som har utgjort grund för ett sådant beslut och
d) beslut om att passet har spärrats eller makulerats samt uppgift om vad som utgjort grund för ett sådant beslut.
Tillgången till personuppgifter
3 § Polismyndigheten får, efter att ha gett Regeringskansliet tillfälle att yttra sig, meddela närmare föreskrifter om tillgången till personuppgifter i passverksamhet för personer som är verksamma inom myndigheten. Regeringskansliet får, efter att ha gett Polismyndigheten tillfälle att yttra sig, meddela motsvarande föreskrifter för passmyndigheterna utom riket och Utrikesdepartementet.
Författningsförslag Ds 2015:44
Bevarande och gallring
4 § Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras så att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov tillgodoses, även om föreskrifterna kommer att avvika från bestämmelsen om gallring i 16 § första stycket passdatalagen (201X:XXX).
Intresset av att uppgifterna ska bevaras ska vägas mot behovet av skydd för den enskildes personliga integritet.
Övriga bestämmelser
5 § En passinnehavare har rätt att hos en passmyndighet kontrollera den information som har sparats i lagringsmediet i passet.
6 § Polismyndigheten får, efter att ha gett Regeringskansliet tillfälle att yttra sig, meddela de ytterligare föreskrifter som behövs för
Polismyndighetens verkställighet av passdatalagen (201X:XX) och denna förordning. Regeringskansliet får, efter att ha gett Polismyndigheten tillfälle att yttra sig, meddela motsvarande föreskrifter för passmyndigheter utom riket och Utrikesdepartementet.
7 § Innan Polismyndigheten och Regeringskansliet meddelar föreskrifter med stöd av denna förordning, ska Datainspektionen ges tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.
Denna förordning träder i kraft den ...
2.3. Förslag till lag om ändring i passlagen (1978:302)
Härigenom föreskrivs i fråga om passlagen (1978:302)
dels att 6 b § ska upphöra att gälla,
dels att 6 a § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 a §1
Fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 ska sparas i ett lagringsmedium i passet. Fingeravtrycken och de
biometriska data som tas fram ur dessa och ur ansiktsbilden ska omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits.
Fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 ska sparas i ett lagringsmedium i passet.
Denna lag träder i kraft den ...
1 Senaste lydelse 2009:387.
2.4. Förslag till förordning om ändring i passförordningen (1979:664)
Härigenom föreskrivs i fråga om passförordningen (1979:664)
dels att 22 a och 23 §§ att ska upphöra att gälla,
dels att rubriken närmast före 23 § ska utgå,
dels att 19 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 19 a §, av följande lydelse,
dels att det närmast före 23 a § ska införas en ny rubrik som ska
lyda ”Reseförbud och anmälningsskyldighet m.m.”.
Nuvarande lydelse Föreslagen lydelse
19 §2
Anmälan av chefsöverläkare enligt 20 § 1 passlagen (1978:302) ska göras till Polismyndigheten. Chefsöverläkaren ska återkalla anmälan om de omständigheter som har föranlett den inte längre finns.
Anmälan av chefsöverläkare enligt 20 § 1 passlagen (1978:302) ska göras till Polismyndigheten. Chefsöverläkaren ska återkalla anmälan om de omständigheter som har föranlett den inte längre finns.
Chefsöverläkaren ska underrätta Polismyndigheten när den person som anmälan avser inte längre bereds sådan vård som anges i 20 § passlagen (1978:302) .
19 a §
Har ett pass återkallats på grund av en framställning enligt 24 § andra stycket passlagen (1978:302) ska Socialstyrelsen underrätta Polismyndigheten när den person vars pass har återkallats inte längre bereds sådan vård som anges i 20 § passlagen
2 Senaste lydelse 2014:1130.
Ds 2015:44 Författningsförslag
( 1978:302 ).
Denna förordning träder i kraft den …
2.5. Förslag till förordning om behandling av personuppgifter i verksamhet avseende nationellt identitetskort
Härigenom föreskrivs följande.
Förordningens tillämpningsområde
1 § Denna förordning gäller vid behandling av personuppgifter i passmyndigheternas verksamhet avseende nationella identitetskort.
Med verksamhet avseende nationella identitetskort avses den verksamhet som passmyndigheterna ansvarar för enligt förordningen om nationellt identitetskort (2005:661).
Förordningen gäller bara om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förordningens syfte
2 § Syftet med denna förordning är att göra det möjligt för passmyndigheterna att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet avseende nationella identitetskort och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Förhållandet till förordningen om nationellt identitetskort
3 § I denna förordning har termer och begrepp som också förekommer i förordningen om nationellt identitetskort (2005:661) samma betydelse som i den förordningen.
Förhållandet till personuppgiftslagen
4 § Vid behandling av personuppgifter som omfattas av denna för-
ordning gäller personuppgiftslagen (1998:204), om inte annat följer
Ds 2015:44 Författningsförslag
av denna förordning eller föreskrifter som har meddelats med stöd av den.
Personuppgiftsansvar
5 § Polismyndigheten är personuppgiftsansvarig för behandling av personuppgifter i registret över nationella identitetskort.
Passmyndigheterna är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet i övrigt utför med stöd av denna förordning eller föreskrifter som har meddelats med stöd av denna förordning.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det behövs:
1. för att pröva ansökan om nationellt identitetskort,
2. för att pröva ärenden om återkallelse av nationella identitetskort,
3. för att utfärda, återkalla eller makulera nationella identitetskort,
4. för att omhänderta eller överlämna nationella identitetskort enligt 13 § förordningen om nationellt identitetskort (2005:661),
5. vid talan mot beslut i ärenden om nationella identitetskort, samt
6. för att i övrigt fullgöra passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort (2005:661).
7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för kontroll av identitetsuppgifter och uppgifter om nationella identitetskort vid gränskontroll. Sådana uppgifter får också behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten.
8 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning.
Författningsförslag Ds 2015:44
9 § I fråga om behandling av personuppgifter för andra ändamål än vad som anges i 6–8 §§, gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Den enskildes inställning till personuppgiftsbehandlingen
10 § Behandling av personuppgifter som är tillåten enligt denna förordning får utföras även om den registrerade motsätter sig behandlingen.
Register
11 § Polismyndigheten ska med hjälp av automatiserad behandling föra ett register över nationella identitetskort.
12 § Registret får endast innehålla de uppgifter om en person som behövs för de ändamål som anges i 6 §, och som avser:
a) sökandens namn, personnummer, födelseort, längd och kön,
b) ärendenummer,
c) dag för utfärdandet av identitetskortet, kortnummer och giltighetstid,
d) sökandens namnteckning och kopia av den ansiktsbild som identitetskortet har försetts med,
e) beslut om att ansökan har avslagits eller identitetskortet har återkallats samt uppgift om vad som har utgjort grund för ett sådant beslut, och
f) beslut om att identitetskortet har spärrats eller makulerats samt uppgift om vad som utgjort grund för ett sådant beslut.
Sökförbud
13 § Som sökbegrepp får inte användas uppgifter som avslöjar ras eller etniskt ursprung.
Ansiktsbilden enligt 3 § andra stycket 1 förordningen (2005:661) om nationellt identitetskort samt de biometriska data som kan tas fram ur en sådan ansiktsbild får inte användas vid sökning med hjälp av automatiserad behandling.
Ds 2015:44 Författningsförslag
Första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.
Bevarande och gallring
14 § En uppgift i registret över nationella identitetskort ska gallras senast sex månader efter att giltighetstiden för ett identitetskort har gått ut.
Uppgifter i övrigt ska gallras så snart uppgiften inte längre behövs för något av de ändamål som den behandlas för.
De biometriska data som tas fram ur ansiktsbilden enligt 3 § andra stycket 1 förordningen (2005:661) om nationellt identitetskort ska omedelbart förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits.
15 § Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras så att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov tillgodoses, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 14 § första och andra stycket.
Intresset av att uppgifterna ska bevaras ska vägas mot behovet av skydd för den enskildes personliga integritet.
Rättelse och skadestånd
16 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna förordning.
Övriga bestämmelser
17 § En innehavare av ett identitetskort har rätt att hos en passmyndighet kontrollera den information som har sparats i lagringsmediet i identitetskortet.
Författningsförslag Ds 2015:44
18 § Polismyndigheten får, efter att ha gett Regeringskansliet tillfälle att yttra sig, meddela de ytterligare föreskrifter som behövs för Polismyndighetens verkställighet av denna förordning. Regeringskansliet får, efter att ha gett Polismyndigheten tillfälle att yttra sig, meddela motsvarande föreskrifter för passmyndigheter utom riket.
19 § Innan Polismyndigheten och Regeringskansliet meddelar föreskrifter med stöd av denna förordning, ska Datainspektionen ges tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.
1. Denna förordning träder i kraft den ...
2. Bestämmelsen i 14 § andra stycket behöver inte börja tillämpas förrän den …
2.6. Förslag till förordning om ändring i förordningen om nationellt identitetskort (2005:661)
Härigenom föreskrivs i fråga om förordningen om nationellt identitetskort (2005:661)
dels att 14–17, 19 och 20 §§ ska upphöra att gälla,
dels att rubriken närmast före 14 och 20 §§ ska utgå,
dels att det närmast före 18 § ska införas en ny rubrik som ska
lyda ”Övriga bestämmelser”,
dels att 4 § och 18 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 §
Ansiktsbilden enligt 3 § andra stycket 1 får sparas i ett lagringsmedium i identitetskortet.
De biometriska data som tas fram ur ansiktsbilden skall omedelbart förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits.
Ansiktsbilden enligt 3 § andra stycket 1 får sparas i ett lagringsmedium i identitetskortet.
18 §
Ansiktsbilden enligt 3 § andra stycket 1 och 16 § 3 samt de biometriska data som kan tas fram ur en sådan ansiktsbild får inte användas vid sökning med hjälp av automatiserad behandling.
Om en myndighet har genomfört en kontroll av huruvida innehavarens ansikte motsvarar ansiktsbilden i lagringsmediet, skall den ansiktsbild och de biometriska data som därvid har tagits fram omedelbart förstöras.
Om en myndighet har genomfört en kontroll av huruvida innehavarens ansikte motsvarar ansiktsbilden i lagringsmediet, ska den ansiktsbild och de biometriska data som därvid har tagits fram omedelbart förstöras.
Författningsförslag Ds 2015:44
Denna förordning träder i kraft den …
3. Utredningens uppdrag och arbete
3.1. Bakgrund
3.1.1. Behandling av personuppgifter i verksamhet avseende pass
Varje svensk medborgare har som huvudregel rätt att efter ansökan erhålla ett svenskt pass. Bestämmelser om pass för svenska medborgare finns i passlagen (1978:302). Lagen reglerar förfarandet vid utfärdande av pass och anger när det föreligger hinder mot utfärdande samt i vilka situationer ett pass kan återkallas och omhändertas. I passförordningen (1979:664) finns närmare bestämmelser om förfarandet.
Enligt passlagen utfärdas pass av passmyndighet. Polismyndigheten är passmyndighet inom Sverige. I utlandet utförs uppgiften istället av vissa svenska ambassader och konsulat.
För polismyndighetens passverksamhet gäller, utöver passlagen och passförordningen, Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). För den passverksamhet som sker vid svenska ambassader och konsulat gäller på motsvarande sätt Regeringskansliets föreskrifter (UF 2009:9) om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort.
Vissa typer av pass – tjänstepass och diplomatpass – utfärdas inte av passmyndighet utan av Utrikesdepartementet. Vad gäller den verksamheten finns kompletterande bestämmelser i Regeringskansliets föreskrifter (UF 2007:2) om diplomat- och tjänstepass.
De passansökningar som Polismyndigheten handlägger hanteras i Resehandlingssystemet (RES). Svenska ambassader och konsulat
Utredningens uppdrag och arbete Ds 2015:44
samt Utrikesdepartementet använder istället Resehandlingssystemet för utlandsmyndigheter (RES-UM), genom vilket de ges tillgång till RES. RES är ett kombinerat system för ärendehantering och register över utfärdade pass. Handlingar som varit aktuella i ett ärende skannas in och antecknas i RES respektive RES-UM och sparas därefter i RES.
När passmyndigheterna och Utrikesdepartementet handlägger ansökningar om pass behandlas personuppgifter i RES respektive RES-UM. Det rör sig huvudsakligen om sökandens namn, personnummer, längd, kön, födelseort, foto och fingeravtryck. Vissa uppgifter hämtas från system som är sammanlänkade med RES, medan andra uppgifter såsom fingeravtryck och digital ansiktsbild lämnas av sökanden vid ansökningstillfället. Skulle det vid ansökningstillfället framkomma att passhinder kan föreligga enligt passlagen, ska detta undersökas genom slagningar i bl.a. misstankeregistret, belastningsregistret och kriminalvårdsregistret. En kontroll ska även göras om passhinder kan föreligga på grund av att sökanden genomgår rättspsykiatrisk vård eller har reseförbud enligt konkurslagen (1987:672). Det är Polismyndigheten som utför de s.k. passhindersundersökningarna, och det är också endast polisen som har tillgång till relevanta register såsom misstankeregistret, belastningsregistret och kriminalvårdsregistret. Vid handläggningen av en passansökan kan det således – i vart fall hos Polismyndigheten - behandlas mer känsliga personuppgifter såsom att sökanden är anhållen, avtjänar fängelsestraff eller genomgår rättspsykiatrisk vård med särskild utskrivningsprövning.
För den personuppgiftsbehandling som förekommer i verksamhet avseende pass gäller personuppgiftslagen (1998:204). Personuppgiftslagen anger den grundläggande ramen för behandling av personuppgifter och gäller i den mån det inte finns avvikande bestämmelser i annan lag eller förordning. I passlagen och i passförordningen finns ett fåtal särregler som gäller för personuppgiftsbehandling i passverksamhet. Av 23 § passförordningen framgår att Polismyndigheten ska föra ett passregister samt ett register över vissa omständigheter som innebär att passtillstånd krävs. Det framgår också att Polismyndigheten på begäran ska lämna ut uppgift i form av fotografisk bild av enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tull-
Ds 2015:44 Utredningens uppdrag och arbete
verket, Skatteverket och Kronofogdemyndigheten. Vad gäller behandlingen av sökandens fingeravtryck och ansiktsbild anges i 6 a och 6 b §§passlagen bl.a. att de biometriska data som tas fram ur dessa uppgifter omedelbart ska förstöras när passet har lämnats ut.
3.1.2. Behandling av personuppgifter i verksamhet avseende nationella identitetskort
En passmyndighet kan efter ansökan av svenska medborgare också utfärda nationella identitetskort. Det nationella identitetskortet infördes år 2005 i syfte att underlätta resandet inom Schengenområdet. Identitetskortet regleras i förordningen (2005:661) om nationellt identitetskort. Ytterligare bestämmelser om nationella identitetskort finns, i likhet med vad som gäller för pass, i Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort samt Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort.
Ansökningar om nationella identitetskort handläggs i likhet med passansökningar i RES respektive RES-UM. Vid handläggningen av ansökningar om nationella identitetskort behandlas, i likhet med vad som gäller vid ansökan om pass, personuppgifter i RES respektive RES-UM. Det handlar framförallt om sökandens namn, personnummer, längd, kön och foto. Sökanden är skyldig att vid ansökningstillfället styrka sin identitet och sitt svenska medborgarskap. Däremot behöver förhållanden som utgör passhinder, t.ex. att sökanden är anhållen eller genomgår rättspsykiatrisk vård med särskild utskrivningsprövning, inte undersökas eftersom sådana förhållanden inte hindrar att ett nationellt identitetskort utfärdas. Vid handläggningen av ärenden om nationella identitetskort behandlas således inte sådana mer känsliga personuppgifter som kan förekomma i passärenden.
Den behandling av personuppgifter som sker i verksamhet avseende nationella identitetskort regleras också den av personuppgiftslagen. I 4 och 14-19 §§ förordningen om nationellt identitetskort finns vissa särregler för den personuppgiftsbehandling som sker i verksamhet avseende nationella identitetskort. Av bestäm-
Utredningens uppdrag och arbete Ds 2015:44
melserna framgår bl.a. att Polismyndigheten ska föra ett register över nationella identitetskort, att registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet för utfärdande av korten, att registret ska innehålla uppgifter om bl.a. sökandens namn, personnummer, längd, kön och ansiktsbild samt att uppgifterna i registret ska gallras senast sex månader efter att giltighetstiden för ett kort har gått ut.
3.1.3. Behovet av en utredning
Personuppgiftslagen gäller generellt för all behandling av personuppgifter, såvida det inte finns särreglering i annan lag eller förordning. De bestämmelser som vid sidan av personuppgiftslagen reglerar passmyndigheternas och Utrikesdepartementets personuppgiftsbehandling i passverksamheten är begränsade och ålderdomliga. Med hänsyn till omfattningen och karaktären av de uppgifter som behandlas i verksamhet avseende pass och det stora antalet personer som finns registrerade i passregistret, finns det skäl att överväga en mer utförlig och modern särreglering.
För den behandling av personuppgifter som sker i verksamhet avseende nationella identitetskort finns en mer detaljerad särreglering. De uppgifter som behandlas i kortärendena skiljer sig också i viss mån till sin omfattning och karaktär från de uppgifter som behandlas i passärendena. Vidare är betydligt färre personer registrerade i registret över identitetskorten jämfört med passregistret. Passverksamheten och verksamheten gällande identitetskorten är emellertid nära sammanflätade. Dessutom är det till stor del samma uppgifter som behandlas i de båda verksamheterna. Mot denna bakgrund har det ansetts lämpligt att vi i samband med en översyn av personuppgiftsregleringen gällande pass, också ser över motsvarande reglering gällande identitetskort.
3.2. Uppdraget
Till grund för uppdraget ligger en av regeringskansliet utarbetad promemoria, se bilaga 1. Enligt promemorian ska vi undersöka och redovisa vilken personuppgiftsbehandling som sker i verksamhet rörande pass respektive nationella identitetskort. Utifrån resultatet
Ds 2015:44 Utredningens uppdrag och arbete
av undersökningen ska vi överväga och föreslå en ny särskild författningsreglering vad avser behandling av personuppgifter i passverksamheten. Vi ska även överväga behovet av, och eventuellt föreslå, ändringar i personuppgiftsregleringen gällande de nationella identitetskorten.
Var och en har gentemot det allmänna ett grundlagsstadgat skydd mot sådant intrång som är betydande och som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd får endast begränsas genom lag (2 kap.6 och 20 §§regeringsformen). Vi ska därför särskilt överväga om det finns anledning att föreslå att, och i så fall i vilken utsträckning, bestämmelser bör anges i lag.
Vi ska därtill analysera och redovisa förslagens ekonomiska konsekvenser. Om kostnader bedöms uppkomma ska ett finansieringsförslag lämnas.
3.3. Avgränsning av uppdraget
Som framgått ovan har vi fått i uppdrag att undersöka och redovisa vilken personuppgiftsbehandling som sker i verksamhet avseende pass och nationellt identitetskort och utifrån resultatet från undersökningen lämna förslag till en författningsreglering. Utanför uppdraget faller dock den personuppgiftsbehandling som sker hos Migrationsverket i deras verksamhet avseende pass och andra resedokument för flyktingar och andra utlänningar. Utanför uppdraget faller även den personuppgiftsbehandling som utförs av annan stat i samband med kontroll av svenska pass utomlands.
3.4. Arbetets bedrivande
Vårt arbete påbörjades i oktober 2014. Arbetet har bedrivits med målsättningen att skapa bestämmelser för behandling av personuppgifter i verksamhet avseende pass och nationellt identitetskort, vilka är anpassade till personuppgiftslagens rättsliga ramar och till behovet av ett regelverk som främjar effektiviteten i passmyndigheternas verksamhet.
En av de grundläggande utgångspunkterna för vårt arbete har varit att föreslå moderna, teknikneutrala och allmänt ändamålsen-
Utredningens uppdrag och arbete Ds 2015:44
liga och flexibla regler. Den andra viktiga utgångspunkten för arbetet har varit att ta hänsyn till de integritetsaspekter som följer av användningen av omfattande automatiserade uppgiftssamlingar i passmyndigheternas verksamhet.
Vi har under arbetets gång samrått med företrädare för Polismyndigheten och Utrikesdepartementet. Vi har besökt Polismyndigheten och Utrikesdepartementet och då sammanträffat med företrädare för myndigheternas olika verksamheter inom ramen för utredningsuppdraget. Vi har därutöver besökt Sveriges ambassad i London, Passcentralen Göteborg, Stockholms City passexpedition och gränspolisen på Göteborg Landvetter flygplats. I samband med dessa besök har vi getts möjlighet att följa verksamheten på plats och inhämtat synpunkter avseende den praktiska tillämpningen av lagstiftningen.
Vi har även samrått med Säkerhetspolisen, Socialstyrelsen, Datainspektionen, Riksarkivet och Migrationsverket. Samråd har också skett med 2014 års utlänningsdatautredning (Ju2014:11), Utredningen avseende personuppgiftsbehandling i samband med strafföreläggande, föreläggande av ordningsbot och uppbörd av böter (Ju2014:G), Utredningen med uppdrag att överväga åtgärder för att motverka missbruk av svenska pass (Ju2014:C) och Informationshanteringsutredningen (Ju2011:11).
4. Pass och nationella identitetskort
4.1. Allmän bakgrund
En svensk medborgare får som huvudregel inte resa ut ur landet utan att medföra giltigt pass. Den som ska medföra pass vid utresa ur landet är även skyldig att på begäran visa upp sitt pass för exempelvis en polisman. Motsvarande skyldighet gäller vid inresa från annat land, om inte det svenska medborgarskapet kan styrkas på något annat sätt.
Sverige deltar sedan mars 2001 fullt ut i Schengensamarbetet. I anledning av detta har personkontrollerna mot övriga Schengenstater upphävts, vilket innebär att resande inte behöver visa upp pass vid gränserna. Även i dessa fall måste man emellertid kunna styrka sitt medborgarskap och därmed sin rätt att vistas i landet utan särskilt tillstånd vid s.k. inre utlänningskontroll. Passet var tidigare den enda legitimationshandling utfärdad av en svensk myndighet som visade medborgarskap och som därmed uppfyllde kraven vid en inre utlänningskontroll i Schengenstaterna. För att förenkla resandet infördes i oktober 2005 möjligheten för svenska medborgare att efter ansökan erhålla ett nationellt identitetskort. Ett nationellt identitetskort styrker, liksom pass, innehavarens identitet och medborgarskap och uppfyller därmed kraven vid en inre utlänningskontroll i Schengenstaterna.
Passlagen (1978:302) innehåller bestämmelser som reglerar förfarandet vid utfärdande av pass till svenska medborgare. I lagen anges bl.a. när det finns hinder mot att utfärda pass och i vilka situationer som ett pass kan omhändertas och återkallas. I passförordningen (1979:664) finns närmare bestämmelser om förfarandet.
De nationella identitetskorten regleras i förordningen (2005:661) om nationellt identitetskort. I förordningen finns bland
Pass och nationella identitetskort Ds 2015:44
annat bestämmelser om ansökningsförfarandet, återkallelse och registerföring.
För polismyndigheternas verksamhet avseende pass och nationella identitetskort gäller utöver passlagen, passförordningen och förordningen om nationellt identitetskort Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). För den verksamhet avseende pass och nationella identitetskort som sker vid svenska ambassader och konsulat gäller på motsvarande sätt Regeringskansliets föreskrifter (UF 2009:9) om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort.
Tjänstepass och diplomatpass utfärdas inte av passmyndighet utan av Utrikesdepartementet. Vad gäller den verksamheten finns kompletterande bestämmelser i Regeringskansliets föreskrifter (UF 2007:2) om diplomat- och tjänstepass.
4.2. Pass
4.2.1. Inledning
Under våren 2014 fanns det totalt cirka 6,5 miljoner utfärdade giltiga svenska pass. Sedan år 2010 har antalet utfärdade svenska pass varierat mellan ca 1 064 000 – 1 478 000 per år.
Pass kan enligt bestämmelserna i passlagen utfärdas som vanligt pass eller särskilt pass (3 § passlagen). Särskilt pass kan utfärdas som provisoriskt pass, extra pass, tjänstepass eller diplomatpass (6 § passförordningen). Särskilt pass kan vidare utfärdas som en provisorisk resehandling enligt förordningen (1997:698) om Europeiska unionens provisoriska resehandling. Vanligt pass och särskilt pass utfärdas av passmyndighet inom eller utom riket (2 § passlagen).
Under vissa förutsättningar utfärdar även Migrationsverket pass och andra resedokument. Det rör sig då om resedokument, främlingspass och provisoriskt främlingspass åt utlänningar som är bosatta i Sverige samt åt flyktingar som befinner sig i tredje land och som saknar pass eller annan resehandling och som ska föras över till Sverige. De av Migrationsverket utfärdade resehandlingarna regleras i utlänningslagen (2005:716) och utlänningsför-
Ds 2015:44 Pass och nationella identitetskort
ordningen (2006:97) och omfattas inte av vårt uppdrag. De kommer därför inte att behandlas vidare inom ramen för denna utredning.
4.2.2. Olika sorters pass
Vanligt pass
En svensk medborgare har rätt att efter ansökan få ett vanligt pass om det inte finns några passhinder (4 § passlagen). Det innebär att en passmyndighet är skyldig att utfärda pass för en svensk medborgare om förutsättningarna för det är uppfyllda. Vanliga pass gäller normalt för resa till alla länder. Huvudregeln är att de utfärdas för fem år. Vid passhinder enligt 7 § passlagen (se vidare under avsnitt 4.2.3), kan det emellertid bli fråga om att utfärda pass med en begränsad giltighetstid och ett begränsat giltighetsområde i stället för att avslå passansökan.
Vanliga pass är utrustade med ett datachip som kan lagra biometrisk information (se vidare under avsnitt 6.2.3). På datachipet sparas innehavarens ansiktsbild och fingeravtryck tillsammans med hans eller hennes personuppgifter. Syftet är att höja säkerheten och säkerställa att personen på fotot och den som använder resehandlingen är samma person. Barn under sex år och de som har permanenta skador på sina fingrar behöver dock inte lämna fingeravtryck.
Provisoriskt pass
Ett provisoriskt pass är ett pass som utfärdas snabbt utan fulla kontroller och med sämre säkerhetsdetaljer. För provisoriska pass gäller bl.a. undantag från skyldigheten att låta passmyndigheten ta sökandes fingeravtryck.
Ett provisoriskt pass kan utfärdas av passmyndighet inom riket, om sökanden har behov av ett pass omedelbart för en resa (11 § 1 passförordningen). Ett provisoriskt pass får också utfärdas av passmyndighet utom riket, för sökande som inte kan styrka sitt svenska medborgarskap eller har förlorat det utan att förvärva medborgarskap i annan stat eller om det annars finns särskilda skäl för det (11 § 2 passförordningen). Ett provisoriskt pass gäller för
Pass och nationella identitetskort Ds 2015:44
den aktuella resan, dock längst sju månader. Alla stater godtar inte provisoriska pass som resehandling, vilket innebär att innehavaren av ett sådant pass inte släpps in i den aktuella staten. Ett provisoriskt pass omhändertas vid ankomsten tillbaka till Sverige i de fall man går igenom passkontroll.
Endast ett fåtal passexpeditioner i Sverige utfärdar provisoriska pass: Arlanda flygplats, passcentralen Göteborg, polishuset i Karlskrona, polishuset i Karlstad, Landvetter flygplats, polishuset i Luleå, passexpeditionen på Drottninggatan i Malmö, Skavsta flygplats, flygplatsen Sturup-Malmö, polishuset i Umeå samt polishuset i Västerås. Dessutom utfärdar samtliga ambassader och generalkonsulat provisoriska pass.
Provisoriska pass är tomma dokument som personifieras på passexpeditionerna. Dokumenten skiljer sig emellertid åt i utseende beroende på om de är utfärdade av en passmyndighet i Sverige eller i utlandet. Passexpeditionerna i Sverige utformar provisoriska pass i form av provioriska passböcker (rosa passböcker), medan passmyndigheterna i utlandet utfärdar provisoriska pass i form av provisoriska A4-pass (A4-dokument).
Extra pass
Extra pass får utfärdas för passinnehavare som för sitt arbete eller av annat särskilt skäl har behov av mer än ett giltigt pass. Särskilda skäl kan t.ex. föreligga om
1. sökanden ska resa till länder mellan vilka det råder sådana politiska förhållanden som gör det omöjligt att resa in i ett av länderna med ett vanligt pass, vilket har använts för en resa till ett annat av länderna,
2. sökanden vid en resa måste ha sitt vanliga pass inlämnat hos en utländsk myndighet för att erhålla visering eller uppehållstillstånd avseende en annan resa eller
3. ett vanligt pass har fulltecknats genom inrese-, utrese- eller viseringsstämplar innan passets giltighetstid har gått ut och det i passet finns en visering som fortfarande gäller.
Ds 2015:44 Pass och nationella identitetskort
Tjänstepass och diplomatpass
Tjänstepass och diplomatpass får enligt 17 § passförordningen endast utfärdas av chefen för Utrikesdepartementet eller den han eller hon bemyndigar. Reglerna i passförordningen om passtillstånd, utfärdande och utlämnade av pass, återkallelse av pass och indragning av pass gäller inte diplomat- eller tjänstepass (31 § passlagen). I stället tillämpas Regeringskansliets föreskrifter (UF 2007:2) om diplomat- och tjänstepass. I föreskrifterna regleras vem som har möjlighet att få diplomat- och tjänstepass. Reglerna baseras på en konsekvent behovsprincip, det vill säga att diplomat- och tjänstepass endast ska utfärdas för den som behöver ett sådant pass för att kunna fullgöra sitt tjänsteuppdrag. I Sverige utfärdas tjänstepass i regel endast till högre statstjänstemän samt andra tjänstemän som tillhör Utrikesdepartementet utan att vara diplomater eller som tjänstgör för SIDA i Sverige och har många officiella resor.
Diplomatpass är pass som används av diplomater (t.ex. ambassad- och konsulatpersonal). Diplomatpasset styrker innehavarens diplomatstatus. Förutom diplomaterna, har medlemmarna av kungahuset, statsråden, riksdagens talman med flera diplomatpass.
Diplomat- och tjänstepass är inte giltiga som ID-handling i Sverige. De får inte heller användas vid privata resor. Den som inte reser i tjänsten ska deponera sitt pass hos Utrikesdepartementet. Utfärdade diplomat- och tjänstepass ska omgående återlämnas till Utrikesdepartementet när det förhållande som har föranlett passets utfärdande inte längre föreligger. Passet ska även lämnas till Utrikesdepartementet vid pensionering, tjänstledighet, föräldraledighet eller annan längre frånvaro.
Europeiska unionens provisoriska resehandling (ETD)
Enligt huvudregeln i passlagen ska svensk passmyndighet utfärda pass för svenska medborgare (1 §). Med stöd av förordningen (1997:698) om Europeiska unionens provisoriska resehandling ges svenska passmyndigheter utom riket rätt att under vissa närmare angivna förutsättningar utfärda en provisorisk resehandling till medborgare i någon av Europeiska unionens medlemsstater.
Pass och nationella identitetskort Ds 2015:44
Europeiska unionens provisoriska resehandling är en resehandling som kan utfärdas för en enda resa till den medlemsstat som sökanden är medborgare i, till det land där han eller hon är fast bosatt eller, i undantagsfall, till en annan bestämmelseort. Europeiska unionens provisoriska resehandling ska inte ha längre giltighetstid än som behövs för den resa för vilken handlingen är utfärdad. En sådan resehandling kan utfärdas till alla medborgare i medlemsstaterna i EU efter tillstånd från den stat som den berörda personen är medborgare i. Den Europeiska unionens provisoriska resehandling får emellertid inte utfärdas för innehavare av hemlandspass vars giltighetstid har gått ut.
Vid ett utfärdande av Europeiska unionens provisoriska resehandling måste sammanfattningsvis följande villkor vara uppfyllda.
1. Innehavaren av dokumentet är medborgare i en av Europeiska unionens medlemsstater och har ett pass som har kommit bort, blivit stulet, förstörts eller för tillfället inte är tillgängligt.
2. Han eller hon befinner sig inom ett lands territorium där den medlemsstat som han eller hon är medborgare i inte har någon tillgänglig diplomatisk eller konsulär representation som kan utfärda ett resedokument eller där den staten inte är representerad på något annat sätt.
3. Tillstånd har erhållits från myndigheterna i den berörda personens ursprungsmedlemsstat.
4.2.3. Begränsningar i möjligheten att erhålla pass
Inledning
Enligt 2 kap. 8 § regeringsformen tillförsäkras svenska medborgare frihet att förflytta sig inom landet och att lämna detta (rörelsefrihet). En bestämmelse om passhinder kan ses som en begränsning av denna rätt till rörelsefrihet. Enligt 2 kap.20 och 21 §§regeringsformen får en sådan begränsning endast göras genom lag och för att tillgodose ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningen. Inte heller får den sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsning får
Ds 2015:44 Pass och nationella identitetskort
inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
Som en följd av rörelsefriheten har varje svensk medborgare rätt att efter ansökan erhålla ett vanligt pass, om inte annat följer av passlagen (4 § passlagen). Passlagen innehåller vissa bestämmelser som gör det möjligt att begränsa tillgången till pass för personer som är dömda eller misstänkta för brott. Passlagen innehåller vidare bestämmelser som begränsar tillgången till pass för den som intagen för psykiatrisk tvångsvård. Slutligen begränsar passlagen tillgången till pass för personer som i samband med ett konkursärende är ålagda att lämna ifrån sig sitt pass eller om det i ett sådant ärende meddelats ett förbud om att utfärda pass för honom eller henne.
Av 7 § passlagen följer att en passansökan ska avslås i vissa fall, dels om sökanden inte uppfyller de grundläggande krav som ställs på honom eller henne vid en ansökan om pass, såsom t.ex. styrkandet av sitt svenska medborgarskap, dels om vissa omständigheter är för handen (s.k. passhinder). I stället för att avslå en passansökan kan passmyndigheten enligt 9 § passlagen utfärda pass med förkortad giltighetstid eller begränsat giltighetsområde. För att passmyndigheten ska utfärda ett sådant pass krävs emellertid dels att det föreligger särskilda skäl, dels att sökanden begär det.
Rätten att erhålla pass begränsas vidare genom att det i 10 § passlagen stadgas att pass inte får utfärdas för sökanden i vissa situationer om han eller hon inte erhåller särskilt tillstånd till pass (passtillstånd). Erhåller sökanden inte sådant tillstånd ska ansökan följaktligen avslås.
Rätten att erhålla pass kan också begränsas – i vart fall – temporärt för den som är skäligen misstänkt för ett brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader. I 8 § passlagen stadgas nämligen att passmyndigheten i sådana fall ska underrätta den som leder förundersökningen och att pass inte får utfärdas för sökanden innan en vecka har förflutit från det att underrättelsen lämnades, om inte undersökningsledaren medger det.
Pass och nationella identitetskort Ds 2015:44
Hinder mot bifall till pass
Som framgått ovan följer det av 7 § passlagen att en ansökan om pass ska avslås i vissa fall. Det rör sig dels om de fall där sökanden inte uppfyller de grundläggande krav som ställs på sökanden (punkterna 1 och 2), dels om de fall där det föreligger sådana omständigheter som utgör passhinder (punkterna 3–11). Nedan följer en närmare redogörelse för i vilka situationer en passansökan ska avslås i enlighet med 7 § passlagen.
Punkten 1 – Sökanden uppfyller inte de grundläggande krav som ställs på honom eller henne i samband med ansökan
Enligt bestämmelsen ska en passansökan avslås om bestämmelserna i 6 § inte har iakttagits och sökanden inte heller har följt en uppmaning att avhjälpa bristen. Av 6 § passlagen följer att sökanden är skyldig att inställa sig personligen hos passmyndigheten och avge passansökan på heder och samvete eller annan sådan försäkran. Sökanden är också skyldig att i samband med ansökan låta passmyndigheten ta hans eller hennes fingeravtryck och ansiktsbild i digitalt format. Slutligen är sökanden skyldig att styrka sin identitet, sitt svenska medborgarskap och övriga personuppgifter. Uppfyller inte sökanden ovanstående krav ska passansökan följaktligen avslås.
Punkten 2 – Vårdnadshavares samtycke saknas vid ansökan om pass till barn under 18 år
Av 11 § andra stycket passlagen följer att pass för barn under 18 år får utfärdas först sedan barnets vårdnadshavare lämnat sitt medgivande. Medgivandet ska ges in tillsammans med ansökan (1 § andra stycket 2 passförordningen). Som en följd härav föreskrivs det i 7 § 2 passlagen att en passansökan för barn under 18 år inte får bifallas utan medgivande från barnets vårdnadshavare, om det inte finns synnerliga skäl att ändå utfärda pass. Om föräldrarna har gemensam vårdnad om barnet ska medgivande lämnas från bägge två.
Ds 2015:44 Pass och nationella identitetskort
Pass får enligt 11 § andra stycket passlagen utfärdas även utan vårdnadshavarnas medgivande om barnet befinner sig i en situation där det finns risk för att dess hälsa eller utveckling skadas eller det annars finns särskilda skäl. I passärenden där det uppkommer en fråga om att utfärda pass för barn under arton år utan vårdnadshavares medgivande ska passmyndigheten inhämta ett yttrande från socialnämnden i den kommun där barnet är folkbokförd eller har starkast anknytning till (3 § andra stycket passförordningen) Socialnämnden är vid sådan begäran skyldig att yttra sig i ärendet (11 a § passlagen). Ett exempel på när det kan anses föreligga synnerliga skäl att utfärda pass trots avsaknad av vårdnadshavares medgivande, är när en av vårdnadshavarna vistas utomlands och det är uppenbart att dennes medgivande skulle ha lämnats. Ett annat exempel är när ett barn är placerat i familjehem utan särskilt förordnande av domstol i vårdnadsfrågan och den naturliga kontakten med de biologiska föräldrarna kan anses bruten (prop. 1977/78:156 s. 43f).
Punkten 3 – Sökanden är anhållen, häktad eller underkastad övervakning enligt bestämmelser i 24 kap. 4 § första stycket rättegångsbalken , eller ålagd reseförbud eller anmälningsskyldighet enligt 25 kap. 1 § samma balk
Enligt bestämmelsen ska passansökan avslås om sökanden är anhållen eller häktad. Ansökan om pass ska vidare avslås om sökanden enligt bestämmelser i 24 kap. 4 § första stycket rättegångsbalken är underkastad övervakning eller enligt 25 kap. 1 § rättegångsbalken är ålagd reseförbud eller anmälningsskyldighet.
Av 24 kap. 4 § första stycket rättegångsbalken följer att en misstänkt såsom alternativ till häktning kan ställas under övervakning om det på grund av hans eller hennes ålder, hälsotillstånd eller någon annan liknande omständighet kan befaras att häktning skulle komma att medföra allvarligt men för den misstänkte. Samma sak gäller om en kvinna har fött barn så nyss att en häktning av henne kan befaras medföra allvarligt men för barnet. Om sökanden är ställd under övervakning enligt ovan ska hans eller hennes passansökan således avslås enligt 7 § 3 passlagen.
Enligt 25 kap. 1 § rättegångsbalken kan den, som är skäligen misstänkt för ett brott på vilket fängelse kan följa, förbjudas att
Pass och nationella identitetskort Ds 2015:44
utan tillstånd lämna anvisad vistelseort (reseförbud) eller föreläggas att på viss ort och på vissa tider anmäla sig hos Polismyndigheten (anmälningsskyldighet). Detta som ett alternativ till att den misstänkte anhålls eller häktas. Det förutsätts dock att det finns en risk för att den misstänkte avviker eller på något annat sätt undandrar sig lagföring eller straff, men att det i övrigt inte finns anledning att anhålla eller häkta honom eller henne. Oberoende av brottets beskaffenhet får reseförbud eller anmälningsskyldighet också beslutas för en misstänkt, om det finns risk för att han eller hon genom att bege sig från riket undandrar sig lagföring eller straff. Finns det skäl att häkta eller anhålla någon, men det kan antas att syftet kan tillgodoses genom reseförbud eller anmälningsskyldighet, får beslut om detta meddelas även i andra än ovan nämnda fall. Om sökanden är belagd med reseförbud eller anmälningsskyldighet enligt ovan ska hans eller hennes passansökan avslås enligt 7 § 3 passlagen.
Ett beslut om att en person är underkastad övervakning, reseförbud eller anmälningsskyldighet enligt bestämmelser i 24 kap. 4 § första stycket och 25 kap. 1 §rättegångsbalken utgör således passhinder och antecknas i registret över efterlysta personer (13 a § efterlysningskungörelsen [1969:293]). Samma sak gäller då det enligt ovan nämnda bestämmelser meddelats ett förbud att utfärda pass för en person.
Punkten 4 – Sökanden är föremål för ett beslut om övervakningsåtgärder enligt 2 kap. 1 § lagen ( 2015:485 ) om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagaren har inte lämnat sitt medgivande till passansökan
Enligt bestämmelsen, som trädde i kraft den 1 augusti 2015, ska passansökan avslås om sökanden är föremål för ett beslut om övervakningsåtgärder enligt 2 kap. 1 § lagen om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen. Ett sådant beslut kan meddelas som ett straffprocessuellt tvångsmedel under en svensk förundersökning eller rättegång. Något passhinder föreligger emellertid inte i ovan nämnda fall om åklagaren har lämnat sitt medgivande till passansökan.
Ds 2015:44 Pass och nationella identitetskort
Med en sökande som är föremål för ett beslut om övervakningsåtgärder enligt 2 kap. 1 § ovan nämnda lag avses en misstänkt person som har meddelats ett svenskt beslut om övervakningsåtgärder för erkännande och uppföljning i en annan medlemsstat i EU. Med misstänkt avses även den som är åtalad. Med ett svenskt beslut om övervakningsåtgärder avses ett beslut om att en misstänkt person förbjuds att utan tillstånd lämna anvisad vistelseort i en annan medlemsstat eller föreläggs att på vissa tider anmäla sig hos myndighet i en sådan stat. Ett förbud att lämna anvisad vistelseort i en annan medlemsstat kan också förenas med ett föreläggande att anmäla sig hos en myndighet i den staten.
Det faktum att en person är föremål för ett beslut om övervakningsåtgärder enligt lagen om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen utgör således passhinder och antecknas i registret över efterlysta personer (13 a § efterlysningskungörelsen [1969:293]). Åklagaren ska underrätta myndigheten i den medlemsstaten där det svenska beslutet följs upp om att medgivande ges.
Punkten 5 – sökanden är föremål för en uppföljningsförklaring som avser en övervakningsåtgärd enligt 3 kap. 3 § 3-5 lagen ( 2015:485 ) om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagaren har inte lämnat sitt medgivande till passansökan
Enligt denna punkt, som också trädde i kraft den 1 augusti 2015, ska passansökan avslås om sökanden är föremål för en uppföljningsförklaring som avser en övervakningsåtgärd enligt 3 kap. 3 § 3–5 lagen om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen. Med en sökande som är föremål för en sådan uppföljningsförklaring avses en misstänkt person som har meddelats ett utländskt beslut om övervakningsåtgärder som har erkänts och följs upp i Sverige under förutsättning att övervakningsåtgärderna i det utländska beslutet motsvaras av reseförbud eller anmälningsskyldighet. Passhinder föreligger inte om åklagaren har lämnat medgivande till passansökan. Ett sådant medgivande kan t.ex. bli aktuellt när den misstänkte behöver ett pass för att återvända till den stat där brottsutredningen pågår eller huvudförhandlingen ska påbörjas. Åklagaren är skyldig att samråda
Pass och nationella identitetskort Ds 2015:44
med myndigheten i den stat som meddelat beslutet om övervakningsåtgärder innan åklagaren beslutar i fråga om medgivande till passansökan.
Det faktum att en person är föremål för en uppföljningsförklaring som avser en övervakningsåtgärd enligt lagen om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen utgör således passhinder och antecknas i registret över efterlysta personer (13 a § efterlysningskungörelsen [1969:293]).
Punkten 6 – Sökanden är efterlyst och ska omhändertas omedelbart vid anträffandet
Enligt denna bestämmelse ska passansökan avslås om sökanden är efterlyst och ska omhändertas omedelbart vid anträffandet.
Regler om efterlysning finns i efterlysningskungörelsen (1969:293). Enligt kungörelsen kan efterlysning ske om det saknas upplysning om var någon som eftersöks av myndighet uppehåller sig och en efterlysning kan antas underlätta eftersökningen (1 §). Beslut om efterlysning fattas av Polismyndigheten, Säkerhetspolisen, åklagare eller Kriminalvården (6 § första stycket). Polismyndigheten kan även fatta beslut om efterlysning efter en framställning av annan svensk eller utländsk myndighet (6 § första och andra stycket).
Av ett beslut om efterlysning ska det framgå om den efterlyste ska omhändertas vid anträffandet (6 § tredje stycket). Det är endast i sådana fall som det föreligger passhinder enligt 7 § 6 passlagen. Bortsett från fall då sökanden är anhållen eller häktad i sin frånvaro föreligger passhinder på denna grund t.ex. då sökanden har avvikit från kriminalvårdsanstalt eller inte inställt sig för att avtjäna frihetsberövande påföljd (jfr 4 § förordning (1974:286) om beräkning av strafftid m.m.). Ett annat exempel då passhinder kan bli aktuellt på denna grund är när en person avvikit från en vårdinrättning efter intagning enligt lagen (1991:1128) om psykiatrisk tvångsvård eller inte återvänt till sådan vårdinrättning inom föreskriven tid eller enligt särskilt beslut ska återföras till sådan inrättning (jfr 47 § lagen om psykiatrisk tvångsvård).
Ds 2015:44 Pass och nationella identitetskort
Punkten 7 – Sökanden är dömd till en frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten
Enligt bestämmelsen föreligger passhinder för den som genom en lagkraftvunnen dom har dömts till frihetsberövande påföljd, som inte har börjat verkställas, om det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten. Innan Polismyndigheten fattar beslut i ärendet inhämtas yttrande från åklagarmyndigheten. I förarbetena till passlagen uttalades att det endast undantagsvis torde finnas skäl att anta att den dömde tänker undandra sig verkställighet genom att fly utomlands, om tvångsmedel inte har använts i brottmålet (prop. 1977/78:156 s. 45). Sedan den dömde påbörjat verkställighet av den ådömda påföljden ska passansökan inte längre avslås med stöd av bestämmelsen.
Punkten 8 – Sökanden avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och sökanden har inte villkorligt frigivits
Av bestämmelsen följer att en passansökan ska avslås om sökanden avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och villkorlig frigivning inte har skett. Passhindret inträder så snart sökanden har börjat verkställa påföljden. Om verkställigheten avser flera kortare fängelsestraff, ska dessa läggas samman vid bedömningen om den sammanlagda tiden att avtjäna uppgår till minst ett år. Likaså ska förverkad villkorligt medgiven frihet utgöra underlag för beräkningen av den sammanlagda strafftiden (prop. 2004/05:119 s. 51).
Bakgrunden till bestämmelsen är behovet av att försvåra för den som rymmer från anstalt eller vårdhem eller avviker i samband med permissioner. Han eller hon anses inte ha något legitimt intresse av att kunna lämna riket under pågående verkställighet. Enligt förarbetena till passlagen får den generella risken för att en person avviker anses beaktansvärd när en person avtjänar ett längre fängelsestraff. Risken för att en person avviker får enligt förarbetena även anses föreligga när den dömde avtjänar fängelsestraff från flera olika domar, vilka sammantagna innebär ett längre fängelsestraff
Pass och nationella identitetskort Ds 2015:44
(prop. 2004/05:119 s. 35 f.). Passhindret föreligger så länge verkställigheten pågår eller till dess villkorlig frigivning har skett.
Punkten 9 – Sökanden genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år
Den 1 januari 1999 infördes sluten ungdomsvård som en ny frihetsberövande påföljd för brott som någon begått innan han eller hon fyllt 18 år. Påföljden sluten ungdomsvård ersätter i princip fängelse för personer som begått brott innan de fyllt 18 år. Någon villkorlig frigivning förekommer inte beträffande sluten ungdomsvård. Statens institutionsstyrelse ansvarar för verkställigheten av påföljden. Redogörelsen ovan avseende passhinder för den som har dömts till fängelsestraff gäller i motsvarande grad för personer som genomgår sluten ungdomsvård. En passansökan för den som genomgår sluten ungdomsvård med en sammanlagd vårdtid om minst ett år ska således avslås med stöd av 7 § 9 passlagen.
Punkten 10 – Sökanden genomgår rättspsykiatrisk vård med särskild utskrivningsprövning
Enligt bestämmelsen ska en ansökan om pass avslås om sökanden genomgår rättspsykiatrisk vård med särskild utskrivningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård. Passhindret föreligger så länge vården pågår. Ett beslut om särskild utskrivningsprövning har föregåtts av en bedömning om att det till följd av den psykiska störningen finns risk för att personen återfaller i brottslighet som är av allvarligt slag. Det måste alltså anses särskilt angeläget att dessa personer fullföljer den beslutade vården. Avsikten med en påföljd av detta slag är bl.a. att den dömde tillsvidare ska vara berövad friheten. Den dömde kan mot den bakgrunden inte anses ha något berättigat intresse av att inneha pass. Det kan visserligen tänkas att det som ett led i vården ibland kan vara motiverat och lämpligt att patienten genomför en utlandsresa. I ett sådant fall är det dock möjligt att i stället för att avslå en passansökan utfärda ett pass med förkortad giltighetstid eller begränsat giltighetsområde med tillämpning av 9 och 14 §§passlagen (prop. 2004/05:119 s. 38 f).
Ds 2015:44 Pass och nationella identitetskort
Punkten 11 – Sökanden är ålagd att lämna ifrån sig sitt pass enligt 2 kap. 12 § eller 6 kap. 6 § konkurslagen (1987:672) eller förbud att utfärda pass för sökanden har meddelats enligt samma lagrum
Av 2 kap. 12 § konkurslagen följer att rätten får förbjuda en gäldenär att resa utomlands i avvaktan på att en konkursansökan prövas. För att rätten ska kunna fatta ett sådant beslut krävs emellertid att det finns särskild anledning till det. Det krävs vidare att det dels föreligger sannolika skäl för att konkursansökan ska bifallas, dels att det kan befaras att gäldenären genom att resa utomlands undandrar sig en skyldighet eller överträder ett förbud som gäller i konkurs enligt konkurslagen. Reseförbudet kan föreskrivas för tiden fram till dess att konkursansökan prövas. Förbudet gäller således inte för tiden därefter. Något beslut om att häva beslutet behövs dock inte. Bifalls konkursansökan inträder det automatiska reseförbudet enligt 6 kap. 6 § konkurslagen (se vidare nedan).
Om ett reseförbud meddelas enligt 2 kap. 12 § konkurslagen får gäldenären också åläggas att lämna ifrån sig sitt pass till kronofogdemyndigheten. Om gäldenären inte har något pass får rätten istället meddela ett förbud mot att pass utfärdas åt honom eller henne. Beslut om att gäldenären ska lämna ifrån sig sitt pass och förbud att utfärda pass som meddelats enligt 2 kap. 12 § passlagen ska omprövas av rätten omedelbart efter det att rätten fattat ett beslut om konkurs (6 kap. 8 § konkurslagen). Om konkursansökan ogillas ska ett omhändertaget pass genast återlämnas till gäldenären.
Res
eförbud och skyldighet att lämna ifrån sig sitt pass får enligt 2 kap. 13 § endast beslutas efter ansökan av borgenär.
Enligt 6 kap. 6 § konkurslagen får gäldenären efter det att konkursbeslutet meddelats och innan han eller hon har avlagt bouppteckningsed inte resa utomlands utan rättens tillstånd. Om det finns skäl att befara att gäldenären genom att lämna landet kommer undandra sig sådana skyldigheter som åligger honom enligt konkurslagen får rätten meddela honom eller henne ett förbud att resa utomlands. Om det finns skäl att befara att han eller hon kommer att åsidosätta ett förbud att resa utomlands kan rätten dessutom ålägga honom eller henne att lämna ifrån sig sitt pass till tillsynsmyndigheten. Om gäldenären inte har något pass får rätten istället meddela ett förbud att utfärda pass för honom eller henne.
Pass och nationella identitetskort Ds 2015:44
Inskränkningar i gäldenärens rörelsefrihet bör emellertid endast göras om det är motiverat med hänsyn till konkursutredningen.
Bestämmelserna om reseförbud, skyldigheten att lämna ifrån sig sitt pass eller förbud att utfärda pass enligt 2 kap. 12 § och 6 kap. 6 §konkurslagen är även tillämplig för vissa tidigare ställföreträdare för juridiska personer (2 kap. 12 § och 6 kap. 13 §konkurslagen).
När rätten har meddelat beslut om reseförbud, anmälningsskyldighet eller upphävt sådant beslut, är den enligt 23 a § passförordningen skyldig att underrätta Polismyndigheten om beslutet. På motsvarande sätt föreligger en skyldighet för rätten att meddela Polismyndigheten när rätten meddelat beslut om skyldighet för gäldenären eller någon annan att lämna ifrån sig sitt pass eller förbud att utfärda pass. Underrättelseskyldigheten omfattar såväl beslut som meddelats under konkursansökningsstadiet som beslut som meddelats senare under konkursen. Ett beslut att ålägga gäldenären eller någon annan en skyldighet att lämna ifrån sig sitt pass eller förbud att utfärda pass utgör passhinder och antecknas i registret över efterlysta personer (13 a § efterlysningskungörelsen [1969:293]).
Underrättelse till förundersökningsledaren i vissa fall
Av 8 § passlagen framgår att passmyndigheten ska underrätta förundersökningsledaren då det i ett passärende framkommer att sökanden är skäligen misstänkt för brott för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader. Pass får i sådant fall inte utfärdas innan en vecka har förflutit från det underrättelsen lämnades, såvida inte förundersökningsledaren medger det. Någon underrättelse behöver emellertid inte lämnas om ansökan ska avslås enligt 7 § passlagen.
Syftet med underrättelseplikten är att bereda förundersökningsledaren möjlighet att omedelbart ta upp frågan om reseförbud eller annat tvångsmedel för sökanden, om detta skulle anses påkallat (prop. 1977/78:156 s. 46). Meddelas beslut om reseförbud eller anhållande, uppkommer därigenom passhinder enligt 7 § 3 passlagen.
Ds 2015:44 Pass och nationella identitetskort
Passtillstånd
Enligt 10 § passlagen får pass inte utfärdas i fall som avses i 19 eller 20 § om sökanden inte har erhållit särskilt tillstånd till pass (passtillstånd). Passet får i dessa situationer inte ges mer vidsträckt giltighet än vad som följer av tillståndet. Erhåller sökanden inte passtillstånd ska ansökan avslås.
Av 19 och 20 §§passlagen följer att passtillstånd krävs i vissa fall för personer som genomgår kriminalvård i olika former eller undergår psykiatrisk tvångsvård eller rättspsykiatrisk vård. Lämnas passtillståndet inte in i samband med ansökningen ska Polismyndigheten, om passansökan inte avslås enligt 7 § passlagen, så snart det kan ske göra anmälan om ansökningen till den myndighet som prövar frågan om passtillstånd för sökanden (10 § andra stycket passlagen).
Nedan följer en närmare redogörelse för i vilka situationer som passtillstånd krävs och vilka bedömningar som görs vid tillståndsprövningen.
Passtillstånd enligt 19 § passlagen
Av 19 § passlagen följer att passtillstånd fordras för den som
1. avtjänar fängelsestraff och inte är villkorligt frigiven, eller genomgår sluten ungdomsvård, utom när straffet eller vården är en månad eller kortare tid, eller
2. står under övervakning efter dom på skyddstillsyn eller efter villkorlig frigivning från fängelse.
Frågan om passtillstånd för den som avtjänar fängelsestraff eller står under övervakning efter dom på skyddstillsyn eller efter villkorlig frigivning från fängelse prövas av Kriminalvården eller övervakningsnämnd (21 § första stycket passlagen). En fråga om passtillstånd för den som genomgår sluten ungdomsvård prövas istället av Statens Institutionsstyrelse (SIS).
Passtillstånd ska vägras, om det skäligen kan antas att den dömde skulle ägna sig åt brottslig verksamhet i samband med en utlandsresa, att han eller hon genom att resa utomlands skulle försöka undandra sig fortsatt verkställighet av den ådömda påföljden
Pass och nationella identitetskort Ds 2015:44
eller att resan annars skulle motverka hans eller hennes anpassning i samhället (21 § andra stycket passlagen).
Av förarbetena till bestämmelsen framgår det att vägran av passtillstånd förutsätter en viss sannolikhet för att passhindrande omständighet föreligger. Något positivt krav på visad skötsamhet krävs således inte för att den som undergår kriminalvård eller sluten ungdomsvård ska få bifall till en passansökan. Å andra sidan kan förutsättningarna för prövningen variera beroende på omständigheterna i det enskilda fallet, bl.a. vad slags brott den dömde har begått och vad som i övrigt är känt om hans aktuella situation. I förarbetena till bestämmelsen uttalas att en särskilt noggrann prövning ofta är motiverad i fall där sökanden har dömts för allvarlig vålds- eller narkotikabrottslighet (prop. 1977/78:156 s. 53).
Det är emellertid uppenbart att prövningen av risken att den dömde skulle ägna sig åt brottslig verksamhet i samband med utlandsresa kan vara svår att göra. Enligt förarbetena till bestämmelsen torde pass i praktiken endast undantagsvis kunna vägras på denna grund i annat fall än när det är brottslighet med anknytning till narkotika som kan befaras. Det är också i första hand med tanke på sådan brottslighet som bestämmelsen har utformats i denna del (prop. 1977/78:156 s. 53 f).
En prövning av risken för att den dömde skulle undandra sig fortsatt verkställighet av påföljden, ska ske vid såväl verkställighet på anstalt och institution, som vid verkställighet i form av övervakning. Enligt förarbetena till passlagen bör prövningen bli avsevärt mera restriktiv, om den dömde söker pass medan han eller hon alltjämt undergår påföljd på anstalt eller institution än om ansökan sker under övervakningstid. Redan det förhållandet att ansökan görs under anstalts- eller institutionstiden skulle enligt lagstiftaren kunna vara ägnat att inge en misstanke om att passet avses bli använt för obehörigt ändamål. Vid mera långvariga frihetsstraff synes det därför enligt ovan nämnda förarbeten ofta vara motiverat att ställa upp ett krav på att speciella omständigheter ska föreligga för bifall till ansökan om passtillstånd som görs vid annan tidpunkt än omedelbart före villkorlig frigivning eller övergång till vård utom anstalt eller institution. Som en sådan omständighet nämns att sökande behöver pass för att få viss arbetsanställning (prop. 1977/78:156 s. 53 f).
Ds 2015:44 Pass och nationella identitetskort
Passtillstånd kan slutligen som nämnts vägras, när det skäligen kan antas att en resa utomlands skulle motverka den dömdes anpassning i samhället. Påföljdssystemet syftar ju till stor del till att anpassa den dömde i samhället. I de nu aktuella passtillståndsärendena är det därför naturligt att ta i beaktande de allmänna skötsamhetskrav som en villkorligt frigiven är underkastad enligt 26 kap. 14 § brottsbalken och de särskilda föreskrifter som kan åläggas enligt 15 § samma kapitel. Motsvarande regler gäller för den som undergår skyddstillsyn (28 kap. 6 § brottsbalken). Den som undergår kriminalvård i frihet är förpliktigad att iaktta skötsamhet och efter förmåga försörja sig, vilket enligt förarbetena till passlagen ger utrymme för att avslå en ansökan om passtillstånd när det av särskilda skäl kan befaras att den dömde skulle missköta sig allvarligt i samband med en utlandsresa. Enligt ovan nämnda förarbeten torde intresset av att motverka narkotikamissbruk även vid denna prövning i praktiken blir det dominerande skälet för passvägran (prop. 1977/78:156 s. 54).
Om det meddelats en särskild föreskrift om t.ex. vistelseort, bostad, utbildning eller läkarvård enligt 26 kap. 15 § brottsbalken, bör detta enligt förarbetena till passlagen givetvis också beaktas vid prövningen. Men även om någon formell föreskrift inte har meddelats i sådant hänseende, kan den uppläggning och planering av frivårdsarbetet som har gjorts i det särskilda fallet enligt lagstiftaren ibland motivera att den dömde inte bör erhålla pass under övervakningstiden. Det är emellertid uppenbart att prövningen av risken att den dömde skulle ägna sig åt brottslig verksamhet i samband med utlandsresa kan vara vansklig. Enligt ovan nämnda förarbeten torde pass i praktiken endast undantagsvis kunna vägras på denna grund i annat fall än när det är brottslighet med anknytning till utlandet (prop. 1977/78:156 s. 53 f).
Passtillstånd enligt 20 § passlagen
Enligt 20 § passlagen krävs passtillstånd också för den som är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård, dock endast om
Pass och nationella identitetskort Ds 2015:44
1. chefsöverläkaren vid sjukvårdsinrättningen i enlighet med 19 § passförordningen har gjort en anmälan till Polismyndigheten om att pass ej får utfärdas utan sådant tillstånd,
2. patienten genomgår rättspsykiatrisk vård med särskild utskrivningsprövning, eller
3. patienten har fått ett tidigare utfärdat pass återkallat på grund av en framställning enligt 24 § andra stycket passlagen. En sådan anmälan ska enligt bestämmelsen göras om det med hänsyn till ändamålet med patientens vård är olämpligt att han eller hon har pass. Anmälan görs av Socialstyrelsen efter anmälan från chefsöverläkare om han eller hon anser att ett pass bör återkallas för en viss patient (24 § passförordningen).
Frågan om passtillstånd prövas i ovan nämnda fall av Socialstyrelsen (22 § passlagen). Passtillstånd ska enligt 22 § passlagen vägras om det med hänsyn till ändamålet med vården är olämpligt att patienten har pass. Vid denna bedömning ska man enligt förarbetena till passlagen bl.a. beakta risken för att patienten, om han får pass, avviker från sjukhuset eller underlåter att återvända dit, sedan tiden för tillstånd att vistas på egen hand utom sjukhusområdet har gått ut. Även risken att patienten skulle göra sig skyldig till brott i samband med en utlandsresa vägs in i bedömningen av passtillstånd (1977/78:156 s. 55 f.).
Särskilt om personer som avtjänar fängelsestraff och inte är villkorligt frigivna, genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning
Som vi redogjort för ovan föreligger det enligt 7 § passlagen passhinder för sökande som avtjänar fängelsestraff om den sammanlagda tiden att avtjäna är fängelse i minst ett år och han eller hon inte har villkorligt frigivits (punkten 8) eller genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år (punkten 9). På motsvarande sätt föreligger det passhinder för den som är dömd till rättspsykiatrisk vård med särskild utskrivningsprövning. I dessa fall ska passansökan alltid avslås, om det inte finns anledning att utfärda ett pass med förkortad giltighetstid eller begränsat giltighetsområde (jfr 9 § passlagen). Personer enligt ovan kan därmed endast erhålla pass med begränsad giltighet. Om det blir
Ds 2015:44 Pass och nationella identitetskort
aktuellt att utfärda ett sådant begränsat pass – vilket i sin tur kräver att det föreligger särskilda skäl och att sökanden begär det – måste passmyndigheten enligt 10 § passlagen undersöka om det krävs passtillstånd enligt 19 eller 20 §§.
När det gäller den som är dömd till rättspsykiatrisk vård med särskild utskrivningsprövning krävs passtillstånd enligt 20 § 2 passlagen för att sökanden ska erhålla ett begränsat pass. Ett passtillstånd kan ges med eller utan begränsning enligt 23 § passlagen. Om passtillstånd lämnas kan sökanden erhålla ett pass med begränsad giltighet.
På motsvarande sätt krävs det passtillstånd för att sökande som avtjänar ett fängelsestraff om fängelse i minst ett år och inte har frigivits villkorligt, ska erhålla ett pass med begränsad giltighet (19 § 1 passlagen). För personer som avtjänar fängelsestraff som är kortare än ett år och inte villkorligt frigivits föreligger inte passhinder. De kan således erhålla ett vanligt pass utan begränsning i tid eller giltighetsområde. Om det samlade fängelsestraffet är längre än en månad krävs emellertid passtillstånd enligt 19 § 1 passlagen för att sökanden ska få pass. Är straffet fängelse en månad eller kortare krävs enligt bestämmelsen inte något passtillstånd för sökanden. Vad som sägs om sökanden som avtjänar fängelsestraff och inte villkorligt frigivits gäller på motsvarande sätt för den som genomgår sluten ungdomsvård.
4.2.4. Återkallelse av pass
Inledning
Ett pass kan återkallas i vissa situationer. När så ska ske anges i 12 och 15 §§passlagen. Särskilda pass ska dessutom återkallas när de skäl som föranledde passets utfärdande inte längre finns (12 § andra stycket passlagen). En återkallelse kan vara permanent eller provisorisk. I stället för att återkalla pass kan passmyndigheten i vissa situationer förkorta passets giltighetstid eller begränsa dess giltighetsområden (14 § passlagen). Ett återkallat pass ska på begäran av passmyndigheten överlämnas till passmyndigheten eller annan myndighet (17 § passlagen). Passmyndigheten får också besluta om att omhänderta ett pass i vissa situationer (18 § passlagen).
Pass och nationella identitetskort Ds 2015:44
En återkallelse av pass kan enligt 13 och 25 §§passlagen också begränsas till att gälla tills vidare eller viss tid (provisorisk återkallelse). En sådan återkallelse gäller i högst sex månader. För att passmyndigheten ska besluta om provisorisk återkallelse krävs dock att det är lämpligt med hänsyn till omständigheterna. Skäl för en sådan begränsning av återkallelsebeslutet kan föreligga i olika situationer, t.ex. om passinnehavaren vid återkallelse enligt 12 § första stycket 2 passlagen inom kort kommer att uppnå 18 års ålder (se vidare nedan). En provisorisk återkallelse ska hävas så snart hindret mot innehav av pass upphört. När tiden för den provisoriska återkallelsen gått till ända ska innehavaren beredas tillfälle att få tillbaka passet. I stället för att återkalla pass kan passmyndigheten enligt 14 § passlagen förkorta passets giltighetstid eller begränsa dess giltighetsområde.
Nedan följer en närmare redogörelse för i vilka situationer ett pass ska återkallas enligt bestämmelsen i 12 § passlagen.
Återkallelse enligt 12 § passlagen
Punkten 1 – Passinnehavaren är inte längre svensk medborgare
I denna bestämmelse föreskrivs att pass ska återkallas, om passinnehavaren förlorat eller efter ansökan befriats från sitt svenska medborgarskap (se vidare under avsnitt 6.2.2).
Punkten 2 – Barnets vårdnadshavare begär det och det inte föreligger synnerliga skäl mot återkallelse
Enligt denna bestämmelse ska pass för barn under 18 år återkallas, om barnets vårdnadshavare begär det och synnerliga skäl ej föreligger mot återkallelse. Om barnet vistas här i landet och står under vårdnad av bägge föräldrarna är det tillräckligt att en av dem begär återkallelse. Då en av vårdnadshavarna kan förhindra att ett nytt pass utfärdas för barnet genom att vägra att skriva under passansökningen, har lagstiftaren ansett det följdriktigt att den ene av dem också ska kunna få till stånd passåterkallelse (prop. 1977/78:156 s. 47). Detta gäller emellertid endast barn som vistas i Sverige. Uppehåller sig barnet utomlands fordras som huvudregel
Ds 2015:44 Pass och nationella identitetskort
att båda föräldrarna begär återkallelse. Någon återkallelse ska emellertid inte ske i de fall pass utfärdats utan vårdnadshavares samtycke i enlighet med 11 § andra stycket passlagen (12 § tredje stycket passlagen).
Punkten 3 – Passinnehavaren är efterlyst och ska omhändertas omedelbart vid anträffandet och han eller hon uppehåller sig utomlands och särskilda skäl påkallar att passet återkallas
Återkallelse ska enligt denna bestämmelse ske om passinnehavaren är efterlyst och ska omhändertas omedelbart vid anträffandet om han eller hon uppehåller sig utomlands samt särskilda skäl påkallar att passet återkallas (jfr. 7 § 6 passlagen). Bestämmelsen öppnar således en möjlighet att ingripa med passåterkallelse mot den som t.ex. är häktad i sin frånvaro eller har rymt från kriminalvårdsanstalt och vistas i ett annat land. Eftersom passåterkallelse i sådant fall endast sällan fyller någon egentlig funktion, har lagstiftaren föreskrivit att särskilda skäl för åtgärden ska föreligga (prop. 1977/78:156 s. 47).
Punkten 4 – Passinnehavaren är dömd till en frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten
Återkallelse ska enligt denna bestämmelse ske om en passinnehavare genom lagakraftvunnen dom har dömts till frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta, att han avser att undandra sig verkställigheten (jfr. passhinder 7 § 7 passlagen).
Punkten 5 – Passinnehavaren avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och han eller hon inte har villkorligt frigivits
Passmyndigheten ska enligt bestämmelsen återkalla ett pass om passinnehavaren avtjänar fängelsestraff i Sverige och den sammanlagda tiden att avtjäna är fängelse i minst ett år och villkorlig frigivning inte har skett (jfr passhinder enligt 7 § 8 passlagen). Åter-
Pass och nationella identitetskort Ds 2015:44
kallelse ska ske så snart passinnehavaren har börjat verkställa påföljden. Det är den sammanlagda strafftiden som är avgörande. Tiden för flera kortare fängelsestraff ska alltså läggas samman vid bedömningen om den sammanlagda tiden att avtjäna uppgår till minst ett år. Likaså ska förverkad villkorligt medgiven frihet utgöra underlag för den sammanlagda strafftiden (prop. 2004/05:119 s. 51).
Punkten 6 – Passinnehavaren genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år
På samma sätt som då passinnehavaren avtjänar fängelsestraff enligt den föregående bestämmelsen ska pass återkallas för den som genomgår sluten ungdomsvård, om den sammanlagda vårdtiden är minst ett år (jfr passhinder enligt 7 § 9 passlagen).
Punkten 7 – Passinnehavaren genomgår rättspsykiatrisk vård med särskild utskrivningsprövning
Bestämmelsen innebär att pass ska återkallas också för den som genomgår rättspsykiatrisk vård med särskild utskrivningsprövning (jfr passhinder enligt 7 § 10 passlagen). Passhindret består till dess vården har upphört.
Punkten 8 – Hinder mot bifall till passansökan förelåg vid tiden för passets utfärdande och hindret kvarstår
Denna bestämmelse ger passmyndighet befogenhet att återkalla pass som har utfärdats trots att passhinder enligt 7 § passlagen förelåg vid tiden för utfärdandet. En förutsättning är att hindret består när återkallelsefrågan tas upp till prövning. Bestämmelsen kan t.ex. tillämpas i fall när det efter passets utfärdande visar sig att sökanden inte var svensk medborgare (jfr 7 § 1 passlagen). Bestämmelsen blir inte tillämplig om pass utfärdats utan att frågan om passtillstånd prövats trots att detta hade bort ske. Får passmyndighet kännedom om att ett pass utfärdats i strid med bestämmelserna om passtillstånd, ska passmyndigheten i stället göra en anmälan till den myndighet som anges i 24 § passlagen, om
Ds 2015:44 Pass och nationella identitetskort
passinnehavaren fortfarande avtjänar fängelsestraff, eller genomgår sluten ungdomsvård, står under övervakning eller beredes sådan sjukvård som avses i bestämmelsen (26 § passlagen).
Punkten 9 – Annan än den för vilken passet är utfärdat förfogar över passet
Bestämmelsen ger möjlighet att återkalla pass när det kommer till en passmyndighets kännedom att någon annan än den för vilken passet är utställt förfogar över passet. I första hand tar bestämmelsen sikte på fall där passinnehavaren själv har lämnat ut passet till missbruk som alltjämt pågår. Den situationen att missbruket upptäcks i efterhand och passet åter är i den rätte innehavarens besittning utgör inte grund för återkallelse. I sådant fall föreligger emellertid regelmässigt brott mot 15 kap. 12 § brottsbalken (missbruk av urkund). Skulle passet ha förkommit eller stulits från innehavaren, ska passet spärras i passregistret, oavsett om det utreds om annan förfogar över det eller inte. En sådan åtgärd utgör inte återkallelse i passlagens mening (prop. 1977/78:156 s. 48).
Återkallelse enligt 15 § passlagen
Om en passinnehavare avtjänar ett fängelsestraff som är längre än en månad och inte är villkorligt frigiven, eller står under övervakning efter dom på skyddstillsyn eller efter villkorlig frigivning från fängelse kan övervakningsnämnden enligt 24 § första stycket passlagen göra en framställning hos passmyndigheten om att hans eller hennes pass ska återkallas. Om en passinnehavare genomgår sluten ungdomsvård och vården är längre än en månad kan Statens institutionsstyrelse (SIS) göra motsvarande framställning. Det krävs dock i bägge fall att passtillstånd skulle ha vägrats enligt 21 § andra stycket passlagen.
Om en passinnehavare är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård och det med hänsyn till ändamålet med vården är olämpligt att han eller hon har pass, kan Socialstyrelsen enligt 24 § andra stycket passlagen besluta att en framställning ska göras hos passmyndigheten om att passet ska återkallas.
Pass och nationella identitetskort Ds 2015:44
En framställning om återkallelse från övervakningsnämnden, SIS eller Socialstyrelsen kan enligt 25 § passlagen även vara provisorisk (sex månader eller kortare). Enligt samma bestämmelse kan en begäran istället avse en begränsning av passets giltighet. Om en framställning gjorts enligt ovan ska passmyndigheten enligt 15 § passlagen återkalla passinnehavarens pass utan en självständig prövning av de återkallelsegrundade omständigheterna. Återkallelsen ska vara provisorisk om det har begärts i framställningen. Passmyndigheten ska således inte heller pröva lämpligheten av att återkallelsen blir provisorisk (prop. 1977/78:156 s. 48 f).
4.2.5. Omhändertagande av pass
Om ett pass har återkallats är passinnehavaren eller den som annars förfogar över passet skyldig att på begäran av en passmyndighet överlämna passet till passmyndigheten eller annan myndighet (17 § första stycket passlagen). Detsamma gäller om ett beslut om begränsning av passets giltighet meddelats. I det senare fallet ska passet förses med en anteckning om begräsningen och så snart det kan ske återställas till innehavaren. Passmyndigheten kan förena sin begäran med ett vitesföreläggande.
En passmyndighet kan också i de fall som anges i 18 § passlagen besluta att ett pass ska omhändertas. Av bestämmelsen följer att ett omhändertagande kan ske om en fråga att återkalla passet enligt 12 § första stycket 2 eller 4 har uppkommit och fara föreligger att passinnehavaren reser ut ur landet innan beslut om återkallelse hinner meddelas. De situationer som här avses är fall där vårdnadshavare har begärt återkallelse av pass för underårig eller där passinnehavaren misstänkts ha för avsikt att undandra sig verkställighet av frihetsberövande påföljd enligt lagakraftvunnen dom. En fråga om omhändertagande kan vidare bli aktuellt när en framställning enligt 24 eller 25 § passlagen om återkallelse eller begränsning av passets giltighet har gjorts hos passmyndigheten och fara föreligger för att passinnehavaren lämnar landet innan frågan om återkallelse av passet eller begränsning av dess giltighet har slutbehandlats.
Ds 2015:44 Pass och nationella identitetskort
4.2.6. Makulering av pass
Enligt 28 § passförordningen ska en passmyndighet makulera ett gällande pass om passet har återkallats eller dragits in. Makulering ska ske även när innehavaren ansöker om ett nytt pass av annan typ än provisoriskt pass eller extra pass. Om sökanden av särskilda skäl är i behov av det tidigare passet under handläggningstiden ska makulering ske när det nya passet lämnas ut.
4.2.7. Spärr av pass
Om en person uppger att hans eller hennes pass stulits eller förkommit ska en anmälan om det upprättas (3 kap. 1 och 2 §§ RPSFS 2009:14 och 26 § UF 2009:9). En spärrmarkering ska därefter skyndsamt göras i RES enligt samma bestämmelse. En sådan spärrmarkering kan inte hävas.
4.3. Nationellt identitetskort
4.3.1. Inledning
Genom förordningen (2005:661) om nationellt identitetskort som trädde i kraft i Sverige den 1 oktober 2005 blev det möjligt för svenska medborgare att hos en passmyndighet ansöka om och få utfärdat ett nationellt identitetskort. Ett nationellt identitetskort innehåller uppgift om medborgarskap och biometrisk information i form av en ansiktsbild, men till skillnad från pass innehåller kortet inte fingeravtryck. Identitetskorten infördes delvis i syfte att underlätta resandet inom Schengenområdet.
Utöver de nationella identitetskorten utfärdas i Sverige i dag vissa andra typer av identitetskort, bl.a. körkort som utfärdas av Transportstyrelsen och s.k. SIS-märkta identitetskort som utfärdas framför allt av banker till kunder i banken. Skatteverket utfärdar sedan den 1 juni 2009 identitetskort för personer som är folkbokförda i Sverige i enlighet med förordningen (2009:284) om identitetskort för folkbokförda i Sverige. En avgörande skillnad mellan å ena sidan sådana identitetskort som utfärdas av Skatteverket, SISmärkta identitetskort samt körkort och å andra sidan de nationella
Pass och nationella identitetskort Ds 2015:44
identitetskort som utfärdas av passmyndigheterna är att de sistnämnda innehåller uppgift om medborgarskap.
Möjligheten för svenska medborgare att ansöka om ett nationellt identitetskort infördes som vi tidigare redogjort för i oktober 2005. Det året ansökte 6 156 personer om ett sådant identitetskort. Därefter har antalet utfärdade nationella identitetskort ökat markant, som exempel kan nämnas att det under år 2013 utfärdades 196 872 nationella identitetskort.
4.3.2. Närmare om regleringen av de nationella identitetskorten
I förordningen om nationellt identitetskort regleras bland annat ansökningsförfarandet, återkallelse och registerföring. Ett nationellt identitetskort kan endast utfärdas till svenska medborgare. Ansökan görs vid en passmyndighet och går i princip till på samma sätt som en ansökan om pass. Sådana omständigheter som utgör passhinder utgör emellertid inte hinder mot nationellt identitetskort. I princip finns samma information i ett nationellt identitetskort som i ett pass, d.v.s. namn, personnummer, längd och ett ansiktsfotografi. Det framgår också att kortinnehavaren är svensk medborgare. Ett nationellt identitetskort har fem års giltighet och kostar lika mycket som ett vanligt pass.
I nationella identitetskort finns, precis som i vanliga pass, ett chip som innehåller en digital ansiktsbild som kan användas vid biometrisk jämförelse i samband med en identitetskontroll. Därutöver finns på kortet ett chip som i framtiden kan bli bärare av elektronisk information, s.k. eID-tjänster, som t.ex. elektronisk legitimation. Vid identitetskontroll tas en ny ansiktsbild av kortinnehavaren. Genom att ta fram biometriska data ur den nya ansiktsbilden och ansiktsbilden som finns lagrad på chipet kan en datorstödd jämförelse göras så att det går att avgöra om kortinnehavaren är samma person som identitetskortet är utställt till. Härigenom uppnås dels att identitetskortet blir svårare att förfalska, dels att det med stor säkerhet går att avgöra om kortinnehavaren är den person som kortet har utfärdats till. På samma sätt som vid pass ska de biometriska data som tas fram ur ansiktsbilden omedelbart förstöras efter att det nationella identitetskortet har lämnats ut till sökanden eller efter att en kortkontroll genomförts (4 §).
Ds 2015:44 Pass och nationella identitetskort
Ett nationellt identitetskort ska enligt 9 § återkallas om innehavaren har förlorat eller efter ansökan har befriats från sitt svenska medborgarskap. Återkallelse ska också ske om hinder mot bifall till ansökan förelåg vid tiden för det nationella identitetskortets utfärdande och hindret består. Därutöver ska kortet återkallas när någon annan än den för vilken ett nationellt identitetskort är utställt förfogar över kortet. Om ett nationellt identitetskort har återkallats, är kortinnehavaren eller den som annars förfogar över kortet skyldig att på begäran av en passmyndighet överlämna kortet till passmyndigheten eller en annan myndighet (13 §). Ett nationellt identitetskort ska makuleras när det återkallats (21 § ). Makulering ska också ske när innehavaren ansöker om ett nytt nationellt identitetskort eller, om innehavaren har behov att det tidigare nationella identitetskort under handläggningstiden, när det nya kortet lämnas ut.
Enligt 14 § ska Polismyndigheten med hjälp av automatiserad behandling föra ett register över nationella identitetskort. I registret sparas information om sökandens namn, personnummer, längd och kön, dag för utfärdandet av identitetskortet, kortnummer och giltighetstid, sökandens namnteckning och kopia av den ansiktsbild som identitetskortet har försetts med, och beslut om ansökan har avslagits eller återkallats samt uppgift om vad som har utgjort grund för ett sådant beslut. Registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet hos en passmyndighet för utfärdande av nationellt identitetskort (15 §).
4.4. Passmyndigheter
4.4.1. Inledning
I 2 § passlagen slås fast att pass utfärdas av passmyndighet. Av 1 § förordningen om nationellt identitetskort följer att även de nationella identitetskorten utfärdas av passmyndighet. Polismyndigheten är passmyndighet inom riket. Utomlands fullgör ambassader och karriärkonsulat uppgifter som passmyndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer. Detta innebär dels att ambassader och karriärkonsulat kan undantas uppgiften att vara passmyndighet, dels att myndigheten kan ges ett inskränkt uppdrag som passmyndighet som t.ex.
Pass och nationella identitetskort Ds 2015:44
bara omfattar utfärdandet att provisoriska pass. Regeringen eller den myndighet regeringen bestämmer får också bemyndiga ett honorärkonsulat att i begränsad utsträckning fullgöra uppgifter som passmyndighet.
4.4.2. Polismyndigheten
Den nya Polismyndigheten bildades den 1 januari 2015. Polismyndigheten ersätter 21 tidigare fristående polismyndigheter, Rikspolisstyrelsen och statens kriminaltekniska laboratorium. Polismyndigheten leds av rikspolischefen som är myndighetschef. Myndigheten är organiserad i sju polisregioner, nio nationella avdelningar samt rikspolischefens kansli. De sju nya polisregionerna benämns region Nord, region Mitt, region Bergslagen, region Stockholm, region Öst, region Väst och region Syd. De sju polisregionerna har helhetsansvar för polisverksamheten inom ett angivet geografiskt område. Ansvaret omfattar bland annat utredningsverksamhet, brottsförebyggande verksamhet och service. Varje region leds av en regionpolischef.
Inom varje polisregion finns ett antal passexpeditioner som hanterar ansökningar om och utfärdandet av pass och nationella identitetskort. Ansökan om pass och nationella identitetskort kan göras på valfri passexpedition. Handlingen kan sedan hämtas ut på den passexpedition som bestäms vid ansökningstillfället. På passexpeditionerna runt om i landet arbetar såväl poliser som civilanställda. Endast den som genomgått erforderliga utbildningar får utfärda pass och nationella identitetskort. Vissa passexpeditioner hanterar uteslutande ansökningar om och utfärdandet av pass och nationella identitetskort. På andra passexpeditioner utgör sådana ärenden endast en integrerad del av polisens verksamhet där.
4.4.3. Utrikesrepresentationen
Sverige har ca 100 utlandsmyndigheter, d.v.s. ambassader, konsulat, delegationer och representationer. Därutöver finns ca 350 honorärkonsulat. Utlandsmyndigheterna och de honorära konsulaten bildar tillsammans utrikesrepresentationen.
Ds 2015:44 Pass och nationella identitetskort
Utlandsmyndigheterna är direkt underställda Utrikesdepartementet samtidigt som de är fristående myndigheter. Vid utlandsmyndigheterna arbetar diplomater – från Regeringskansliet/Utrikesdepartementet utsända tjänstemän – och lokalt anställd personal.
Utlandsmyndigheternas uppdrag är att representera Sverige och att bevaka och främja svenska intressen. En annan arbetsuppgift är att hjälpa nödställda svenskar. Utlandsmyndigheter handlägger dessutom även ärenden om pass och nationella identitetskort, visering samt uppehålls- och arbetstillstånd m.m.
Ambassader
Sverige har diplomatiska förbindelser med i stort sett alla självständiga stater i världen. I ungefär hälften av dessa har Sverige en diplomatisk representation. I november 2014 hade Sverige 89 ambassader. En ambassad är Sveriges högsta diplomatiska representation i ett land och ligger alltid i ett lands huvudstad. En ambassad leds av en ambassadör. I länder där Sverige inte har någon ambassad är det vanligt att en svensk ambassadör i ett närbeläget land utnämns till sidoackrediterad ambassadör. Det innebär att ambassadören är Sveriges representant också i det landet och sköter sina förbindelser där genom regelbundna besök. För ett trettiotal länder sköts Sveriges förbindelser av ambassadörer i Stockholm. De reser regelbundet till de länder där de är ackrediterade.
Konsulat
Konsulaten delas in i generalkonsulat/karriärkonsulat och konsulat/honorärkonsulat beroende på omfattningen av verksamheten. Konsulaten är oftast belägna i någon annan stad än i landets huvudstad.
På karriärkonsulaten arbetar utsänd personal från Utrikesdepartementet. Konsulatens huvuduppgift är bland annat att stödja svenska exportföretag, främja utländska investeringar i Sverige och hjälpa nödställda svenska medborgare. Konsulaten utfärdar också viseringar (VISUM), uppehålls- och arbetstillstånd för utländska
Pass och nationella identitetskort Ds 2015:44
medborgare som vill besöka eller arbeta i Sverige. Sverige har sju karriärkonsulat.
Det finns cirka 350 svenska honorärkonsulat. Deras uppgift är att hjälpa ambassaderna och karriärkonsulaten i olika ärenden. Chefen för ett honorärkonsulat kallas för honorärkonsul och är en person som är fast bosatt på den ort där konsulatet finns. Att vara honorärkonsul är ett oavlönat hedersuppdrag. Han eller hon får ingen lön från UD utan bara ersättning för utlägg som görs i tjänsten. En honorärkonsul kan vara svensk eller utländsk medborgare. Vissa honorärkonsulat kan utfärda provisoriska pass. Många honorärkonsulat kan också lämna ut pass och nationella identitetskort som utfärdats av någon annan myndighet.
Svenska ambassader och konsulats utfärdande av pass och nationella identitetskort
Svenska medborgare som behöver ett nytt pass eller nationellt identitetskort kan ansöka om det på en svensk utlandsmyndighet (ambassad eller konsulat), istället för på en passexpedition i Sverige. Möjligheten att ansöka om pass eller nationella identitetskort utomlands utnyttjas många gånger av svenska medborgare som mer eller mindre tillfälligt vistas utomlands.
De svenska ambassader och konsulat som är skyldiga att ta emot ansökningar om resehandlingar är passmyndigheter. Enligt uppgift från Utrikesdepartementet är cirka 70 stycken av Sveriges utlandsmyndigheter också passmyndigheter utomlands. Sedan ansökan som är gjord vid en utlandsmyndighet har godkänts, tillverkas resehandlingen i Sverige. Sökanden kan därefter hämta ut resehandlingen på en valfri passexpedition i Sverige eller valfri ambassad, generalkonsulat eller honorärkonsulat utomlands. Provisoriska pass utfärdas emellertid på plats av den utlandsmyndighet som mottagit ansökan.
Vissa honorärkonsulat får utfärda provisoriska pass. Ett honorärkonsulat får emellertid aldrig utfärda vanliga pass. Samtliga honorärkonsulat kan dock lämna ut pass och id-kort. Vid ett sådant utlämnande har den överordnade ambassaden eller generalkonsulatet dessförinnan kontrollerat kvaliteten i det nya passet eller idkortet och därefter skickat handlingen till honorärkonsulatet.
Ds 2015:44 Pass och nationella identitetskort
4.4.4. Utrikesdepartementet
Tjänstepass och diplomatpass får som tidigare nämnts endast utfärdas av chefen för Utrikesdepartementet eller den han eller hon bemyndigar (17 § passförordningen). I praktiken utfärdas passen av Protokollet, en enhet på Utrikesdepartementet. Beslut i ärenden om diplomat- eller tjänstepass fattas av protokollchefen eller biträdande protokollchefen. Ansökan om diplomat- och tjänstepass kan också göras vid en utlandsmyndighet.
5. Regler till skydd för den personliga integriteten
5.1. Inledning
Regler till skydd för den personliga integriteten och om behandling av personuppgifter finns på såväl internationell som nationell nivå. På internationell nivå finns bestämmelser i form av internationella konventioner och regleringen inom EU. På nationell nivå finns dels grundläggande och allmänna regler, dels särskilda s.k. registerförfattningar. Detta avsnitt innehåller en översiktlig redogörelse för olika regelverk om behandling av personuppgifter, dvs. dataskydd. De internationella regelverken beskrivs först. Därefter behandlas de nationella regelverken. Redogörelsen fokuserar särskilt på sådana bestämmelser som har relevans för behandling av personuppgifter i verksamhet rörande pass och nationella identitetskort.
5.2. Internationella åtaganden avseende persondataskydd
5.2.1. Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna m.m.
Förenta nationernas (FN) generalförsamling antog i december 1948 en universell deklaration om de mänskliga rättigheterna – Förenta nationernas allmänna förklaring om de mänskliga rättigheterna. Deklarationen är inte formellt bindande för medlemsstaterna, men har betydelse som ett uttryck för vad den internationella opinionen kräver. I artikel 12 sägs att ingen får utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt
Regler till skydd för den personliga integriteten Ds 2015:44
anseende samt att var och en har rätt till lagens skydd mot sådana ingripanden eller angrepp. Vidare sägs i artikel 29 att endast sådana inskränkningar i de i deklarationen angivna fri- och rättigheterna är tillåtna som fastställts i lag. Ingrepp får dessutom enbart ske i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter (ICCPR), som antogs av generalförsamlingen år 1966. Sverige anslöt sig till konventionen år 1971, varefter den trädde i kraft år 1976. Av konventionens artikel 17 följer att var och en har rätt till lagens skydd mot godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens, liksom mot olagliga angrepp på sin heder och sitt anseende. De stater som har tillträtt konventionen åläggs därmed vissa skyldigheter. Ett särskilt inrättat organ benämnt Kommittén för de mänskliga rättigheterna (Human Rights Committee) övervakar att de till konventionen anslutna staterna efterlever sina skyldigheter.
Förenta nationernas generalförsamling antog år 1990 även riktlinjer om datoriserade register med personuppgifter.
5.2.2. Europakonventionen
Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är från och med den 1 januari 1995 inkorporerad i svensk rätt och gäller här i landet som lag (lag [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Den har därmed inte getts ställning som grundlag. I 2 kap. 19 § regeringsformen har emellertid införts en bestämmelse om att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen. Kontrollen av efterlevnaden av konventionen sker huvudsakligen av Europadomstolen för mänskliga rättigheter.
Av betydelse för skyddet för den personliga integriteten är framför allt artikel 8 i konventionen. I artikel 8 stadgas att var och
Ds 2015:44 Regler till skydd för den personliga integriteten
en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättigheten. Artikeln innebär även en skyldighet för staten att vidta positiva åtgärder för att skydda den enskildes privatsfär. Sådana positiva åtgärder kan utgöras av lagstiftning, men också ha till ändamål att på annat sätt tillförsäkra medborgarna skydd mot övergrepp i särskilda situationer. I sin praxis har Europadomstolen också framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med ”oundgängligt”. Vad som krävs är däremot att det finns ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konventionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om denna frihet utnyttjas på ett rimligt sätt. (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 2012, s. 347ff)
5.2.3. Europarådets dataskyddskonvention
Europarådets ministerkommitté antog i januari 1981 en konvention (CETS No 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionen trädde i kraft i oktober 1985 och Sverige har anslutit sig till den. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter (artikel 1). Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk
Regler till skydd för den personliga integriteten Ds 2015:44
databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). I konventionen anges krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får undergå automatisk databehandling om inte den nationella lagen ger ett ändamålsenligt skydd, samt att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse (artiklarna 5–7).
Inom Europarådet pågår sedan år 2010 en översyn av denna konvention. Inom Europarådet har vidare utarbetats ett flertal rekommendationer på dataskyddsområdet.
5.2.4. Riktlinjer från OECD
Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och privata sektorn. De gäller dels för uppgifter som lagras automatiskt och dels för uppgifter som förs manuellt. Syftet med riktlinjerna är att undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av de sammanhang i vilka de används. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddsdirektivet (se nedan).
5.2.5. Europeiska unionens stadga om de grundläggande rättigheterna
Europeiska unionens stadga om de grundläggande rättigheterna beskriver de fri- och rättigheter som EU erkänner att varje människa har. Stadgan är till stor del en sammanfattning av de rättigheter
Ds 2015:44 Regler till skydd för den personliga integriteten
som tidigare var spridda i olika rättsakter, exempelvis i nationella lagar och internationella förpliktelser, Europakonventionen, Europeiska unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Det handlar till exempel om tanke-, religions-, yttrande- och mötesfrihet, rätt till ett skyddat privatliv och barns rätt till skydd och omvårdnad. Stadgan är från och med den 1 december 2009, när Lissabonfördraget trädde i kraft, rättsligt bindande för EU:s medlemsstater. En referens till stadgan har införts i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58).
I artikel 7 i stadgan föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8 föreskrivs vidare att var och en har rätt till skydd för de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade.
Stadgan riktar sig till den verksamhet som utförs av EU:s egna organ och institutioner och blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten (artikel 51).
När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas så att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter (artikel 53).
5.2.6. Dataskyddsdirektivet m.m.
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana
Regler till skydd för den personliga integriteten Ds 2015:44
uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av Dataskyddskonventionen.
Syftet med direktivet är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsländerna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.
Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Direktivet omfattar dock inte behandling av personuppgifter för privat bruk. Direktivet gäller inte heller för sådan behandling av personuppgifter som faller utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa fall. Här kan nämnas att uppgifter får behandlas i första hand efter att den registrerade otvetydigt har lämnat sitt samtycke, men också om det är nödvändigt för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.
Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska
Ds 2015:44 Regler till skydd för den personliga integriteten
övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I direktivet görs undantag från detta förbud i vissa särskilt angivna situationer, bl.a. om det finns ett uttryckligt samtycke av den registrerade. Medlemsstaterna får dock under förutsättning att lämpliga skyddsåtgärder införs och av hänsyn till ett viktigt allmänt intresse besluta om ytterligare undantag från förbudet.
Dataskyddsdirektivet innehåller även regler om information till den registrerade och om rätt för denne att få sådana personuppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller också regler om säkerhet vid behandlingen och överföring av personuppgifter till tredje land.
Sverige har genomfört dataskyddsdirektivet genom att införa en generell reglering till skydd för personuppgifter, nämligen personuppgiftslagen (1998:204), och ett antal särregleringar i förhållande till denna lag (särskilda registerförfattningar).
EU-kommissionen presenterade i januari 2012 ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en generell dataskyddsförordning (KOM(2012) 11). Det huvudsakliga syftet med förslaget är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Förordningsförslaget är dock till stor del baserat på den reglering som redan gäller enligt dataskyddsdirektivet. Eftersom regleringen föreslås få formen av en förordning och en sådan är direkt tillämplig i medlemsstaterna, kommer regleringen, om förslaget genomförs, att ersätta dataskyddsdirektivet. Som vi tidigare redogjort för har dataskyddsdirektivet genomförts i svensk rätt genom dels personuppgiftslagen och dels genom registerförfattningar. Förordningen kommer därmed även att ersätta personuppgiftslagen och sannolikt också det stora flertalet av registerförfattningarna. Förslaget lämnar dock visst utrymme för att behålla registerförfattningar på vissa områden, t.ex. arbetsmarknadsområdet.
Regler till skydd för den personliga integriteten Ds 2015:44
5.3. Nationella bestämmelser avseende persondataskydd
5.3.1. Regeringsformen
I regeringsformen (RF) finns grundläggande bestämmelser till skydd för den personliga integriteten. I målsättningsstadgandet i 1 kap. 2 § slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och att det allmänna ska värna om den enskildes privatliv och familjeliv.
Av 2 kap. 6 § andra stycket följer sedan den 1 januari 2011 att var och en gentemot det allmänna även är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bakgrunden till bestämmelsen är att det ansågs finnas vissa brister i lagstiftning som innefattade intrång i den enskildes personliga integritet. Dessa brister bestod i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall var bristfälligt redovisade och att det i första hand var de negativa effekterna av olika integritetsbegränsande åtgärder som var knapphändigt belysta (prop. 2009/10:80 s. 175 f.). Av bl.a. dessa skäl ansågs det därför finnas ett behov av att stärka skyddet av den personliga integriteten i grundlag. Det stärkta grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges i 2 kap. 21–22 §§ RF. I en övergångsbestämmelse till bestämmelsen i 2 kap. 6 § andra stycket RF anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Grundlagsändringen medför bl.a. att viss personuppgiftsbehandling som för närvarande regleras i förordning i framtiden måste regleras i lag.
5.3.2. Personuppgiftslagen
Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Genom lagen, som trädde i kraft den 24 oktober 1998, genomfördes dataskyddsdirektivet i svensk rätt. Personupp-
Ds 2015:44 Regler till skydd för den personliga integriteten
giftslagen (PuL) kompletteras av personuppgiftsförordningen (1998:1191) (PuF). Personuppgiftslagen utgör en generellt tillämplig skyddsreglering som gäller för myndigheter och enskilda som behandlar personuppgifter.
Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 § PuL). Vid lagens införande anfördes att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen (prop. 1997/98:44 s. 41).
Personuppgiftslagen följer i huvudsak dataskyddsdirektivets text och disposition och omfattar all helt eller delvis automatiserad behandling av personuppgifter (5 § första stycket PuL). Lagen är teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bilder och ljud. Begreppet register saknar vidare betydelse för lagens tillämpning. Avgörande är istället om personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Det är vidare tillräckligt att behandlingen av personuppgifter endast delvis är automatiserad, för att den ska falla under lagens bestämmelser. Om uppgifter samlas in manuellt och sedan behandlas automatiserat är även insamlandet en sorts behandling som omfattas av lagen. På samma sätt faller ett utlämnande genom manuella utskrifter från ett automatiserat register under lagens bestämmelser. Personuppgiftslagen gäller även för manuella register med personuppgifter som är strukturerade eller ordnade så att de är sökbara enligt särskilda kriterier (5 § andra stycket PuL).
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § PuL). Uppgifter om juridiska personer och avlidna omfattas således inte. Begreppet behandling av personuppgift är ett vitt begrepp och omfattar varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på behandling av personuppgifter är insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 § PuL).
Regler till skydd för den personliga integriteten Ds 2015:44
Det finns några viktiga undantag från personuppgiftslagens tillämpningsområde. Lagen gäller t.ex. inte vid behandling av personuppgifter som en fysisk person utför som ett led i en verk-samhet av rent privat natur (6 § PuL). Bestämmelserna i lagen tillämpas inte heller i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet (7 § första stycket PuL). I princip ska personuppgiftslagens bestämmelser inte heller tillämpas för journalistisk, konstnärlig eller litterär verksamhet (7 § andra stycket PuL). Vidare anges i personuppgiftslagen att lagen inte gäller i den mån det skulle inskränka offentlighetsprincipen (8 § första stycket PuL).
Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Sådan behandling är istället tillåten så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet.
I 9 § PuL uppställs vissa grundläggande krav på all behandling av personuppgifter som omfattas av lagen. Den personuppgiftsansvarige, vilket oftast är den organisation där personuppgifterna behandlas, ska se till att personuppgifter bara behandlas om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed. Vidare ska personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Den personuppgiftsansvarige ska definiera avsikten med insamlingen och användningen av personuppgifterna på ett så precist sätt som möjligt. Personuppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Det sistnämnda kan bli aktuellt att pröva när personuppgifter lämnas ut till tredje man. Ett sådant utlämnande får alltså inte vara oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in. Om personuppgifter lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen blir en sådan prövning dock inte aktuell.
De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Med detta
Ds 2015:44 Regler till skydd för den personliga integriteten
krav avses att personuppgifterna ska vara av sådant slag att de hör till saken (relevanta) och är ägnade att uppnå det mål man har med behandlingen (adekvata). Inte heller får fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara rik-tiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Varje behandling av personuppgifter måste kunna hänföras till någon av de situationer som anges i personuppgiftslagens regler om när behandling av personuppgifter är tillåten. Av 10 § PuL följer att personuppgifter endast får behandlas om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att: – ett avtal med den registrerade ska kunna fullgöras eller åtgärder
som den registrerade begärt ska kunna vidtas innan ett avtal träffas, – den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl-
dighet, – vitala intressen för den registrerade ska kunna skyddas, – en arbetsuppgift av allmänt intresse ska kunna utföras, – den personuppgiftsansvarige eller en tredje man till vilken
personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller – ett ändamål som rör ett berättigat intresse hos den personupp-
giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Enligt 11 § PuL får personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon mot-
Regler till skydd för den personliga integriteten Ds 2015:44
sätter sig sådan behandling. Inte heller får personuppgifter behandlas i de fall där behandling bara är tillåten när den registrerade har lämnat sitt samtycke och han eller hon har återkallat detta (12 § PuL). Utöver vad som följer av 11–12 §§ PuL har den enskilde ingen rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
Enligt 13 § PuL är det som huvudregel förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller som rör hälsa eller sexualliv. Från förbudet att behandla känsliga personuppgifter finns, utöver när den registrerade har lämnat sitt samtycke (15 § PuL), vissa ytterligare undantag (se 16–20 §§ PuL).
Särskilda bestämmelser om uppgifter om lagöverträdelser och behandling av personnummer finns i 21 och 22 §§ PuL.
Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–29 §§ PuL. Föreskrifter om säkerheten vid behandling av personuppgifter finns i 30–32 §§ PuL.
Enligt 33 § PuL är det förbjudet att till tredje land, dvs. ett land utanför EU eller EES, föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet gäller i princip alla slag av personuppgifter och är alltså inte begränsat till exempelvis kategorierna känsliga personuppgifter eller uppgifter om lagöverträdelser. Trots förbudet i 33 § PuL är det enligt 34 § PuL tillåtet att under vissa förutsättningar föra över uppgifter till tredje land. En sådan överföring förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring (35 § PuL). I personuppgiftslagen finns det även bestämmelser om bl.a. anmälan till tillsynsmyndigheten, skadestånd och straff.
Ds 2015:44 Regler till skydd för den personliga integriteten
5.3.3. Registerförfattningar
Vid sidan av personuppgiftslagen finns det sedan slutet på 1990talet åtskilliga författningar som reglerar behandlingen av personuppgifter inom olika verksamhetsområden. Dessa s.k. registerförfattningar gäller framför bestämmelserna i personuppgiftslagen. Termen registerförfattningar avser både författningar som reglerar inrättande och förande av viktigare register i en traditionell mening och annan personuppgiftsbehandling på det offentliga och i vissa fall även det privata området.
Registerförfattningarna har till huvudsakligt syfte att anpassa personuppgiftsregleringen till de särskilda behov som myndigheter har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes integritet. Detta särskilt då det finns behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger. En utgångspunkt vid utarbetandet av registerförfattningar är att regleringen så långt som möjligt ska vara i överensstämmelse med personuppgiftslagen och därmed även dataskyddsdirektivets materiella bestämmelser samt att behovet av särregler i förhållande till personuppgiftslagen bör övervägas noga.
En registerförfattning kan under vissa förutsättningar anses innebära ett stärkt integritetsskydd för särskilt känsliga register eller andra personuppgiftssamlingar. Andra exempel på när en särskild författningsreglering i form av en registerförfattning kan anses motiverad är när: – en nödvändig behandling av personuppgifter över huvud taget
inte är tillåten enligt personuppgiftslagen, – personuppgiftslagen visserligen reglerar ett visst förhållande
men det finns anledning att avvika från eller precisera den regleringen, – personuppgiftslagens bestämmelser kan ge upphov till
tolkningsproblem och det finns anledning att ha tydliga bestämmelser, – det finns anledning att begränsa möjligheterna till behandling av
uppgifter av integritetsskäl i fråga om myndigheters registrering och åtkomst till stora och känsliga uppgiftsmängder, eller
Regler till skydd för den personliga integriteten Ds 2015:44
– det finns anledning att vara särskilt tydlig gentemot allmän-
heten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.
5.4. Reglering av behandling av personuppgifter i verksamhet avseende pass och nationella identitetskort
5.4.1. Bestämmelser om behandling av personuppgifter i verksamhet avseende pass
För den personuppgiftsbehandling som förekommer i verksamhet avseende pass gäller, som vi tidigare redogjort för, personuppgiftslagen. Personuppgiftslagen anger den grundläggande ramen för behandling av personuppgifter och gäller i den mån det inte finns avvikande bestämmelser i annan lag eller förordning. I passlagen och passförordningen finns endast ett fåtal särregler som gäller för personuppgiftsbehandling i passverksamhet.
Av 23 § passförordningen (1979:664) framgår att Polismyndigheten ska föra ett passregister samt ett register över vissa omständigheter som innebär att passtillstånd krävs. Det framgår också att det är Polismyndigheten som för in uppgifter i passregistret, samt att Polismyndigheten på begäran ska lämna ut uppgift i form av fotografisk bild av enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.
Av 6 § passlagen (1978:302) följer en skyldighet för sökanden att i samband med passansökan låta passmyndigheten ta sökandens fingeravtryck och en bild i digitalt format av sökandens ansikte. Fingeravtrycken och ansiktsbilden sparas i ett lagringsmedium (datachip) i passet. De biometriska data som kan tas fram ur fingeravtrycken och ansiktsbilden ska omedelbart förstöras när passet lämnats ut eller ansökan återkallats eller avslagits (6 a § passlagen). Fingeravtrycken, ansiktsbilden och de biometriska data som kan tas fram ur dessa får inte användas vid sökning med hjälp av automatiserad behandling (6 b § passlagen). Bestämmelserna om skyldigheten att i samband med passansökan låta passmyndigheten ta sökandens fingeravtryck och en bild i digitalt format av sökan-
Ds 2015:44 Regler till skydd för den personliga integriteten
dens ansikte infördes i passlagen i anledning av Rådets förordning nr 2252/2004 av den 13 december 2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna och Europaparlamentets och rådets förordning (EG) nr 444/2009 av den 28 maj 2009 om ändring av rådets förordning (EG) nr 2252/2004. Förordningarna är direkt tillämpliga i Sverige. Enligt förordningarna gäller att pass med en giltighetstid på mer än tolv månader måste uppfylla vissa minimisäkerhetsstandarder. De ska bl.a. innehålla ett lagringsmedium med passinnehavarens ansiktsbild och fingeravtryck. Syftet med bestämmelserna är att öka säkerheten i passen. Detta då förfalskning och missbruk av pass och andra resehandlingar utgör ett allvarligt problem, både internationellt och nationellt. Pass används exempelvis vid människosmuggling, vid människohandel eller i samband med planering och utförande av terroristbrott. Det pågår därför ett intensivt internationellt arbete för att komma till rätta med förekomsten av falska resehandlingar och för att förhindra missbruk av sådana handlingar. Ett sätt att öka passhandlingarnas säkerhet är att förse handlingarna med s.k. biometrisk information.
För polismyndigheternas passverksamhet gäller utöver passlagen och passförordningen Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). För den passverksamhet som sker vid svenska ambassader och konsulat gäller på motsvarande sätt Regeringskansliets föreskrifter (UF 2009:9) om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort.
Vissa typer av pass – tjänstepass och diplomatpass – utfärdas inte av passmyndighet utan av Utrikesdepartementet. Vad gäller den verksamheten finns kompletterande bestämmelser i Regeringskansliets föreskrifter (UF 2007:2) om diplomat- och tjänstepass.
5.4.2. Bestämmelser om behandling av personuppgifter i verksamhet avseende nationella identitetskort
På motsvarande sätt som för personuppgiftsbehandlingen i passverksamheten regleras den behandling av personuppgifter som sker i verksamhet avseende nationella identitetskort i personuppgiftslagen. I 4 och 14–19 §§ förordningen om nationellt identitetskort
Regler till skydd för den personliga integriteten Ds 2015:44
(2005:661)finns vissa särregler för den personuppgiftsbehandling som sker i verksamhet avseende nationella identitetskort.
Av 14 § framgår att Polismyndigheten ska föra ett register över nationella identitetskort och att Polismyndigheten är personuppgiftsansvarig för behandling av personuppgifter i registret. Av 15 § följer att registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet för utfärdande av korten. Registret ska bl.a. innehålla uppgifter om sökandens namn, personnummer, längd, kön och ansiktsbild (16 §). Uppgifterna i registret ska gallras senast sex månader efter att giltighetstiden för ett kort har gått ut (17 §). Vad gäller behandlingen av sökandens ansiktsbild anges i 4 och 18 §§ att de biometriska data som tas fram ur bilden omedelbart ska förstöras när identitetskortet har lämnats ut och att den inte får användas vid sökning med hjälp av automatiserad behandling. I 19 § anges att bestämmelserna i personuppgiftslagen om rättelse och skadestånd även är tillämpliga vid behandling av personuppgifter enligt förordningen.
För polismyndigheternas verksamhet avseende nationellt identitetskort gäller utöver förordningen om nationellt identitetskort Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). För den verksamhet som sker vid svenska ambassader och konsulat gäller på motsvarande sätt Regeringskansliets föreskrifter (UF 2009:9) om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort.
6. Kartläggning av personuppgiftsbehandling i verksamhet avseende pass och nationella identitetskort
6.1. Inledning
I detta kapitel lämnas en redogörelse för den personuppgiftsbehandling som idag sker i verksamhet avseende pass och nationella identitetskort. Redogörelsen grundar sig på den kartläggning vi gjort och bygger på uppgifter hämtade från företrädare för Polismyndigheten, Utrikesdepartementet, Sveriges ambassad i London, Socialstyrelsen och Migrationsverket samt våra egna iakttagelser vid besök på olika passexpeditioner i Sverige och på Sveriges ambassad i London, där vi bl.a. har kunnat följa verksamheten på plats.
Polismyndigheten använder i sin verksamhet avseende pass och nationella identitetskort ett ärendehanteringssystem som heter Resehandlingssystemet (RES). Utlandsmyndigheterna och Utrikesdepartementet har i sin verksamhet avseende pass och nationella identitetskort tillgång till RES genom Resehandlingssystemet för utlandsmyndigheter (RES-UM). Vi inleder kapitlet med en redogörelse för RES, RES-UM och de register som passmyndigheterna och Utrikesdepartementet härigenom har tillgång till. Därefter lämnas en övergripande redogörelse för ansökningsförfarandet vid ansökan om pass och nationella identitetskort, följt av en mer ingående redogörelse för de olika moment vid ansökningsförfarandet där personuppgifter av olika slag behandlas såsom identitetskontroll, medborgarskapsutredning och passhindersundersökning. Därefter lämnas en redogörelse för andra i integritetshänseende
Kartläggning Ds 2015:44
relevanta delar av verksamheten avseende pass och nationella identitetskort, såsom lagring av biometrisk information samt återkallelse, indragning och spärrmarkering av resehandlingar. Därpå redogör vi kortfattat för de sekretessbestämmelser som är tillämpliga i verksamhet avseende pass och nationella identitetskort. Slutligen redogör vi för de gallringsföreskrifter som är aktuella.
6.2. Vår kartläggning
6.2.1. Ärendehanteringssystemet RES och de register som RES innehåller
Allmänt om ärendehanteringssystemet RES
De ansökningar om pass och nationella identitetskort som handläggs av Polismyndigheten hanteras i ett ärendehanteringssystem som heter Resehandlingssystemet (RES). RES är ett kombinerat system för ärendehantering och register över utfärdade pass, nationella identitetskort och vissa omständigheter som kräver passtillstånd (se vidare nedan). Genom RES ges passhandläggaren också tillgång till ett stort antal söksystem och register som polisen har tillgång till, såsom belastningsregistret (BR), misstankeregistret (MR), kriminalvårdens register (KVR), polisens person- och adressregister (PPA) och polisens dataregister för personefterlysningar (EPU). RES är framtaget av Polismyndigheten för handläggning av passansökningar och nationella identitetskort. Polismyndigheten anser sig vara personuppgiftsansvarig för den behandling av uppgifter som förekommer i RES.
Utlandsmyndigheterna och Utrikesdepartementets tillgång till RES genom RES-UM
Vid utlandsmyndigheternas och Utrikesdepartementets handläggning av ärenden avseende pass och nationella identitetskort används Resehandlingssystemet för utlandsmyndigheter (RES-UM). RES-UM är endast ett ”arbetsfönster” genom vilket handläggaren får tillgång till RES. De uppgifter om sökanden som handläggaren vid en utlandsmyndighet eller Utrikesdepartementet behandlar i RES-UM hämtas således från RES. De uppgifter och
Ds 2015:44 Kartläggning
dokument som tillförs ärendet av handläggaren vid ansökningstillfället eller vid en senare tidpunkt, sparas på motsvarande sätt i RES (och inte i RES-UM). En handläggare som arbetar i RES-UM får emellertid inte tillgång till de underliggande söksystem och register som polisen har tillgång till via RES, dvs. BR, MR, KVR, PPA och EPU.
RES-UM är – liksom flertalat andra programvaror som utlandsmyndigheterna använder i sitt arbete – framtaget av Migrationsverket. Anledningen till detta torde vara att utlandsmyndigheter hanterar flera ärendetyper som har anknytning till Migrationsverkets verksamhet och i vilka utlandsmyndigheterna behöver få tillgång till Migrationsverkets uppgifter, t.ex. ärenden avseende viseringar och uppehållstillstånd. Utrikesdepartementet och Utlandsmyndigheterna anser sig vara personuppgiftsansvariga för myndigheternas egen behandling av personuppgifter i RES-UM. Migrationsverket är emellertid ansvarigt för att uppgifterna hanteras säkert i IT-systemet, dvs. att informationen inte kan göras åtkomlig för obehöriga. När informationen färdigbehandlas i RES-UM lagras den i RES, varvid Polismyndigheten anser sig vara personuppgiftsansvarig för informationen.
Närmare om ärendehanteringssystemet RES
Polismyndigheten anser sig således vara personuppgiftsansvarig för den behandling av personuppgifter som sker i RES. Enligt Polismyndigheten är ändamålet med RES att tillhandahålla uppgifter som behövs för att utfärda pass och nationella identitetskort för svenska medborgare, för kontroll av vilka personer som är innehavare av en resehandling, för att förhindra innehav av mer än ett vanligt pass och nationellt identitetskort, för kontroll av om passtillstånd erfordras, för identifieringskontroll i polisens verksamhet samt för avstämning av passuppgifter, passböcker, nationella identitetskort och avgifter.
De personuppgifter som behandlas i RES är enligt Polismyndigheten följande.
- Personnummer,
- fullständigt namn,
Kartläggning Ds 2015:44
- födelseort,
- vårdnadshavare (om den sökande är under 18 år),
- kön,
- medborgarskap,
- telefonnummer (ej obligatorisk uppgift som eventuellt fylls i av handläggaren vid ansökningstillfället),
- mobiltelefonnummer (ej obligatorisk uppgift som eventuellt fylls i av handläggaren vid ansökningstillfället),
- e-postadress (ej obligatorisk uppgift som eventuellt fylls i av handläggaren vid ansökningstillfället),
- längd (fylls i vid ansökningstillfället),
- fotografi (fotografering sker vid ansökningstillfället),
- fingeravtryck (tas upp vid ansökningstillfället),
- namnteckning (tas upp vid ansökningstillfället efter att ansökan kontrollerats och godkänts av sökanden) eller markering ”kan inte underteckna” (om sökanden inte kan lämna sin underskrift),
- inskannade dokument, t.ex. personbevis, passida, medborgarskapsutredning, vårdnadsbevis och tillhörande beskrivning av inskannade dokument (ges normalt in och skannas av vid ansökningstillfället),
- anteckningar,
- resehandlingstyp,
- ärendenummer,
- giltighetstid (d.v.s. handlingens utgångsdatum),
- giltighetsområde (oftast ”Alla länder”),
- utfärdande myndighet (Polismyndigheten eller utlandsmyndighet, d.v.s. ambassad eller konsulat),
- handläggare av ansökningsärendet hos passmyndigheten,
- ansökningsdatum,
Ds 2015:44 Kartläggning
- utfärdandedatum (avhängigt av när ansökan blivit bifallen),
- utlämningsställe,
- avgift och betalningssätt,
- legitimationssätt,
- registrerande myndighet och passhandläggare,
- handlingens status (”Utlämnad”, ”Spärrad”, ”Makulerad” eller
”Utgången”)
- liggetid och
- händelsehistorik som består av
– typ av händelse (med eventuellt förtydligande information i
fritext), – tidpunkt för händelsen, – handläggare som har utfört händelsen och – passmyndigheten där händelsen har utförts.
Ärendehanteringssystemet hämtar därtill automatisk information om huruvida den som ansöker om pass förekommer i MR, BR, KVR respektive EPU. Vid ansökan om nationellt identitetskort hämtas inte någon information från dessa register, eftersom informationen saknar betydelse i ärendet.
Personuppgifter som tillhandahålls genom ärendehanteringssystemen
Ärendehanteringssystemen RES och RES-UM stödjer handläggningen av passärenden och ärenden om nationella identitetskort genom automatisk hämtning av folkbokföringsuppgifter om sökandens fullständiga namn, medborgarskap, födelselän, födelseland och födelseort samt uppgift om vårdnadshavare (om sökanden är under 18 år). Uppgifterna hämtas från PPA/Infotorg (Bisnode Information AB), som i sin tur får dem från Skatteverket. Vidare hämtas sparade uppgifter om tidigare ansökningar, tidigare utfärdade pass och nationella identitetskort samt spärrade pass. Genom
Kartläggning Ds 2015:44
RES hämtas även passhinderuppgifter såsom uppgifter om vissa brottsmisstankar och brottsbelastningar, efterlysningsuppgifter och uppgifter om annat passhinder från MR, BR, KVR respektive EPU.
Från en fotostation på passmyndigheten hämtas sökandens digitala ansiktsbild, fingeravtryck och signatur. Fingeravtrycken mellanlagras endast i RES eller RES-UM för att senare kunna sparas ned i chipet i passet eller identitetskortet.
Samtliga handlingar som varit aktuella i ett ärende skannas dessutom in och antecknas i RES och RES-UM och sparas därefter på avsedd plats i RES. RES och RES-UM levererar i sin tur uppgifter om spärrade resehandlingar till Schengens informationssystem (SIS) och Interpol.
Passregister
Av 23 § passförordningen följer att Polismyndigheten ska föra ett passregister. Passregistret förs i RES. Vilka uppgifter passregistret ska innehålla är emellertid inte närmare reglerat i passlagen eller passförordningen. Enligt Polismyndigheten innehåller passregistret följande uppgifter.
- Typ av pass (vanligt, extra eller provisoriskt pass),
- passnummer,
- innehavarens personnummer,
- innehavarens kön,
- innehavarens för- och efternamn,
- innehavarens födelseort,
- innehavarens längd,
- utlämningsadress (d.v.s. den passexpedition eller utlandsmyndighet där sökanden vid ansökningstillfället uppgett att han eller hon vill hämta det utfärdade passet),
- utfärdande myndighet (Polismyndigheten eller utlandsmyndighet, d.v.s. ambassad eller konsulat),
- handläggare av ansökningsärendet hos passmyndigheten,
Ds 2015:44 Kartläggning
- ansökningsdatum,
- utfärdandedatum (avhängigt av när ansökan blivit bifallen),
- utlämningsdatum,
- handlingens status (”Utlämnad”, ”Spärrad”, ”Makulerad” eller
”Utgången”),
- handläggare av en åtgärd i form av spärr eller makulering i de fall handlingen varit föremål för en sådan åtgärd,
- giltighetstid (d.v.s. handlingens utgångsdatum),
- giltighetsområde (oftast ”Alla länder”),
- innehavarens foto,
- innehavarens namnteckning (i den mån någon sådan har lämnats vid ansökan),
- ärendenummer och
- pagineringsnummer (obsolet uppgift vad gäller handlingar utfärdade med stöd av RES).
Enligt Polismyndigheten visas dessutom personens totala innehav av pass under de senaste cirka tjugo åren, inklusive återkallade, indragna och därmed makulerade handlingar.
Något uttryckligt ändamål för passregistret har inte angivits i vare sig passlagen eller passförordningen. Enligt Polismyndigheten är ändamålet med registret att tillhandahålla uppgifter som behövs för utfärdandet av pass för svenska medborgare, för kontroll av vilka personer som är innehavare av en resehandling, för att förhindra innehav av mer än ett vanligt pass, för att kontrollera om passtillstånd erfordras, för identifieringskontroll i polisens verksamhet samt för avstämning av passuppgifter, passböcker och avgifter.
Register över omständigheter som kräver passtillstånd
Enligt 23 § passförordningen ska Polismyndigheten även föra ett register över omständigheter som avses i 20 § 1 och 3 passlagen. Registret förs även det i RES. De omständigheter som avses är dels
Kartläggning Ds 2015:44
anmälan av chefsöverläkare om att det krävs passtillstånd för en person som genomgår psykiatrisk tvångsvård eller rättspsykiatrisk vård (20 § 1 passlagen), dels begäran om att pass ska återkallas beträffande en person som bereds ovan angiven vård om ett innehav av pass skulle vara olämpligt med hänsyn till hans eller hennes vård (20 § 3 passlagen). Registrets ändamål är enligt Polismyndigheten att ge information om att passhinder föreligger med anledning av ingiven anmälan eller återkallelse av tidigare utfärdat pass, såvida inte passtillstånd lämnats.
I registret finns enligt Polismyndigheten uppgift om namn och personnummer på de personer som är aktuella, anteckningsruta, registreringsdatum samt uppgift om vem som registrerat uppgiften samt handläggar- och myndighetskod. Aktuella handlingar skannas inte in i ärendehanteringssystemet utan diarieförs i Polismyndighetens allmänna diarium och arkiveras i det allmänna ärendets akt.
Nedan följer en närmare redogörelse för de två situationer då det kan bli aktuellt att föra in uppgifter i registret.
Anmälan enligt 20 § 1 passlagen om att pass inte får utfärdas utan särskilt tillstånd
Enligt 20 § 1 passlagen krävs passtillstånd för den som genomgår psykiatrisk tvångsvård eller rättspsykiatrisk vård om chefsöverläkaren gjort en anmälan om att pass inte får utfärdas för honom eller henne utan sådant tillstånd. Enligt 19 § passförordningen ska anmälan göras till Polismyndigheten. Avsikten med bestämmelserna är således att anmälningar enligt ovan ska inkomma till Polismyndigheten via skrivelser från chefsöverläkare på hans eller hennes eget initiativ. Skrivelsen ska endast innehålla kort information om att personen genomgår psykiatrisk tvångsvård eller rättspsykiatrisk vård, att hinder mot att utfärda pass föreligger såvida inte passtillstånd lämnas och ett önskemål om att detta registreras. Chefsöverläkaren ska återkalla anmälan när de omständigheter som har föranlett anmälan inte längre finns (19 § passförordningen).
Skrivelsen från chefsöverläkaren förvaras centralt. Detta kan enligt Polismyndigheten medföra vissa komplikationer avseende åtkomlighet av handlingar under icke kontorstid och förvaringsansvar över tid. Vid behov lämnar Polismyndigheten centralt upplys-
Ds 2015:44 Kartläggning
ningar om innehållet i skrivelsen till passhandläggare som handlägger ansökan om pass för aktuell person.
Uppgift om återkallelse av tidigare utfärdat pass efter framställning enligt 24 § andra stycket passlagen
Registret innehåller också uppgifter om tidigare återkallelser av pass som gjorts efter framställning enligt 24 § andra stycket passlagen. Enligt 24 § andra stycket passlagen kan Socialstyrelsen besluta att en framställning ska göras hos Polismyndigheten om att pass ska återkallas för en patient som bereds psykiatrisk tvångsvård eller rättspsykiatrisk vård, om det med hänsyn till ändamålet med vården är olämpligt att han eller hon har pass. En sådan återkallelse kan också vara provisorisk, sex månader eller den kortare tid som anges i framställningen (25 § passlagen). Istället för att begära att passet ska återkallas, kan Socialstyrelsen begära att passets giltighet begränsas.
Frågan om återkallelse av pass initieras av en chefsöverläkare som gör en anmälan till Socialstyrelsen om att så bör ske (24 § första stycket passförordningen). Till anmälan ska yttrande, patientjournal och domar bifogas. Enligt uppgift från Socialstyrelsen angående myndighetens interna rutiner handläggs ärendet därefter enligt följande. De insända handlingarna granskas av en psykiater som gör en bedömning. Eventuellt kommuniceras anmälan också med patienten. Sådan kommunicering kan emellertid undvaras om det kan befaras att det annars skulle bli avsevärt svårare att genomföra beslutet i ärendet (17 § första stycket punkten 3 förvaltningslagen [1986:223]). Efter psykiaterns granskning fattas beslut om framställning ska göras till Polismyndigheten. Beslutet fattas av enhetschef på Socialstyrelsen och ska delges patienten. Sedan beslutet vunnit laga kraft översänds det till Polismyndigheten (24 § andra stycket passförordningen). Om det finns risk för att passinnehavare reser ut ur landet innan beslutet har vunnit laga kraft, ska Polismyndigheten omedelbart underrättas om beslutet.
När en framställning om återkallelse inkommit till Polismyndigheten registreras denna genom ärendesystemets återkallelsefunktion och uppfattas som ett vanligt återkallelseärende. Någon registrering i registret över omständigheter som kräver passtill-
Kartläggning Ds 2015:44
stånd förekommer således inte med anledning av återkallelsen, trots att detta torde vara ett av ändamålen med registret.
Förekomsten av ärenden i registret
Vid vår kartläggning har det framkommit att det är ytterst ovanligt att det till Polismyndigheten inkommer anmälan från chefsöverläkare om att det krävs passtillstånd för en person som genomgår psykiatrisk tvångsvård eller rättspsykiatrisk vård. På samma sätt förhåller det sig med begäran från Socialstyrelsen om att pass ska återkallas beträffande en person som bereds ovan angiven vård.
Enligt uppgift från Polismyndigheten är för närvarande inte någon registrerad i det aktuella registret. Av de uppgifter som Socialstyrelsen har tagit fram framgår att myndigheten endast gjort sex stycken framställningar om återkallelse sedan år 2006. Under samma period har ingen anmälan enligt 20 § 1 passlagen gjorts.
Register över nationella identitetskort
Enligt 14 § förordningen om nationellt identitetskort ska Polismyndigheten även föra ett register över nationella identitetskort. Även detta register förs i RES. Av 15 § förordningen om nationellt identitetskort följer att registret ska ha som ändamål att ge information om sådana uppgifter som behövs i verksamhet hos en passmyndighet för utfärdande av nationellt identitetskort.
Registret ska enligt 16 § förordningen om nationellt identitetskort innehålla uppgifter om
- sökandens namn,
- personnummer, längd och kön,
- dag för utfärdandet av identitetskortet, kortnummer och giltighetstid,
- sökandens namnteckning och kopia av den ansiktsbild som identitetskortet har försetts med samt
- beslut om ansökan har avslagits eller återkallats samt uppgift om vad som har utgjort grund för ett sådant beslut.
Ds 2015:44 Kartläggning
Enligt uppgift från Polismyndigheten innehåller registret dessutom i allt väsentligt samma uppgifter som passregistret, såsom exempelvis uppgift om medborgarskap och ärendenummer.
6.2.2. Ansökningsförfarandet
Övergripande redogörelse
Ansökningsförfarandet är i stort sett detsamma oavsett om ansökan sker vid en passmyndighet inom eller utom riket. Ansökningsförfarandet vid ansökan om nationellt identitetskort är även det, med några få undantag, identiskt med det vid ansökan om pass. Vid ansökan om nationellt identitetskort görs emellertid ingen passhindersundersökning. Den sökande lämnar vid en sådan ansökan inte heller fingeravtryck.
I Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14)och Regeringskansliets föreskrifter (UF 2009:9) om handläggningen av pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort finns närmare angivet hur passhandläggarna ska handlägga ärenden om pass och nationella identitetskort.
En ansökan om pass och nationellt identitetskort görs elektroniskt vid ansökningstillfället. Ansökningsförfarandet inleds först sedan ansökningsavgiften är betald. Betalningen registreras tillsammans med ansökan i RES eller RES-UM för att sedan stämmas av och redovisas i ärendehanteringssystemets kassaredovisningsfunktion. När sökanden betalat ansökningsavgiften får han eller hon legitimera sig med en godkänd identitetshandling. Passmyndigheten kontrollerar också att sökanden är svensk medborgare. Avser ansökan pass eller nationellt identitetskort för barn under 18 år ska barnets vårdnadshavare lämna sitt medgivande. Om sökanden vid ansökan om ett nytt pass eller nationellt identitetskort uppger att en giltig resehandling är förstörd, stulen eller har förkommit, ska de omständigheter som sökanden lämnar beträffande detta antecknas i ansökan.
Sedan sökandens identitet och svenska medborgarskap klarlagts tas ett digitalt foto på sökanden med den fotostation som finns på varje passexpedition. Fotostationen innehåller digital fotoutrust-
Kartläggning Ds 2015:44
ning samt mjukvaror för att verifiera fotokvalitet och biometrisk information. Till fotostationen hör även utrustning för att fånga namnteckningar digitalt. RES och RES-UM ansluter direkt till fotostationen. Fotostationen tar flera digitala foton och säkerställer automatiskt kvaliteten på dessa. I samband med fotograferingen tas biometriska data fram ur ansiktsbilden i syfte att verifiera att det nyss tagna fotografiet är användbart som underlag för verifiering av ansiktsbiometri. Ett digitalt fotografi används sedan till den synliga ansiktsbilden (fotot) i passet eller det nationella identitetskortet. Det digitala fotografiet sparas också i komprimerad form på datachipet i passet eller identitetskortet.
Vid ansökan om pass får sökanden även lämna fingeravtryck för passet genom att placera sina pekfingrar på en speciell läsplatta i fotostationen som skannar av fingeravtrycken. För barn under sex år och personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck gäller emellertid undantag från skyldigheten att låta passmyndigheten ta sökandens fingeravtryck (2 § passförordningen). I första hand skannas fingeravtrycken på sökandens pekfingrar av. Vid skador på pekfingrarna skannas något av sökandens andra fingrar. Fingeravtrycken sparas endast på datachipet i passet. Vid ansökan om nationellt identitetskort lämnar sökanden inte fingeravtryck.
När den tekniska kvaliteten på foto och eventuella fingeravtryck godkänts får sökanden kontrollera sina uppgifter och skriva sin namnteckning på fotostationens signaturplatta. Även namnteckningen lagras sedan i resehandlingens chip. Sökanden får därefter se en bild av hur passet eller identitetskortet kommer att se ut när det är färdigt.
Efter sökandens godkännande av bilden fattar handläggaren beslut. Normalt bifalls ansökan och distribueras som ett produktionsunderlag till resehandlingstillverkaren AB Svenska Pass. För den händelse en ansökan inte är komplett eller – vid ansökan om pass – det eventuellt föreligger passhinder registreras ansökan som vilande. I RES och RES-UM antecknas då på vilka grunder ansökan förklarats vilande, t.ex. att yttrande ska inhämtas från Åklagarmyndigheten, Kriminalvården eller Socialstyrelsen. Innan sökanden lämnar passexpeditionen får han eller hon ett kvitto på ansökan. Kvittot skrivs ut från ärendehanteringssystemet. Vid ansökan om pass och nationellt identitetskort på en passexpediton i Sverige,
Ds 2015:44 Kartläggning
lämnas bl.a. följande information på kvittot. ”Uppgifter i ansökan, t.ex. namn och personnummer, kommer att databehandlas i resehandlingsregistret. Resehandlingsregistret förs med stöd av personuppgiftslagen. Ändamålet med resehandlingsregistret är att tillhandahålla uppgifter som behövs för att utfärda resehandlingar, kontrollera uppgifter om resehandlingar samt att kontrollera identitetsuppgifter vid gränskontroll och i polisens övriga verksamhet. En enskild person har rätt att – efter ansökan – en gång per år gratis få besked om huruvida uppgifter som rör denne behandlas i resehandlingsregistret eller ej.” Vid ansökan om pass och nationellt identitetskort vid en utlandsmyndighet eller vid ansökan om tjänste- och diplomatpass hos Utrikesdepartementet lämnas dock inte någon sådan information.
Om något passhinder inte föreligger och ansökan i övrigt är komplett kan sökanden normalt hämta det färdiga passet eller nationella identitetskortet på passmyndigheten inom fem dagar. Vid ansökan om pass eller nationellt identitetskort på en utlandsmyndighet är handläggningstiden längre. Detta då samtliga svenska resehandlingar tillverkas i Sverige och utlandsmyndigheten inte själv kan genomföra en eventuell passhindersundersökning utan måste ta hjälp av Polismyndigheten. Innan ett pass eller identitetskort lämnas ut kontrolleras passet så att det håller önskad teknisk kvalitet. Om ansökan inte är komplett eller det eventuellt föreligger passhinder kan handläggningstiden bli längre och t.o.m. resultera i att ansökan avslås. Om det föreligger passhinder får sökanden ett skriftligt avslagsbeslut från passmyndigheten.
Passmyndigheten ska som huvudregel makulera ett gällande pass när innehavaren ansöker om ett nytt pass av annan typ än provisoriskt pass eller extra pass (28 § passförordningen). Det motsvarande gäller vid ansökan om ett nytt nationellt identitetskort (21 § förordningen om nationellt identitetskort). Uppgift om makuleringen ska antecknas i RES och RES-UM.
Närmare om olika moment vid ansökningsförfarandet
Identitetskontroll
Vid ansökan om pass eller nationellt identitetskort måste sökanden styrka sin identitet. De sätt på vilka sökanden kan styrka sin iden-
Kartläggning Ds 2015:44
titet framgår av 4 kap. 2 § RPSFS 2009:14 och 15 § UF 2009:9. Vanligast är att sökanden styrker sin identitet genom att visa upp en godkänd identitetshandling. Med godkänd identitetshandling avses giltigt svenskt vanligt pass eller extra pass, giltigt svenskt nationellt identitetskort, giltigt svenskt körkort och ett av statlig myndighet utfärdat eller av behörigt organ certifierat giltigt tjänste- eller identitetskort för folkbokförda i Sverige.
I de fall sökanden saknar godkänd identitetshandling kan han eller hon i stället styrka sin identitet genom en skriftlig försäkran från exempelvis vårdnadshavare, familjehemsförälder, god man, myndigt barn eller barnbarn, förälder, myndigt syskon, mor- eller farförälder, make eller maka, sambo, registrerad partner eller arbetsgivare (behörig firmatecknare), i vilken han eller hon intygar att sökandens uppgifter om identiteten är riktiga. Den som lämnar en sådan försäkran ska närvara vid identitetskontrollen och styrka sin egen identitet genom en sådan identitetshandling som nämnts ovan. För att passhandläggaren ska kunna kontrollera att sökanden och personen som intygar hans eller hennes identitet har en sådan relation som påstås, krävs många gånger att passhandläggaren gör slagningar i olika myndighetsregister, t.ex. Skatteverkets och Bolagsverkets register. Kan sökanden inte styrka sin identitet på sätt som nämnts ovan får passmyndigheten godta att identiteten styrks på något annat tillförlitligt sätt. Även i dessa fall torde det vara vanligt att passhandläggaren gör sökningar i olika myndighetsregister. Passhandläggaren ska alltid anteckna i RES eller RES-UM på vilket sätt som sökanden styrkt sin identitet.
Vid ansökan om pass eller nationellt identitetskort av en person som har beviljats spärrmarkering, kvarskrivning eller fingerade personuppgifter har passmyndigheterna som rutin att inte skanna in de handlingar som varit aktuella i ärendet i RES. Handlingarna förvaras istället inlåsta.
Medborgarskapsutredning
En passmyndighet ska vid ansökan om pass och nationella identitetskort utreda om sökanden är svensk medborgare. I de fall sökanden är bosatt i Sverige, kontrolleras sökandens medborgarskap normalt med hjälp av uppgifter hos Skatteverket. När sökan-
Ds 2015:44 Kartläggning
den är bosatt utomlands krävs många gånger istället att hans eller hennes svenska medborgarskap klarläggs genom en s.k. medborgarskapsutredning. Detta gäller också i de fall sökanden är folkbokförd i Sverige, men han eller hon varaktigt vistas utomlands.
Bestämmelser om svenskt medborgarskap finns i lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen). För att fastställa att någon är svensk medborgare är det emellertid inte alltid tillräckligt att känna till nuvarande bestämmelser om svenskt medborgarskap. Man kan också behöva känna till tidigare svenska regler. Många gånger är det också nödvändigt att känna till andra länders – särskilt sökandens bosättningslands – medborgarskapsbestämmelser. En person som tidigare varit svensk medborgare kan i ett antal situationer förlora sitt svenska medborgarskap, ibland utan att ens känna till det. En svensk medborgare som är född utomlands och som aldrig har varit bosatt i Sverige och inte heller uppehållit sig i Sverige under former som tyder på samhörighet med landet förlorar automatiskt sitt svenska medborgarskap vid 22 års ålder (14 § medborgarskapslagen). För att bibehålla sitt svenska medborgarskap måste personen ansöka om detta efter det att han eller hon fyllt 18 år, men före han eller hon fyllt 22 år. Före den 1 juli 2001 förlorade svenska medborgare, som blivit medborgare i ett annat land, per automatik sitt svenska medborgarskap. Personer som blivit av med sitt svenska medborgarskap p.g.a. tidigare bestämmelser om förbud mot dubbelt medborgarskap, kan från och med den 1 april 2015 göra en anmälan om att återfå sitt svenska medborgarskap (punkten 4 i övergångsbestämmelserna till medborgarskapslagen).
Passmyndigheternas medborgarskapsutredning görs på grundval av de uppgifter som sökanden lämnar på en särskild blankett och de handlingar som sökanden uppvisar för att styrka sina uppgifter. Utredningen antecknas i RES eller RES-UM. De handlingar som sökanden uppvisar skannas in i ärendehanteringssystemet och sparas i RES.
Vid en medborgarskapsutredning godtas inte sökandens tidigare pass som intyg om att han eller hon är svensk medborgare. Anledningen till detta är att sökanden kan ha förlorat sitt svenska medborgarskap sedan det tidigare passet utfärdades (se ovan). Passet kan också ha utfärdats för sökanden på felaktiga grunder. Vid en medborgarskapsutredning är det inte heller tillräckligt att kontrol-
Kartläggning Ds 2015:44
lera om sökanden är svensk medborgare enligt de uppgifter som finns registrerade hos Skatteverket. Detta eftersom Skatteverket normalt endast har uppgifter om sökandens medborgarskap vid tidpunkten då han eller hon flyttade från Sverige (avregistrerades). Vilket utredningsunderlag som faktiskt krävs för att fastställa om sökanden är svensk medborgare får bestämmas i det enskilda fallet.
Vårdnadshavares medgivande då sökanden är under 18 år
Vid ansökan om pass eller nationellt identitetskort för barn under 18 år ska barnets vårdnadshavare lämna sitt medgivande (7 § 2 passlagen och 1 § andra stycket 3 passförordningen samt 3 § andra stycket 3 förordningen om nationellt identitetskort). Vårdnadshavares medgivande ska lämnas på ett särskilt formulär eller på annat likvärdigt sätt. Formuläret eller handlingen ska undertecknas av barnets vårdnadshavare eller, om barnet har två vårdnadshavare, av båda vårdnadshavarna. Respektive vårdnadshavares namnteckning ska vara bevittnad. Medgivande ska vara daterat och får inte vara äldre än en månad. Framgår det inte av uppgift från polisens person- och adressregister (PPA) vem som är vårdnadshavare ska detta styrkas genom en kopia av lagakraftvunnen dom eller beslut (2 kap. 8 § RPSFS 2009:14 och 12 § UF 2009:9).
Enligt 7 § 2 passlagen och 3 § andra stycket 3 förordningen om nationellt identitetskort kan pass och nationella identitetskort utfärdas trots att vårdnadshavares medgivande saknas, om det finns synnerliga skäl att ändå utfärda handlingen. Ett exempel på när det föreligger synnerliga skäl att, trots avsaknad av vårdnadshavares medgivande, utfärda pass är när en av vårdnadshavarna vistas utomlands och det är uppenbart att dennes medgivande skulle ha lämnats. Som ett annat exempel kan nämnas att ett barn är placerat i familjehem utan särskilt förordnande av domstol i vårdnadsfrågan och den naturliga kontakten med de biologiska föräldrarna kan anses bruten (se 2 kap. 9 § RPSFS 2009:14).
Om det i ett passärende är aktuellt att utfärda pass för ett barn under arton år utan vårdnadshavares medgivande ska passmyndigheten enligt 3 § andra stycket passförordningen inhämta yttrande från en sådan kommunal nämnd som fullgör uppgifter inom socialtjänsten. Yttrandet ska inhämtas från den kommun där barnet är
Ds 2015:44 Kartläggning
folkbokfört eller, om barnet inte är folkbokfört, den kommun som barnet har starkast anknytning till. Ett yttrande behöver dock inte inhämtas, om det är uppenbart att passansökan ska bifallas. Motsvarande bestämmelser finns inte beträffande de nationella identitetskorten.
Passhindersundersökning
Av 3 § passförordningen följer att en passmyndighet i samband med ansökan ska pröva om det finns hinder mot att utfärda pass, en s.k. passhindersundersökning. Passhindersundersökningen genomförs vanligtvis av handläggare på respektive passexpedition. Vid ansökan om pass vid en passmyndighet utomlands uppdrar den aktuella utlandsmyndigheten istället åt Polismyndigheten att göra passhindersundersökningen. Passmyndigheterna utom riket genomför således inte själva några passhindersundersökningar.
Passhindersundersökningar genomförs vid ansökan om vanligt pass, extra pass eller provisoriskt pass. Enligt 17 § passförordningen får en passhindersundersökning även företas i ärenden om tjänste- och diplomatpass. Passhindersundersökningen utförs även i dessa fall av Polismyndigheten, då på uppdrag av Utrikesdepartementet.
Vid passhindersundersökningen kontrollerar Polismyndigheten inte bara om det föreligger passhinder enligt 7 § passlagen utan också om det p.g.a. misstanke om brott föreligger en skyldighet för passmyndigheten att enligt 8 § passlagen underrätta förundersökningsledaren om passansökan. Som vi redogjort för närmare under avsnitt 4.2.3 ska Polismyndigheten enligt bestämmelsen underrätta förundersökningsledaren om passansökan om det framkommer att sökanden är skäligen misstänkt för brott, för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader. Polismyndigheten undersöker också om det fordras passtillstånd för sökanden enligt 10, 19 och 20 §§passlagen.
Som vi redogjort för närmare under avsnitt 4.2.3 föreligger det passhinder om sökanden
- är anhållen, häktad eller underkastad övervakning enligt bestämmelser i 24 kap 4 § första stycket rättegångsbalken, eller ålagd
Kartläggning Ds 2015:44
reseförbud eller anmälningsskyldighet enligt 25 kap. 1 § samma balk,
- är föremål för ett beslut om övervakningsåtgärder enligt 2 kap.
1 § lagen (2015:485) om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagaren inte har lämnat medgivande till passansökan
- är föremål för en uppföljningsförklaring som avser en övervakningsåtgärd enligt 3 kap. 3 § 3–5 lagen om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagaren inte har lämnat medgivande till passansökan,
- är efterlyst och ska omhändertas omedelbart vid anträffandet,
- är dömd till en frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten,
- avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och sökanden har inte villkorligt frigivits,
- genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år,
- genomgår rättspsykiatrisk vård med särskild utskrivningsprövning eller
- är ålagd att lämna ifrån sig sitt pass enligt 2 kap. 12 § eller 6 kap.
6 § konkurslagen eller förbud att utfärda pass för sökanden har meddelats enligt samma lagrum.
Enligt10, 19 och 20 §§passlagen krävs i vissa fall passtillstånd för personer som får kriminalvård i olika former eller undergår sjukhusvård inom den psykiatriska vården (se närmare under avsnitt 4.2.3). Passtillstånd krävs för den som
- avtjänar fängelsestraff och inte är villkorligt frigiven, eller genomgår sluten ungdomsvård, utom när straffet eller vården är en månad eller kortare tid,
- står under övervakning efter dom på skyddstillsyn eller efter villkorlig frigivning från fängelse eller
Ds 2015:44 Kartläggning
- är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård, dock endast om – chefsöverläkaren vid sjukvårdsinrättningen i enlighet med
19 § passförordningen har gjort en anmälan till Polismyndigheten om att pass ej får utfärdas utan sådant tillstånd, – patienten genomgår rättspsykiatrisk vård med särskild
utskrivningsprövning, eller – patienten har fått ett tidigare utfärdat pass återkallat på grund
av en framställning enligt 24 § andra stycket passlagen.
I samband med att en passansökan registreras i RES sker automatisk en kontroll mot MR, BR, EPU och KVR om det föreligger passhinder enligt 7 § passlagen eller om det föreligger en skyldighet att informera förundersökningsledaren om passansökan enligt 8 § passlagen. Det sker också en automatisk kontroll av om sökanden förekommer i registret över vissa omständigheter som kräver passtillstånd i syfte att kontrollera om det krävs passtillstånd för sökanden enligt 10 och 19 eller 20 §§passlagen.
Om det i samband med den automatiska sökningen framkommer att det eventuellt föreligger något hinder mot bifall till pass signalerar RES för detta. I sådana fall anges också i RES om det beror på att sökanden förekommer i MR, BR, EPU, KVR eller registret över vissa omständigheter som kräver passtillstånd. Passhandläggaren får då genom att göra slagningar i det eller de aktuella registren undersöka om det verkligen föreligger hinder mot bifall till pass. Vid ansökan om pass vid utlandsmyndighet eller Utrikesdepartementet kan passhandläggaren inte se i vilket eller vilka av ovanstående register som sökanden förekommer och inte heller vad det är för omständigheter som skulle kunna innebära hinder mot bifall till pass. Istället anges bara att ansökan är under ”utredning”. Polismyndigheten utreder då om hinder mot bifall till pass verkligen föreligger i det aktuella fallet.
Polismyndigheten är den myndighet som för registren MR, BR och EPU. Som vi ovan nämnt utförs samtliga passhindersundersökningar av Polismyndigheten, oavsett om sökanden ansöker om pass i Sverige eller utomlands. Vid en passhindersundersökning kontrollerar Polismyndigheten således sökandens eventuella belastningar och brottsmisstankar i polisens egna register, MR, BR
Kartläggning Ds 2015:44
och EPU. De kontroller av förekomst i KVR som Polismyndigheten också gör har uttryckligt stöd i 37 § andra stycket förordningen (2001:682) om behandling av personuppgifter inom kriminalvården. Enligt denna bestämmelse får Polismyndigheten ha direktåtkomst till uppgifterna i registret.
Om det efter passhandläggarens eller – om ansökan handläggs av utlandsmyndighet eller Utrikesdepartementet – Polismyndighetens slagningar i registren framkommer att det inte föreligger något hinder mot bifall till pass kan passhandläggaren bevilja ansökan. Vid bifall till passansökan förs uppgifterna i ärendehanteringssystemet över till passregistret, förutom de uppgifter som anger förekomst i MR, BR, KVR respektive EPU. Uppgifter om förekomst i MR, BR, KVR respektive EPU sparas – som vi redogör närmare för nedan – i RES.
Om hindret kvarstår även sedan passhandläggaren/Polismyndigheten gjort slagningar i ovan nämnda register ska han eller hon i många fall inhämta yttrande från Åklagarmyndigheten, Polismyndigheten, Kriminalvården, Statens Institutionsstyrelse eller Socialstyrelsen. Vilken myndighet som ska yttra sig beror på vilket hinder som det är frågan om (se närmare under avsnitt 4.2.3). Vid begäran om yttrande använder Polismyndigheten nationellt eller regionalt framtagna mallar. På begäran om yttrande framgår bl.a. sökandens namn och personnummer och med stöd av vilken bestämmelse i passlagen respektive passförordningen som yttrandet begärs. Vid underrättelse om passansökan till förundersökningsledaren enligt 8 § passlagen framgår uttryckligen av skrivelsen att sökanden är misstänkt för brott, på vilket lägst sex månaders fängelse kan följa.
Sedan svar inkommit från aktuell myndighet skannas svaret in i RES och en anteckning om att svar inkommit förs också in i anteckningsfältet i RES. Om svaret lämnas på annan handling än den utgående skrivelsen, skannas även den utgående skrivelsen in i RES. Det går inte att få fram uppgifter om hur många skrivelser som Polismyndigheten skickar till berörda myndigheter varje år. Enligt Polismyndigheten finns det ingen funktion i ärendehanteringssystemet för att ta fram sådana uppgifter. På motsvarande sätt saknas också uppgift om hur många svarsskrivelser som inkommer till Polismyndigheten och som skannas in i RES. Enligt Polismyn-
Ds 2015:44 Kartläggning
digheten är det osäkert om det över huvud taget är möjligt att ta fram uppgifter om detta.
Sedan svar inkommit och registrerats lämnas relevanta handlingar till rättsavdelningen i den aktuella polisregionen eller centralt för beslut. Om det inte föreligger något hinder mot att utfärda pass bifalls ansökan. Om ansökan istället ska avslås fattas ett avslagsbeslut som dateras och undertecknas av behörig handläggare. I avslagsbeslut lämnas också en anvisning om hur beslutet kan överklagas. Avslagsbeslutet skickas till sökanden per post till hans eller hennes folkbokföringsadress. Beslutet skannas in och sparas i RES.
Om det vid Polismyndighetens passhindersundersökning för utlandsmyndigheternas eller Utrikesdepartementets räkning framkommer att det föreligger hinder mot bifall till pass antecknar Polismyndigheten resultatet från hindersundersökningen i ett dokument som skannas in i RES. Sedan passhandläggaren vid utlandsmyndigheten eller Utrikesdepartementet tagit del av resultatet från hindersundersökningen fattas ett avslagsbeslut av behörig handläggare på myndigheten. Beslutet skannas in i RES-UM och sparas i RES.
Oavsett om ansökan bifalls eller avslås kvarstår uppgifter om förekomst i MR, BR, KVR respektive EPU endast i inskannade bilagor till passansökan sedan beslutet fattats.
Polismyndigheten uppskattar att cirka 100 000 passärenden per år bedöms på grund av signalerat passhinder. Flertalet av dessa bedömningar är mycket enkla då RES idag signalerar för passhinder i ärenden där passhinder inte föreligger, t.ex. vid brottsmisstankar avseende brott där straffet kan vara mindre än fängelse sex månader och vid olika typer av efterlysningar som inte medför passhinder. De flesta passhindersundersökningar leder till att ansökan om pass bifalls. Som exempel kan nämnas att det under år 2014 endast avslogs 335 ansökningar om pass p.g.a. passhinder.
Namnteckning
Enligt 1 § första stycket passförordningen och 3 § första stycket förordningen om nationellt identitetskort ska ansökan undertecknas av sökanden. Namnteckningen sparas i passregistret och registret över nationella identitetskort. För personer som av någon
Kartläggning Ds 2015:44
anledning inte kan skriva sitt namn används texten ”Kan ej underteckna / not able to sign”.
6.2.3. Biometrisk information i pass och nationella identitetskort
Biometrisk information
Biometri betyder enligt Nationalencyklopedin studiet av levande organismer med hjälp av matematisk-statistisk bearbetning av mätvärden. I detta sammanhang syftar termen snarare på en metod för att identifiera en person eller avgöra om en påstådd identitet är riktig, baserad på mätning av fysiologiska karaktärsdrag hos den som ska identifieras. De biometriska kännetecken som framför allt är relevanta här är ansiktsgeometri, mönster från fingeravtryck och ögats iris. Med biometriskt underlag avses rådata om en persons fysiska karaktärsdrag, t.ex. ett digitalt fotografi av ett ansikte eller av ett fingeravtryck. Biometriska data är den information som kan tas fram (extraheras) ur ett biometriskt underlag. Biometriska data kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.
Digital ansiktsbild
Den tekniska utvecklingen har gjort det möjligt att förse pass och nationella identitetskort med biometrisk information i syfte att göra identifieringen av handlingens innehavare säkrare. Med biometri avses i detta sammanhang tekniker som läser av en persons unika ansiktsdrag och översätter dem till en datakod i syfte att använda koden vid maskinell och automatisk identifiering. Vid ansökan om pass och nationella identitetskort är sökanden skyldig att låta passmyndigheten ta en digital ansiktsbild av honom eller henne. Ansiktsbilden lagras på ett lagringsmedium (datachip) i passet (6 a § passlagen) och det nationella identitetskortet (4 § förordningen om nationellt identitetskort). Ansiktsbilden lagras också i RES. De biometriska data som kan tas fram ur ansiktsbilden ska emellertid förstöras så snart passet eller identitetskortet har läm-
Ds 2015:44 Kartläggning
nats ut. Varken ansiktsbilden eller de biometriska data som kan tas fram ur ansiktsbilden får enligt 6 b § passlagen och 18 § första stycket förordningen om nationellt identitetskort användas vid sökning med hjälp av automatiserad behandling. Syftet med dessa bestämmelser är att det inte ska byggas upp ett register med de biometriska data som kan tas fram ur ansiktsbilden (se prop. 2004/05:119 s. 51).
En svensk medborgare som reser ut ur landet, och i vissa fall även in i landet, ska på begäran av en passkontrollant lämna över sitt pass eller sitt nationella identitetskort för kontroll av uppgifterna i handlingen. Innehavaren av handlingen är också skyldig att på begäran låta passkontrollanten ta en bild i digitalt format av hans eller hennes ansikte för kontroll av att ansiktsbilden motsvarar den ansiktsbild som finns lagrad i passet eller identitetskortet (5 a § andra stycket 2 och tredje stycket 2 passlagen). När en sådan kontroll har genomförts ska ansiktsbilden och de biometriska data som har tagits fram ur denna omedelbart förstöras (5 a § fjärde stycket passlagen och 18 § andra stycket förordningen om nationellt identitetskort).
Fingeravtryck
Den som ansöker om pass är också skyldig att låta passmyndigheten ta hans eller hennes fingeravtryck. Någon motsvarande skyldighet att lämna fingeravtryck föreligger inte vid ansökan om nationella identitetskort. Sökandens fingeravtryck ska tas av pekfingret på vänster och höger hand. Kan avtryck inte tas av pekfingret ska avtryck istället tas från långfinger, ringfinger eller tumme i angiven ordning. Handläggaren ska anteckna i RES eller RES-UM från vilka fingrar fingeravtryck är taget. Fingeravtryck får inte tas av lillfingret. Om sökanden är permanent förhindrad att lämna fingeravtryck från något av de fingrar som nämnts ovan på en eller bägge händer ska det antecknas i RES eller RES-UM. I ärendehanteringssystemet ska även antecknas vilken skada på handen som utgör permanent hinder att lämna fingeravtryck. Är sökanden endast tillfälligt förhindrad att lämna avtryck från ovan nämnda fingrar får man istället utfärda ett provisoriskt pass för honom eller henne.
Kartläggning Ds 2015:44
Fingeravtrycken sparas på det lagringsmedium som finns i passet (6 a § passlagen). Så snart passet har lämnats ut, ansökan har återkallats eller avslagits ska fingeravtrycken och de biometriska data som kan tas fram ur dessa förstöras. Till skillnad från vad som gäller för ansiktsbilden får alltså fingeravtrycken inte sparas någon annanstans än i passet. Fingeravtrycken och de biometriska data som kan tas fram ur dessa får enligt 6 b § passlagen inte i något sammanhang användas för registersökning eller annan automatisk sökning. Det ska således inte ges möjlighet att bygga upp ett separat fingeravtrycksregister med hjälp av de avtryck som lämnas vid ansökan om pass.
Den kontroll av passet som kan ske vid en gränskontroll får även omfatta en kontroll av att passinnehavarens fingeravtryck överensstämmer med de avtryck som finns lagrade i passet (5 a § andra stycket 2 passlagen). För att en sådan kontroll ska kunna göras förutsätts att den enskilde vid gränskontrollen på nytt lämnar sina fingeravtryck, så att passkontrollanten genom en datorstödd jämförelse kan verifiera att dessa överensstämmer med de avtryck som finns lagrade i passet. De fingeravtryck som finns lagrade i chipet i passet kan inte läsas av vem som helst. För att kunna öppna chipet och läsa av informationen därifrån behöver man ha tillgång till vissa särskilda s.k. nycklar. Dessa nycklar tillhandahålls av polisen och lämnas endast ut till myndigheter i andra länder med vilka polisen har ett samarbete. Fingeravtrycken och de biometriska data som kan tas fram ur dessa får inte användas för registersökning eller något annat ändamål. I likhet med vad som gäller för ansiktsbilden får det inte ske någon lagring av kontrollunderlaget. Syftet med kontrollen är endast att verifiera att det är rätt person som innehar passet.
6.2.4. Utlämnande av pass och nationella identitetskort
Vid utlämnande av pass och nationella identitetskort görs det på nytt en identitetskontroll av sökanden. Passhandläggaren kontrollerar också om sökanden har ett giltigt pass eller nationellt identitetskort som ska lämnas in för makulering (se avsnitt 4.2.6 och 4.3.2). Om sökanden har ett sådant giltigt pass eller identitetskort, men inte tagit med sig detta lämnas den nya handlingen inte ut. Vid
Ds 2015:44 Kartläggning
utlämnandet av vanliga pass och nationella identitetskort kontrollerar passhandläggaren också chipets funktion. Därefter kontrollerar sökanden att uppgifterna i den nya handlingen är korrekta och kontrasignerar sedan handlingen. Passhandläggaren uppdaterar sedan RES med uppgift om att passet eller det nationella identitetskortet har lämnats ut.
6.2.5. Återkallelse av pass och nationella identitetskort
Allmänt om återkallelse
Giltiga pass och nationella identitetskort ska återkallas i vissa situationer. Innehavaren av ett återkallat pass eller nationellt identitetskort är enligt 17 § passlagen och 13 § förordningen om nationellt identitetskort skyldig att på uppmaning lämna över det återkallade passet eller identitetskortet till passmyndigheten eller en annan myndighet. Om passet eller identitetskortet redan finns hos passmyndigheten eller uppvisas för myndigheten, kan myndigheten kvarhålla det. Beslut att återkalla ett pass eller ett nationellt identitetskort ska antecknas i RES eller RES-UM. Skälet till att passet eller identitetskortet återkallats ska framgå av beslutet. Om ett beslut om återkallelse av pass begränsas till att gälla för viss tid (provisorisk återkallelse) ska tiden antecknas i RES eller RES-UM. Även beslut att häva en provisorisk återkallelse av ett pass ska antecknas i RES eller RES-UM. Nationella identitetskort kan inte återkallas provisoriskt.
Återkallelse av pass
Pass får endast återkallas på de grunder som anges i passlagen (4 §). Som vi redogjort för under avsnitt 4.2.4 ska en passmyndighet enligt 12 § passlagen återkalla gällande pass om
1. passinnehavaren har förlorat eller efter ansökan har befriats från sitt svenska medborgarskap,
2. passet avser barn under 18 år och någon av barnets vårdnadshavare begär att passet ska återkallas och det inte finns synnerliga skäl mot återkallelse (detta gäller emellertid inte i de fall pass utfär-
Kartläggning Ds 2015:44
dats utan vårdnadshavares samtycke i enlighet med 11 § andra stycket passlagen),
3. passinnehavare, som är efterlyst och ska omhändertas omedelbart vid anträffandet, uppehåller sig utomlands och det av särskilda skäl är motiverat att passet återkallas,
4. passinnehavaren genom en dom som har vunnit laga kraft har dömts till frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten,
5. passinnehavaren avtjänar fängelsestraff i Sverige och den sammanlagda tiden att avtjäna är fängelse i minst ett år och innehavaren inte har villkorligt frigivits,
6. passinnehavaren genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år,
7. passinnehavaren genomgår rättspsykiatrisk vård med särskild utskrivningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård,
8. hinder mot bifall till passansökan enligt 7 § passlagen förelåg vid tiden för passets utfärdande och hindret fortfarande består eller
9. annan än den för vilken passet är utställt förfogar över passet.
Särskilt pass ska dessutom återkallas, när de skäl som har föranlett passets utfärdande inte längre är gällande. I vissa fall kan övervakningsnämnden, Statens institutionsstyrelse eller Socialstyrelsen göra framställningar enligt 24 eller 25 § passlagen hos en passmyndighet om återkallelse eller provisorisk återkallelse av pass. Passmyndigheten ska då enligt 15 § passlagen besluta om återkallelse, om passinnehavaren enligt 19 § passlagen undergår kriminalvård eller enligt 20 § i samma lag bereds viss vård.
Återkallelse av nationella identitetskort
Ett nationellt identitetskort ska enligt 9 § förordningen om nationellt identitetskort återkallas om innehavaren efter ansökan har förlorat eller befriats från sitt svenska medborgarskap. Enligt samma bestämmelse ska återkallelse också ske om hinder mot bifall förelåg redan vid tiden för identitetskortets utfärdande och hindret
Ds 2015:44 Kartläggning
består. Därutöver ska ett nationellt identitetskort återkallas när någon annan än den för vilken kortet är utställt förfogar över det.
6.2.6. Indragning av pass
En passmyndighet får enligt 27 § passförordningen dra in ett förslitet, trasigt eller obehörigen ändrat pass eller ett pass som innehåller en uppenbar felskrivning. Innehavaren är i sådana fall berättigad att utan avgift få ett nytt pass av samma slag som det indragna. Det nya passet får då en giltighetstid motsvarande det indragna passets återstående giltighetstid, dock inte längre än fem år. Ansökan görs i dessa fall på samma sätt som en ansökan om vanligt pass. Det indragna passet makuleras och en anteckning om åtgärden görs i RES eller RES-UM. Ett fulltecknat pass kan emellertid inte bytas ut kostnadsfritt mot ett nytt pass med samma giltighetstid som det fulltecknade passet. Innehavaren av det fulltecknade passet får istället ansöka om ett nytt pass mot full avgift. Några bestämmelser om indragning av nationella identitetskort finns inte.
6.2.7. Makulering av pass och nationella identitetskort
Enligt 28 § passförordningen och 21 § förordningen om nationellt identitetskort ska en passmyndighet makulera ett gällande pass och nationellt identitetskort om handlingen har återkallats. Av 28 § passförordningen följer vidare att pass ska makuleras om det dragits in. Makulering ska ske även när innehavaren ansöker om ett nytt nationellt identitetskort eller pass av annan typ än provisoriskt pass eller extra pass. Om sökanden av särskilda skäl är i behov av det tidigare passet eller identitetskortet under handläggningstiden ska makulering ske när den nya handlingen lämnas ut.
Närmare bestämmelser om hur makulering av pass och nationella identitetskort ska ske återfinns i 11 kap. 1–5 §§ Rikspolisstyrelsens föreskrifter om pass och nationella identitetskort (RPSFS 2009:14) och i 20–24 §§ Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort (UF 2009:9). I dessa bestämmelser anges bl.a. att makulering av pass ska ske genom att främre pärmen, personsidan och sidorna 3–4 hålslås på visst sätt.
Kartläggning Ds 2015:44
Makulering av nationella identitetskort ska också det ske genom att handlingen hålslås på visst sätt. Om passet eller identitetskortet är försett med chip ska det makuleras på ett sådant sätt att chip och antenn görs obrukbara.
6.2.8. Spärrmarkering om stulet eller förkommet pass eller nationellt identitetskort
Om en person uppger att hans eller hennes pass eller nationella identitetskort har stulits eller förkommit ska en polisanmälan om detta upprättas. Därefter görs skyndsamt en spärrmarkering om den stulna/förkomna resehandlingen i RES eller RES-UM (3 kap. 1 § RPSFS 2009:14 och 26 § UF 2009:9). Den för vilken resehandlingen är utställd ska i samband med att anmälan upprättas om stulet eller förkommet pass eller nationellt identitetskort upplysas om att resehandlingen kommer att spärras och att spärrmarkeringen inte får hävas. Uppgifter i RES eller RES-UM om en stulen eller förkommen resehandling vidarebefordras av Polismyndigheten till Schengen Information System (SIS) och Interpols databas över stulna och förekomna resehandlingar, varpå resehandlingen även spärras internationellt. Polismyndighetens skyldighet i detta avseende följer bl.a. av artikel 100 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Frankrike om gradvis avskaffande av kontroller vid de gemensamma gränserna (Schengenkonventionen) och artikel 55 i Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). I Sverige regleras användandet av SIS även i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem. Om ett pass eller nationellt identitetskort, som har anmälts stulet eller förkommet och i anledning därav spärrats, återfinns ska det makuleras. Även en upphittad resehandling, som inte är anmäld stulen eller förkommen ska makuleras och destrueras, om innehavaren inte kan anträffas (3 kap. 2 § RPSFS 2009:14 och 25 § UF 2009:9).
Ds 2015:44 Kartläggning
6.2.9. Begäran om att ta del av uppgifter som förekommer i ärenden avseende pass och nationella identitetskort
Polismyndigheten mottar regelbundet begäran om att ta del av uppgifter ur passregistret. Enligt uppgift från Polismyndigheten registrerades år 2014 cirka 1 450 förfrågningar i polisens allmänna diarium om att få ta del av uppgifter i passregistret. Till och med den 31 december 2014 fördes passregistret av Rikspolisstyrelsen. Den 1 januari 2015 bildades den nya Polismyndigheten, vilken bl.a. ersatte de 21 tidigare polismyndigheterna. Härigenom blev polisen en myndighet istället för 23 fristående myndigheter. En övervägande del av begäran om utlämnande av allmän handling ur passregistret kom från andra polismyndigheter än dåvarande Rikspolisstyrelsen. Några förfrågningar kom från helt andra myndigheter och endast ett fåtal från fysiska eller andra juridiska personer. Polisen använder i stor utsträckning fotografier i det dagliga polisarbetet, bl.a. i samband med identifiering av enskilda vid större olyckor, vid fotokonfrontationer och som ett led i spaningsarbete. Huvuddelen av fotografierna hämtas från passregistret. I och med att polisen numera är en myndighet är det inte frågan om ett utlämnande av allmän handling när en polis i sitt dagliga arbete tar del av uppgifter i passregistret. Antalet förfrågningar om utlämnande av sådana uppgifter torde därmed ha sjunkit drastiskt sedan år 2014.
Ärenden avseende begäran om utlämnande av uppgifter i passregistret handläggs huvudsakligen av Polismyndighetens Nationella Operativa Avdelning (NOA) (f.d. Rikskriminalpolisen). Det förekommer emellertid också att ärenden avseende begäran om utlämnande av uppgifter i passregistret hanteras ute i polisregionerna (f.d. polismyndigheterna). Enligt uppgift från Polismyndigheten kommer den största andelen förfrågningar om att ta del av uppgifter ur passregistret från brottsbekämpande och brottsutredande myndigheter och avser fotografi. Enligt 23 § passförordningen har Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten rätt att på begäran få ut ett fotografi från passregistret.
Uppgifter om beslut i ärenden avseende begäran om utlämnande av uppgifter i passregistret finns inte tillgängliga genom automatisk
Kartläggning Ds 2015:44
databehandling. I RES registreras inte besluten på annat sätt än att det framgår av handlingarna i ärendet. Enligt Polismyndigheten är det därför inte möjligt att med rimlig arbetsinsats ta fram uppgift om i vilken utsträckning begäran om att få ta del av uppgifter i passregistret avslås respektive bifalls. Det stora flertalet ansökningar avser emellertid begäran att få ta del av fotografi och kommer dessutom från myndigheter som har en författningsreglerad rätt att ta del av sådana uppgifter. Den osäkerhet som kvarstår om i vilken utsträckning uppgifter i övrigt lämnas ut gäller således endast en mycket liten andel av antalet ansökningar.
6.2.10. Sekretess Sekretess i verksamhet avseende pass
De uppgifter som förekommer i passregistren är ofta harmlösa. Ett passärende kan emellertid innehålla andra uppgifter som är känsliga. Det gäller särskilt när en passansökan avslås eller ett pass återkallas. Enligt 22 kap. 1 § första stycket 1 offentlighets- och sekretesslagen (2009:400) (OSL) gäller sekretess för uppgift om enskilds personliga förhållanden i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkningen och, i den utsträckning regeringen föreskriver det, i annan verksamhet som avser registrering av betydande del av befolkningen, om det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Regeringen har med stöd av 22 kap 1 § första stycket 1 OSL förordnat att motsvarande sekretess ska gälla för uppgifter om enskildas personliga förhållanden bl.a. i verksamhet som avser passregister (6 § offentlighets- och sekretessförordningen [2009:641] [OSF]).
Uppgifter om enskildas personliga förhållanden i passärenden kan också omfattas av sekretess enligt 35 kap. 22 § OSL. Detta om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller emellertid inte beslut i ett ärende. Skadebedömningen ska som huvudregel ske med utgångspunkt från själva uppgiften, varvid typiskt sett integritetskänsliga uppgifter normalt omfattas av sekretess. Bestämmelsen i 35 kap. 22 § OSL infördes sedan det ifrågasatts om sekretessen enligt 6 § OSF även var tillämplig på uppgifter som ligger till grund
Ds 2015:44 Kartläggning
för eller som kan ligga till grund för en registrering i passregistren. Genom införandet av bestämmelsen i 35 kap. 22 § OSL klargjordes att även sådana uppgifter i passärenden som inte är avsedda att registreras i passregistret – t.ex. uppgifter om enskilds personliga förhållanden i inkomna yttranden från Socialtjänsten m.fl. – också kan omfattas av sekretess (prop. 2004/05:119 s. 43ff).
Sekretess i verksamhet avseende nationellt identitetskort
Uppgifterna i registret över nationella identitetskort är – på samma sätt som uppgifterna i passregistret – normalt inte känsliga. Ärenden avseende nationella identitetskort innehåller inte heller i övrigt särskilt ofta några integritetskänsliga uppgifter, vilket främst beror på att passhinder inte utgör hinder mot utfärdandet av nationella identitetskort. Detta får till följd att det i verksamhet avseende nationella identitetskort saknas behov av – och även möjlighet – att göra registerslagningar mot t.ex. misstankeregistret, belastningsregistret och polisens dataregister för personefterlysningar. I offentlighet- och sekretesslagen saknas det också särskilda bestämmelse till skydd för uppgifter om enskildas personliga förhållanden i verksamhet avseende nationella identitetskort. För sådana uppgifter kan det emellertid föreligga sekretess enligt 6 § OSF.
6.2.11. Bevarande och gallring Gallringsföreskrifter för verksamheten avseende pass och nationellt identitetskort
Allmänna handlingar hos passmyndigheterna får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
I passlagen finns ett par bestämmelser om gallring av uppgifter som förekommer i passverksamhet. Av 6 a § följer att fingeravtrycken och ansiktsbilden som tas av sökanden i samband med ansökan ska sparas i ett lagringsmedium i passet. Av samma bestämmelse följer att fingeravtrycken och de biometriska data som tas fram ur dessa och ur ansiktsbilden omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller avsla-
Kartläggning Ds 2015:44
gits. Enligt 5 a § andra stycket ska en passinnehavare i samband med gränskontroll överlämna sitt pass till behörig befattningshavare och låta honom eller henne ta passinnehavarens fingeravtryck och bild i digitalt format för att kontrollera att dessa motsvarar de fingeravtryck och ansiktsbild som finns sparade i passet. Av 5 a § tredje stycket följer vidare att innehavaren av ett nationellt identitetskort på motsvarande sätt är skyldig att överlämna sitt identitetskort till behörig befattningshavare och låta honom eller henne ta innehavarens bild i digitalt format för att kontrollera att det motsvarar ansiktsbilden som finns sparad i identitetskortet. Enligt 5 a § tredje stycket ska fingeravtrycken, ansiktsbilden och de biometriska data som tagits fram vid ovanstående gränskontroller, omedelbart förstöras sedan kontrollerna genomförts.
Även förordningen om nationellt identitetskort innehåller ett fåtal bestämmelser om gallring. Av 4 § följer att ansiktsbilden som tas av sökanden i samband med ansökan ska sparas i ett lagringsmedium i identitetskortet. Enligt samma bestämmelse ska de biometriska data som tas fram ur ansiktsbilden omedelbart förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits. Av 18 § andra stycket följer vidare att om en myndighet har genomfört en kontroll av om innehavarens av ett identitetskort ansikte motsvarar ansiktsbilden i lagringsmediet, ska ansiktsbilden och de biometriska data som då har tagits fram omedelbart förstöras. Av 17 § följer slutligen att uppgifter i registret över nationella identitetskort ska gallras senast sex månader efter att giltighetstiden för identitetskortet har gått ut.
Särskilt om gallring av uppgifter i RES
Som nämnts ovan kan också Riksarkivet meddela föreskrifter om gallring. I Riksarkivets föreskrift RA-MS 2007:84 finns regler om gallring av uppgifter i RES. Föreskriften gäller dock bara handlingar i Rikspolisstyrelsens och polismyndigheternas arkiv. Riksarkivets föreskrifter som före årsskiftet 2014/2015 gällde Rikspolisstyrelsen och polismyndigheterna omfattar efter årsskiftet inte Polismyndighetens arkiv i och med att Polismyndigheten bildades 1 januari 2015. Polismyndigheten kan således tillämpa ovanstående
Ds 2015:44 Kartläggning
föreskrifter på handlingar i Rikspolisstyrelsens och polismyndigheternas arkiv, men inte på handlingar i Polismyndighetens arkiv.
I Riksarkivets föreskrift RA-MS 2014:17 regleras hur handlingar som skapades före årsskiftet inom Rikspolisstyrelsen och polismyndigheterna efter årsskiftet får införlivas i Polismyndighetens arkiv eller överlämnas till Polismyndigheten. Med överlämna avses att handlingarna får förvaras hos Polismyndigheten, men att de fortsatt ingår i de nu upphörda myndigheterna Rikspolisstyrelsens och polismyndigheternas arkiv.
Under hösten 2014 genomförde Rikspolisstyrelsen en inventering av polisens it-system utifrån RA-MS 2014:17. Man gjorde då bedömningen att uppgifter i RES beträffande giltiga pass/identitetskort ska införlivas, medan uppgifter beträffande upphörda pass/identitetskort ska överlämnas. Det betyder att Polismyndigheten får tillämpa RA-MS 2007:84 på uppgifter i RES som fortsatt tillhör Rikspolisstyrelsens och polismyndigheternas arkiv och som har överlämnats till Polismyndigheten, dvs. Polismyndigheten får gallra uppgifter i RES vad gäller upphörda pass/id-kort med hänvisning till RA-MS 2007:84. Polismyndigheten kan däremot inte tillämpa denna föreskrift på uppgifter i RES som införlivats i Polismyndighetens arkiv, dvs. uppgifter som registrerats före årsskiftet i RES som rör pass/identitetskort som var giltiga vid årsskiftet. Polismyndigheten kan inte heller tillämpa denna föreskrift på uppgifter i RES som registrerats efter årsskiftet.
Polismyndigheten har under våren 2015 inventerat alla föreskrifter från Riksarkivet som omfattar handlingar i Rikspolisstyrelsens och polismyndigheternas arkiv och bedömt om respektive föreskift ska upphöra, gälla utan ändring eller behöver ändras. Sammanlagt rör det sig om ett 30-tal föreskifter från Riksarkivet. Under förutsättning att inga nya beslut om gallring fattas i lag eller förordning gör Polismyndigheten bedömningen att RA-MS 2007:84 ska gälla utan ändring också i framtiden. Polismyndigheten kommer därmed att vända sig till Riksarkivet med en framställan om att få gallra uppgifter i RES i Polismyndighetens arkiv på samma sätt som RA-MS 2007:84 medger gallring i RES i Rikspolisstyrelsens och polismyndigheternas arkiv. Polismyndigheten anser att en sådan ny föreskrift från Riksarkivet rörande uppgifter i RES i Polismyndighetens arkiv bör gälla retroaktivt fr.o.m. 1 januari 2015.
Kartläggning Ds 2015:44
Av Riksarkivets föreskrift RA-MS 2007:84 framgår vilka uppgifter i RES som får gallras och när gallring tidigast får ske. Härav framgår bl.a. att uppgifter rörande indragning, återkallelse och förlustanmälan samt digitala bilagor till passansökan skapade genom skanning får gallras ett år efter passets giltighetstid gått ut. Vidare får pappershandlingar som skannats i ett ärende gallras efter skanning. Slutligen kan nämnas att uppgifter om avslag av passansökan, underlag för avslag samt makulerad ansökan får gallras fem år efter makuleringsdatum. Vid vilken tidpunkt gallring av uppgifter om avslag om passansökan och underlag för avslag ska ske är emellertid oklart, eftersom det enligt uppgift från Polismyndigheten inte sker någon makulering vid avslagsbeslut.
Enligt uppgifter från Polismyndigheten har det inte skett någon gallring av uppgifter i RES sedan RES togs i bruk år 2005. Hos Polismyndigheten finns emellertid ett pågående ärende där frågan om gallring av uppgifter i RES ses över (ärende A151.154/2015).
Särskilt om gallring av uppgifter i RES-UM
Som vi redogjort för under avsnitt 6.2.1 är RES-UM endast ett ”arbetsfönster” genom vilket handläggaren får tillgång till RES. De uppgifter om sökanden som handläggaren vid en utlandsmyndighet eller Utrikesdepartementet behandlar i RES-UM hämtas således från RES. De uppgifter och dokument som tillförs ärendet av handläggaren vid ansökningstillfället eller vid en senare tidpunkt sparas på motsvarande sätt i RES (och inte i RES-UM). En eventuell gallring av uppgifter som tillförts ärenden om pass och nationella identitetskort av handläggare vid en utlandsmyndighet eller Utrikesdepartementet får således ske i RES. Några särskilda föreskrifter om gallring av uppgifter i RES-UM från Riksarkivets sida har därmed inte heller utverkats.
För utlandsmyndigheternas del (ambassader och konsulat) finns det emellertid i Regeringskansliets föreskrifter (RKF 2009:14) om gallring av allmänna handlingar vid myndigheter inom utrikesrepresentationen en föreskrift som säger att allmänna passärenden får gallras efter 10 år och att ansökningar om pass, extra pass och nationellt identitetskort, samt bilagor till sådana ansökningar, som utfärdats efter den 1 oktober 2005 får gallras efter 12 år. De senare
Ds 2015:44 Kartläggning
handlingarna ska enligt samma föreskrift även gallras efter skanning.
Särskilt om gallring i passregistret och registret över vissa omständigheter som kräver passtillstånd
För uppgifter i passregistret och registret över omständigheter som kräver passtillstånd (20 § 1 och 3 passlagen) finns inga bestämmelser om gallring. Dessa uppgifter ska därmed bevaras.
Särskilt om gallring i registret över nationella identitetskort
Enligt 17 § förordningen om nationellt identitetskort ska en uppgift i registret över nationella identitetskort gallras senast sex månader efter att giltighetstiden för ett identitetskort har gått ut. Registret över nationella identitetskort förs i RES. Som framgått ovan har det inte skett någon gallring av uppgifter i RES sedan RES togs i bruk år 2005. Någon gallring av uppgifter i registret har således inte skett. Hos Polismyndigheten finns emellertid ett pågående ärende där frågan om gallring av uppgifter i RES ses över (A151.154/2015).
6.2.12. Säkerhet
Som vi redogjort för i avsnitt 6.2.1 anser Polismyndigheten sig vara personuppgiftsansvarig för behandlingen av personuppgifter i RES, medan utlandsmyndigheterna/Utrikesdepartementet anser sig vara personuppgiftsansvariga för behandlingen av personuppgifter i RES-UM. Den personuppgiftsansvarige ska enligt 31 § personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Enligt en överenskommelse mellan Rikspolisstyrelsen, Utrikesdepartementet och Migrationsverket daterad den 9 november 2007 ansvarar Migrationsverket för att information som registreras genom RES-UM inte kan läcka ut, försvinna eller manipuleras. Det är också Migrationsverket som ansvarar för behörighetsadministrationen i RES-UM. För såväl Polismyndigheten som Utrikesdepartementet och
Kartläggning Ds 2015:44
Migrationsverket finns det utarbetade föreskrifter och instruktioner som gäller säkerhet vid användning av olika it- och informationssystem, såsom RES och RES-UM.
För att få tillgång till uppgifter i RES och RES-UM krävs behörighet till systemen. Inom Polismyndigheten är behörigheten till RES utformad utifrån de olika behov som föreligger för olika yrkeskategorier inom myndigheten, t.ex. systemadministratör, ITtekniker, gränskontrollanter, handläggare och ekonomer m.m. I skrivande stund (sommaren 2015) har Polismyndigheten cirka 28 500 anställda. Enligt uppgift från Polismyndigheten har cirka 25 880 av dem någon typ av behörighet i RES. De allra flesta kan dock endast läsa information i RES, utan att själva kunna registrera eller ändra uppgifter i systemet. Av de som har behörighet till RES är 1 365 stycken passhandläggare. Dessa har full behörighet att skriva och läsa resehandlingar och ansökningar samt hantera sekretessbelagd information.
Enligt uppgift från Utrikesdepartementet finns det sommaren 2015 ca 70 utlandsmyndigheter som också är passmyndigheter utomlands och som har tillgång till RES-UM. På utlandsmyndigheterna arbetar utsänd personal från Regeringskansliet, Migrationsverket och Sida samt lokalt anställda. I princip har alla utsända behörighet att utfärda pass, men de får inte göra så utan utbildning och de kan inte heller logga in i RES-UM utan personlig kod. Förutom utsänd personal från Regeringskansliet, Migrationsverket och Sida kan utlandsmyndigheter med många passansökningar och ett fåtal utsända begära särskilt bemyndigande för en svensk (eller nordisk) lokalt anställd att få handlägga passärenden, vilket innebär att han eller hon ges tillgång till RES-UM. Enligt uppgift från Utrikesdepartementet finns det ca 30 lokalanställda som har ett sådant särskilt bemyndigande. Dessutom kan av utlandsmyndigheterna säkerhetskontrollerade lokalt anställda ges begränsad tillgång till RES-UM. Vidare finns det ett fåtal personer vid Protokollet på Utrikesdepartementet som har behörighet till RES-UM för att kunna handlägga ärenden om tjänste- och diplomatpass. Den personliga koden som behövs för tillgång till RES-UM utfärdas av Migrationsverket. Enligt uppgift från Migrationsverket har ca 450 anställda på utlandsmyndigheterna och Utrikesdepartementet en sådan kod.
Ds 2015:44 Kartläggning
6.2.13. Rättelse
Eventuella felaktigheter i pass och nationella identitetskort rättas på så sätt att den felaktiga resehandlingen makuleras, varpå den enskilde får ansöka om ett nytt pass eller identitetskort. I passregistret och registret över nationella identitetskort lagras samma personinformation som finns i passet och identitetskortet. Om felaktig information förekommer i registren, ändras detta i samband med att sökanden inkommer med en ny ansökan om pass eller nationellt identitetskort. Information om tidigare pass/nationella identitetskort lagras i RES tillsammans med de uppgifter som förekommit i aktuella handlingar. Personuppgifter som lagras i RES kan efter begäran rättas av polisens systemadministratör. Två personer inom Polismyndigheten har denna behörighet.
7. Överväganden och förslag angående dataskydd vid personuppgiftsbehandling i passverksamhet
7.1. Inledning
Vi har fått i uppdrag att undersöka och redovisa den personuppgiftsbehandling som sker i verksamhet rörande pass. Utifrån resultatet av undersökningen ska vi överväga och föreslå en ny särskild författningsreglering vad avser behandling av personuppgifter i passverksamheten. I följande avsnitt redovisar vi våra författningsförslag tillsammans med de bedömningar som ligger bakom förslagen.
7.2. Behovet av en ny särskild författningsreglering
Bedömning: Regleringen som avser behandling av personupp-
gifter i passverksamheten behöver moderniseras för att främja en ändamålsenlig och effektiv verksamhet och samtidigt ge ett starkt skydd för den personliga integriteten.
Förslag: Personuppgiftsbehandlingen i passverksamheten ska
regleras i en ny särskild författning.
Skälen för bedömningen och förslaget: I vårt uppdrag ingår att
lämna ett förslag till en ny särskild författningsreglering för personuppgiftsbehandlingen i verksamhet avseende pass. Någon sådan särskild författningsreglering finns inte idag. Istället gäller personuppgiftslagen (1998:204) för den personuppgiftsbehandling som
Överväganden och förslag angående passverksamheten Ds 2015:44
förekommer i passverksamheten. Därutöver finns det ett fåtal särregler i passlagen (1978:302) och passförordningen (1979:664) som gäller personuppgiftsbehandling i passverksamheten.
Personuppgiftslagen innehåller grundläggande bestämmelser för all behandling av personuppgifter och gäller i den mån det inte finns avvikande bestämmelser i annan lag eller förordning. I propositionen med förslag till personuppgiftslag (prop. 1997/98:44 s. 41) uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar.
Sedan slutet av 1990-talet är det vanligt att den personuppgiftsbehandling som utförs vid en viss myndighet regleras av en så kallad registerförfattning. En registerförfattning innehåller bestämmelser som i större eller mindre utsträckning avviker från personuppgiftslagen och innebär en specialreglering i förhållande till personuppgiftslagen, i syfte att komplettera lagen, ersätta den i vissa delar eller bådadera. En särskild registerförfattning anses under vissa förutsättningar innebära en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register. Registerförfattningar kan t.ex. tas till när det finns ett behov av att möjliggöra undantag från personuppgiftslagens krav på samtycke, för att åstadkomma ett förstärkt integritetsskydd eller för att i övrigt anpassa regelverket till de särskilda förhållanden som råder inom den aktuella myndigheten. Som anförs i departementspromemorian ”Behandlingen av personuppgifter vid Statens kriminaltekniska laboratorium, Ds 2013:22” (s. 102) torde en allmän utgångspunkt vara att behovet av en särreglering i förhållande till personuppgiftslagen – i syfte att åstadkomma ett förstärkt integritetsskydd – ökar ju större mängd personuppgifter som behandlas och ju känsligare personuppgifterna kan anses vara för den enskilde (med känsliga avses här känsliga i en vidare bemärkelse än begreppets innebörd enligt personuppgiftslagen).
En registerförfattning kan också, på sätt som E-offentlighetskommittén anför i betänkandet Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4 s. 133), föranledas av att lagstiftaren anser att det finns ett behov av att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar. Behovet av tydlighet gentemot allmänheten bör rimligtvis sammanfalla med integritets-
Ds 2015:44 Överväganden och förslag angående passverksamheten
skyddsskälen, ju större informationsmängder och ju känsligare innehåll, desto större behov av att dels precisera eller begränsa personuppgiftsbehandlingen, dels genom en särskild författning tydliggöra för allmänheten vilken personuppgiftsbehandling som sker vid myndigheten.
De bestämmelser i passlagen och passförordningen som vid sidan av personuppgiftslagen reglerar personuppgiftsbehandling i passverksamheten är begränsade och ålderdomliga. Sedan passlagen och passförordningen trädde i kraft i slutet av 1970-talet och början på 1980-talet har den tekniska utvecklingen hastigt gått framåt. Användandet av datorer och Internet för informationshantering (informationsteknik) utgör sedan många år tillbaka en naturlig del av passmyndigheternas verksamhet. Detta har bl.a. möjliggjort användandet av automatiserade databaser. Utvecklingen har varit ett led i att effektivisera verksamheten och passmyndigheterna är numera beroende av informationsteknik för att kunna bedriva sin verksamhet på ett effektivt sätt. Det finns inte någon anledning att anta att behovet av användande av informationsteknik kommer att minska i framtiden eller att den tekniska utvecklingen kommer att avstanna. Samtidigt som den tekniska utvecklingen och användandet av informationsteknik har förbättrat verksamhetens effektivitet, kan det också medföra ökade risker för otillbörligt intrång i den personliga integriteten. Användandet av informationsteknik innebär bl.a. att det blir lättare att ta del av och sprida datalagrad information, oavsett var informationen finns. Sätten att lagra och söka information blir också allt mer flexibla. Den nya tekniken kan således användas på ett inträngande, övervakande eller kränkande sätt.
Med hänsyn till det stora antalet personer som finns registrerade i passregistret och omfattningen och karaktären av de uppgifter som behandlas i passverksamheten finns det – som anförs i vår uppdragspromemoria – ett behov av en särskild författningsreglering som både avviker från personuppgiftslagen och erbjuder ett kompletterande integritetsskydd. Enligt vår mening är det tydligt att de bestämmelser i passlagen och passförordningen som, vid sidan av personuppgiftslagen, reglerar personuppgiftsbehandlingen i passverksamheten inte uppfyller de krav som bör ställas på en författningsreglering till skydd för den personliga integriteten i dagens eller morgondagens samhälle. En mer utförlig och modern
Överväganden och förslag angående passverksamheten Ds 2015:44
reglering av personuppgiftsbehandling i passverksamhet bör därmed införas.
Regleringen bör vara teknikneutral eftersom det ger tillämparen ökade möjligheter att anpassa verksamheten i takt med att tekniska möjligheter utvecklas. Reglerna bör därtill ha särskilt fokus på att sätta ramarna för hur personuppgifter får behandlas och inte i onödan hindra en kontinuerlig och ändamålsenlig effektivisering av verksamheten. Regleringen bör vidare vara utformad på ett sådant sätt att den underlättar för passmyndigheterna att på ett rationellt sätt använda omfattande informationsteknik i sin verksamhet, t.ex. automatiserade databaser. Reglerna bör därtill vara utformade så att intresset av att upprätthålla ett ändamålsenligt skydd för den personliga integriteten tillvaratas på ett effektivt sätt.
7.3. Normgivningsnivå
7.3.1. Allmänna utgångspunkter
I det föregående avsnittet konstaterade vi att en ny särskild författningsreglering av behandling av personuppgifter i passverksamhet bör införas. En viktig fråga är vilken normgivningsnivå som är lämplig för det nu aktuella ändamålet, d.v.s. om den nya författningsregleringen bör ges i form av lag eller förordning.
Allmänt om normgivningskompetens
Enligt 8 kap. regeringsformen (RF) är normgivningsmakten fördelad mellan riksdagen och regeringen. Fördelningen bygger på principen att de centrala delarna av normgivningskompetensen ska ligga hos riksdagen. Av 8 kap. 1 § första stycket RF följer att föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag om de bl.a. avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF). Riksdagen kan i vissa fall också bemyndiga regeringen att meddela den typen av föreskrifter (8 kap. 3–5 §§ RF). I 8 kap. 7 § RF anges inom vilka områden som rege-
Ds 2015:44 Överväganden och förslag angående passverksamheten
ringen utan delegering får meddela föreskrifter. Enligt denna bestämmelse får regeringen bl.a. meddela föreskrifter som enligt grundlag inte ska meddelas av riksdagen. Hit hör t.ex. sådana offentligrättsliga föreskrifter som rör förhållanden mellan enskilda och det allmänna, men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala. Riksdagen har dock möjlighet att lagstifta även inom regeringens normgivningsområde (8 kap. 8 § RF). Av 8 kap. 10 och 11 §§ RF följer vidare att riksdagen eller regeringen kan delegera rätten att meddela föreskrifter till en förvaltningsmyndighet.
Att det allmänna registrerar personuppgifter om enskilda har i tidigare lagstiftningsarbete inte ansetts innebära något åliggande för den enskilde och inte heller ansetts utgöra ett ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Sådana bestämmelser har i stället ansetts skydda den enskilde. Det har därmed inte krävts lagform för registerförfattningar (se t.ex. Informationsutredningens delbetänkande SOU 2012:90 s. 202).
I förslaget till myndighetsdatalag (SOU 2015:39 s. 205) anför Informationshanteringsutredningen att det torde höra till undantagen att en myndighets behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF. Enligt Informationshanteringsutredningen beror det på att föreskrifter om myndigheters behandling av personuppgifter i allmänhet inte reglerar vad en myndighet ska eller tillåts göra i sin verksamhet. Detta regleras istället i andra regelverk som föreskriver exempelvis vilka uppgifter och vilka befogenheter myndigheten har, vilka personuppgifter och andra uppgifter som ska samlas in och från vem, samt vilka uppgifter som ska lämnas till andra utanför myndighetens verksamhet. Som Informationshanteringsutredningen också anför handlar föreskrifter om behandling av personuppgifter i stället främst om vilka krav som ska ställas på sådan behandling när myndigheten utför sina uppgifter. I den mån det allmänna tillåts att göra intrång i enskildas privata sfär för att en myndighet ska kunna utföra en viss uppgift – exempelvis genom att enskilda åläggs en skyldighet att lämna uppgifter om personliga förhållanden till myndigheten – regleras detta i allmänhet i något annat regelverk än i en renodlad registerförfattning. Som exempel
Överväganden och förslag angående passverksamheten Ds 2015:44
kan här nämnas att det av passlagen framgår att pass utfärdas av passmyndighet (2 §) och Utrikesdepartementet (31 §). Av 7 § passlagen framgår vidare att passansökan ska avslås t.ex. när sökanden är frihetsberövad eller avtjänar påföljd för brott m.m. om de ytterligare förutsättningar som anges i bestämmelsen är uppfyllda. I passlagen föreskrivs således vilka uppgifter och vilka befogenheter passmyndigheten har samt vilka personuppgifter och andra uppgifter som passmyndigheten ska samla in.
Enligt Informationshanteringsutredningen kan föreskrifter om hur behandling av personuppgifter ska gå till i allmänhet meddelas i form av förordning genom regeringens egen rätt att besluta föreskrifter enligt 8 kap. 7 § RF, dvs. utan att något bemyndigande om detta i lag krävs (se SOU 2015:39 s. 205). Vi instämmer i denna bedömning. Nedan kommer vi analysera om det av andra skäl finns anledning att reglera den personuppgiftsbehandling som sker i passverksamheten i lag.
Det utökade grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen
Som vi redogjort för i avsnitt 5.3.1 ändrades regeringsformen (RF) den 1 januari 2011 på så sätt att det i 2 kap. 6 § andra stycket numera föreskrivs att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Regeringsformens utvidgade integritetsskydd i 2 kap. 6 § andra stycket innebär att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som föreskrivs i 2 kap. 20–22 §§ RF. Av 2 kap. 20 § RF följer att skyddet mot intrång som innebär övervakning och kartläggning av den enskildes personliga förhållanden endast får begränsas i lag och i den utsträckning som medges i 2 kap. 21 och 22 §§ RF. I 2 kap. 21 § RF stadgas att begränsningar endast får ske för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan
Ds 2015:44 Överväganden och förslag angående passverksamheten
sådan åskådning. Av 2 kap. 22 § RF följer slutligen att det s.k. kvalificerade förfarandet ska tillämpas vid antagande av en sådan lag som avses i 20 §. Enligt en övergångsbestämmelse till grundlagsändringen i 2 kap. 6 § andra stycket RF behåller de regler som finns på ett visst område sin giltighet fram till utgången av år 2015, även om de inte i alla avseenden uppfyller den nya grundlagsbestämmelsens krav.
Enligt förarbetena till 2 kap. 6 § andra stycket RF (prop. 2009/10:80) tar det utökade integritetsskyddet främst sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärden förutsätter den enskildes godkännande anses det intrång som åtgärden innebär normalt inte vara av så allvarligt slag att det bör omfattas av det utökade integritetsskyddet. Detta oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. I förarbetena till 2 kap. 6 § andra stycket RF anges vidare att det inte är varje slags behandling av personuppgifter som sker utan samtycke som är så integritetskänslig att det är motiverat att låta den omfattas av det utökade integritetsskyddet. Det grundlagsskyddade området omfattar istället endast de mest ingripande intrången. Enligt lagstiftaren bör flera omständigheter vägas in vid bedömningen av vad som kan anses utgöra ett betydande intrång. Bedömningen ska dessutom ske utifrån såväl kvantitativa som kvalitativa kriterier. Vid bedömningen av hur ingripande ett intrång kan anses vara ska stor vikt läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hantering normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Mängden uppgifter kan dock också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 178 ff.).
Uppgifternas karaktär och omfattning utgör emellertid endast två faktorer som måste beaktas. Enligt förarbetena till 2 kap. 6 § andra stycket RF ska även sådana omständigheter som t.ex. ändamålet med behandlingen av uppgifterna vara av betydelse vid bedömningen. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Även omständigheter som på vilket
Överväganden och förslag angående passverksamheten Ds 2015:44
sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter ska enligt förarbetena till bestämmelsen beaktas vid bedömningen av hur betydande intrånget i den personliga integriteten är (prop. 2009/10:80 s. 178 ff.).
Målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag
Sedan 1990-talet har konstitutionsutskottet i flera lagstiftningsärenden framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43). Regeringen har vid åtskilliga tillfällen instämt i denna bedömning (se t.ex. prop. 1999/2000:39 s. 78). I förarbetena till personuppgiftslagen uttalas att det inte finns någon anledning att avvika från denna målsättning (prop. 1997/98:44 s. 41).
I april 2004 tillkallades (Ju 2004:05) en parlamentariskt sammansatt kommitté – Integritetsskyddskommittén – som fick i uppgift att bl.a. kartlägga och analysera skyddet för den personliga integriteten och överväga om skyddet i lagstiftningen behövde kompletteras. På många rättsområden fann kommittén att integritetsskyddet var bristfälligt. Bristerna redovisades utförligt i kommitténs delbetänkande (SOU 2007:22), där man också analyserade orsakerna till de påvisade bristerna. Kommittén påtalade bl.a. att regleringen av personuppgiftsbehandling i passregistret är bristfällig, då det t.ex. saknas regler om vilka uppgifter registret får innehålla och vad som i övrigt gäller för behandlingen. Mot bakgrund av den uttalade målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag pekade Integritetsskyddskommittén på att det inte är tillfredsställande att passregistret, som omfattar en så stor del av befolkningen, regleras i förordning och inte i lag (SOU 2007:22, Del 1 s. 277, 482 och 483).
I förslaget till myndighetsdatalag (SOU 2015:39) anför Informationshanteringsutredningen att den uttalade ambitionen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag, rent principiellt varit en god sak från integritetsskyddssynpunkt. I de fall myndighetens verksamhet är reglerad så att det redan finns bestämmelser som förutsätter eller
Ds 2015:44 Överväganden och förslag angående passverksamheten
tillåter att myndigheten använder känsliga personuppgifter för att den ska kunna utföra sina uppgifter, behövs det enligt Informationshanteringsutredningen emellertid inte något ytterligare stöd i lag som tillåter att uppgifterna hanteras genom automatiserad behandling, dvs. elektroniskt. Enligt Informationshanteringsutredningen torde det - med undantag för de brottsbekämpande myndigheterna - endast i rena undantagsfall vara så att behandling av personuppgifter hos myndigheter kan anses innehålla några sådana särskilda moment som är av det slaget att behandlingen måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF. I stället torde merparten av alla registerförfattningar kunna meddelas i form av förordning (SOU 2015:39 s. 198 f. och 204).
Ambitionen att ha samtliga föreskrifter som behövs för ett visst verksamhetsområde eller en viss myndighets behandling av personuppgifter i en särskild författning på lagnivå har enligt Informationshanteringsutredningen medfört uppenbara olägenheter för utvecklingen av en effektiv förvaltning eftersom det har inneburit en onödigt hög detaljeringsgrad på lagnivå. Enligt Informationshanteringsutredningen har sådana reformarbeten som syftar till att effektivisera myndigheternas hantering av ärenden, att ge förbättrad service till enskilda och att öka samverkan med andra myndigheter och aktörer - och som inte i något avseende innebär ett intrång i de registrerades integritet - komplicerats av eller riskerat inte bli av p.g.a. att den aktuella registerlagen i alltför hög grad detaljstyr behandlingen av personuppgifter. Den omständigheten att resonemang om normnivå allt som oftast handlar om författningen som sådan istället för de enskilda frågor som den reglerar, riskerar enligt Informationshanteringsutredningens mening att leda till att de integritetsfrågor som skulle behöva bli belysta från ett rättighetsperspektiv inte får den uppmärksamhet de förtjänar. Det leder i sin tur till att det blir än svårare att identifiera i vilka fall det särskilda skyddet i 2 kap. 6 § andra stycket RF verkligen ska tillämpas. Den uttalade ambitionen att vissa registerförfattningar ska ha form av lag kan alltså, enligt Informationshanteringsutredningen, paradoxalt nog leda till en sämre rättslig analys av vilka intrång i den enskildes personliga integritet som en viss behandling av personuppgifter faktiskt kan innebära (SOU 2015:39 s. 204 f.).
Överväganden och förslag angående passverksamheten Ds 2015:44
7.3.2. Våra överväganden
Bedömning: Behandling av personuppgifter i passverksamhet
bör ske med stöd av lag.
Förslag: De grundläggande principerna för behandling av per-
sonuppgifter i passverksamheten ska regleras i en ny lag, som benämns passdatalag. Lagen ska kunna kompletteras genom författningar och beslut på lägre nivå för att regleringen ska gå att anpassa till förhållanden som kan förändras snabbt eller ofta.
Skälen för bedömningen och förslaget: Majoriteten av alla
svenska medborgare ansöker någon gång i sitt liv om pass. Enligt uppgifter från Polismyndigheten fanns det våren 2014 cirka 6,5 miljoner svenska giltiga pass. Detta innebär att passregistret innehåller uppgifter om majoriteten av alla svenska medborgare. Också i passverksamheten i övrigt behandlas personuppgifter om ett mycket stort antal personer. Detta är enligt vår mening inte i sig tillräckligt för att 2 kap. 6 § andra stycket RF ska anses tillämplig. För att avgöra om behandlingen av personuppgifter i passverksamhet ska regleras i lag eller inte, bör man enligt vår mening också beakta karaktären av de uppgifter som behandlas och ändamålet med behandlingen.
När personuppgifter och övriga uppgifter behandlas i passverksamhet sker det för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra sitt uppdrag att utfärda pass till svenska medborgare, samt de övriga uppgifter som åligger myndigheterna enligt passlagen. Passmyndigheternas uppdrag regleras i detta avseende i passlagen och torde normalt inte anses särskilt integritetskänsligt. De ändamål för vilka personuppgifter behandlas i passverksamheten är därför inte av sådan art att 2 kap. 6 § andra stycket RF blir tillämpligt.
I ett passärende behandlas – utöver de personuppgifter som finns registrerade i passregistret – även i övrigt en stor mängd uppgifter om enskilda personer i ärendehanteringssystemen RES och RES-UM. De uppgifter som behandlas i RES och RES-UM är i de allra flesta fall harmlösa. Ett passärende kan emellertid också innehålla uppgifter av känsligare karaktär, såsom t.ex. uppgifter om sökandens hälsa eller uppgifter om att han eller hon är dömd eller misstänkt för att ha begått brott. Sådana uppgifter kan t.ex. före-
Ds 2015:44 Överväganden och förslag angående passverksamheten
komma i samband med en passhindersundersökning i ärenden där en passansökan avslås eller ett pass återkallas, men också i ärenden där pass sedermera beviljas. Då det i RES och RES-UM saknas möjlighet att göra sökningar på annat än person- och samordningsnummer, ärendenummer samt passnummer har det inte gått att få fram uppgifter om i vilken utsträckning som ärenden innehåller uppgifter av känsligare karaktär, såsom exempelvis uppgifter om sökandens hälsa och brottslig belastning. Polismyndigheten uppskattar dock att cirka 100 000 passärenden per år bedöms efter signalerat passhinder. Ett sådant signalerat passhinder innebär i princip alltid att uppgifter om sökandens hälsa eller brottslig belastning behandlas. I flertalet av dessa ärenden bifalls passansökan. Som exempel kan nämnas att under år 2014 avslogs endast 335 passansökningar p.g.a. passhinder, vilket i sammanhanget får anses utgöra förhållandevis få avslag. Uppgifter om hälsa och brottslig belastning får normalt sett anses integritetskänsliga för den enskilde. Det är därför viktigt att uppgifterna behandlas på ett sådant sätt att hänsyn tas till de registrerades personliga integritet. Med hänsyn till de förhållandevis få ärenden som innehåller uppgifter av känslig karaktär och det faktum att uppgifterna enligt vår bedömning längre fram ska gallras så snart de inte längre behövs (se avsnitt 7.12.5), gör vi sammantaget bedömningen att de uppgifter som förekommer i passverksamheten inte är så integritetskänsliga att det utökade grundlagsskyddet i 2 kap. 6 § RF ska anses tillämpligt.
Med hänsyn till det stora antalet personer som finns registrerade i passregistret och då det inte kan uteslutas att det i passverksamhet förekommer uppgifter av känsligare karaktär i inte obetydlig omfattning anser vi ändock att det är lämpligast att den personuppgiftsbehandling som sker i verksamhet avseende pass regleras i lag.
Kompletterande bestämmelser bör kunna meddelas i annan form av regeringen eller den myndighet som regeringen bestämmer. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen. Det kan i vissa fall också vara lämpligt att regeringen delegerar rätten att meddela föreskrifter till Polismyndigheten, Regeringskansliet eller Riksarkivet. Om en föreskrift bör meddelas i lag eller annan form torde enligt vår mening lämpligast avgöras utifrån vilken betydelse bestämmelserna har från integritetssynpunkt. Vad vi anser bör framgå av lag är
Överväganden och förslag angående passverksamheten Ds 2015:44
främst sådana grundläggande bestämmelser som anger för vilka ändamål personuppgifter får behandlas, personuppgiftsansvar, i vilken omfattning och till vem uppgifter får lämnas ut i elektronisk form, under vilka förutsättningar vissa känsliga personuppgifter får behandlas och i vilken omfattning uppgifter ska gallras.
Vi anser att särregleringen av personuppgiftsbehandling i passverksamhet – i likhet med flera andra verksamheter – bör ske i en särskild registerförfattning, i stället för att ytterligare bestämmelser om behandling av personuppgifter förs in i passlagen. På det sättet blir det tydligt för såväl anställda vid passmyndigheterna och Utrikesdepartementet som allmänheten, vad som gäller vid personuppgiftsbehandling i passverksamheten.
Den nya lagen kommer främst att innehålla regler om persondataskydd. Vi föreslår därför att den nya lagen benämns passdatalag. Vid personuppgiftslagens införande övervägde man att istället ge lagen namnet persondatalag. Skälet till att man inte valde det namnet var bl.a. att man trodde att det skulle kunna leda till missförstånd, på så sätt att man skulle tro att endast datorlagrade personuppgifter omfattas av lagen trots att lagen också omfattar viss manuell behandling av personuppgifter (prop. 1997/98:44 s. 42). Sedan personuppgiftslagens införande har ett flertal registerförfattningar getts namnet datalag, t.ex. Studiestödsdatalagen (2009:287), Apoteksdatalagen (2009:367), Polisdatalagen (2010:361) och Kustbevakningsdatalagen (2012:145). Alla ovan nämnda datalagar omfattar – i likhet med den föreslagna passdatalagen – behandling av såväl datorlagrade uppgifter som viss manuell behandling av personuppgifter. Av denna anledning och då de flesta myndigheter i dag i princip uteslutande hanterar personuppgifter med it-stöd, anser vi att namnet passdatalag inte gärna kan uppfattas som missvisande. Lagen bör därför få namnet passdatalag.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.4. Lagens tillämpningsområde
Förslag: Lagen ska tillämpas av passmyndigheterna och Utri-
kesdepartementet vid behandling av personuppgifter i deras passverksamhet. Med passverksamhet avses den verksamhet som passmyndigheterna och Utrikesdepartementet ansvarar för enligt passlagen (1978:302).
Lagen ska vara tillämplig i fråga om behandling av personuppgifter som är helt eller delvis automatiserad. Lagen ska vidare vara tillämplig på den behandling som sker i manuella register, om uppgifter ingår i eller ska ingå i en strukturerad samling som är sökbar eller kan sammanställas enligt särskilda kriterier.
Skälen för förslagen: En s.k. registerförfattning reglerar van-
ligtvis personuppgiftsbehandlingen i ett eller flera register eller i en viss verksamhet. Med personuppgifter avses enligt personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte. Begreppet behandling av personuppgifter är ett vitt begrepp och omfattar varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. I personuppgiftslagen förekommer inte längre begreppet register. I förarbetena till den lagen (prop. 1997/98:44 s. 39) konstateras att registerbegreppet med fog kritiserats för att vara otidsenligt. Detta eftersom det på grund av den tekniska utveklingen blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat och det dessutom har vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. Personuppgiftslagen omfattar därför all automatiserad behandling av personuppgifter. Dessutom omfattar lagen även manuella register, d.v.s. uppgifter som ingår i eller ska ingå i en strukturerad samling som är sökbar eller kan sammanställas enligt särskilda kriterier.
Vi anser att passdatalagen – i likhet med personuppgiftslagen – bör gälla för dels sådan behandling av personuppgifter som är helt eller delvis automatiserad, dels den behandling som sker i manuella register. Behandling av personuppgifter i ostrukturerat material, exempelvis uppgifter i löpande text och ljud och bild som inte ingår
Överväganden och förslag angående passverksamheten Ds 2015:44
i eller ska infogas i en databas med en personuppgiftsanknuten struktur som t.ex. ett ärendehanteringssystem, omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Sådan behandling omfattas därmed inte heller av passdatalagen.
Passdatalagen ska tillämpas vid sådan personuppgiftsbehandling som nämns ovan när den sker i passverksamhet. Med passverksamhet avses i detta sammanhang den verksamhet som passmyndigheterna och Utrikesdepartementet ansvarar för enligt passlagen. I passlagen slås fast att pass utfärdas av passmyndighet. Polismyndigheten är passmyndighet inom riket. Utomlands fullgör ambassader och karriärkonsulat uppgifter som passmyndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer. Regeringen eller den myndighet som regeringen bestämmer kan också bemyndiga ett honorärkonsulat att i begränsad utsträckning fullgöra uppgifter som passmyndighet. Passmyndigheterna, dvs. Polismyndigheten och utlandsmyndigheterna (ambassader och konsulat) ska därmed tillämpa passdatalagen i deras passverksamhet. Vissa pass – tjänstepass och diplomatpass – utfärdas inte av passmyndighet utan av Utrikesdepartementet. Utrikesdepartemenet ska därför också tillämpa passdatalagen i sin passverksamhet.
Passdatalagen ska således tillämpas vid behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet. Med passverksamhet avses den verksamhet som det enligt passlagen åligger passmyndigheterna och Utrikesdepartementet att genomföra. Som exempel på sådan verksamhet kan nämnas utfärdande och återkallelse av pass. Utanför lagens tillämpningsområde faller t.ex. identitetskontroll i samband med sådan gränskontroll som regleras i passlagen, Polismyndighetens brottsbekämpande verksamhet och utlandsmyndigheternas verksamhet beträffande viseringsärenden samt ärenden om uppehålls- och arbetstillstånd.
Den personuppgiftsbehandling som sker i en myndighets rent administrativa verksamhet och som rör t.ex. personal- och lokalfrågor, materialförsörjning och ekonomiadministrativa göromål utan närmare koppling till sakverksamheten, faller normalt utanför den särreglering som registerförfattningarna omfattar. I myndighetens administration behandlas nämligen inte personuppgifter som samlats in då myndigheten fullgör de uppgifter som den är ålagd att
Ds 2015:44 Överväganden och förslag angående passverksamheten
utföra inom ramen för sakverksamheten (i detta fall passverksamhet). Detta brukar framgå indirekt dels av det sätt som registerförfattningens tillämpningsområde beskrivs på, dels av förarbetsuttalanden (se SOU 2015:39 s. 224 f.). Vi anser att denna ordning även bör gälla i passverksamheten. Den rent internadministrativa verksamheten med t.ex. personal-, lokal- och ekonomiadministration bör därför även i fortsättningen regleras av personuppgiftslagen, i stället för av passdatalagen. Passdatalagens tillämpningsområde har därför formulerats på sådant sätt att lagen inte blir tillämplig på passmyndigheternas och Utrikesdepartementets administrativa verksamhet
7.5. Lagens syfte
Förslag: I passdatalagen införs en bestämmelse som anger vilka
syften lagen har. Syftet med lagen ska vara dels att ge passmyndigheterna och Utrikesdepartementet möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin passverksamhet, dels att skydda människor mot att deras personliga integritet kränks vid behandlingen.
Skälen för förslaget: För att passmyndigheterna och Utrikes-
departementet ska kunna fullgöra sina uppgifter på ett effektivt sätt, krävs att de ges lagliga förutsättningar att utnyttja ändamålsenlig informationsteknik. Hantering av personuppgifter genom automatiserad behandling kan emellertid innebära en risk för intrång i enskildas personliga integritet. Den nya lagen bör därför utformas efter en avvägning mellan å ena sidan samhällets rättmätiga krav på en effektiv passverksamhet och å andra sidan intresset av skydd för den personliga integriteten.
Passmyndigheternas behov av att kunna behandla vissa uppgifter måste alltså vägas mot behovet av skydd för den personliga integriteten. Begreppet personlig integritet är inte entydigt och klart definierat, vare sig i lag eller i annan författning. I tidigare lagstiftningsärenden har beskrivningar av begreppet utgått från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den enskilde bör vara tillförsäkrad (se t.ex. prop. 2005/06:173 s. 14 f. och prop. 2009/10:85 s. 67). I följande kapitel
Överväganden och förslag angående passverksamheten Ds 2015:44
kommer vi att redogöra för hur vi anser att avvägningen bör göras mellan å ena sidan intresset av att med hjälp av automatiserad behandling av personuppgifter bedriva passverksamheten effektivt och å andra sidan risken för intrång i den personliga integriteten vid sådan behandling. Vi vill emellertid redan nu peka på vissa faktorer som vi anser är av särskild betydelse i detta avseende, såsom arten av de personuppgifter som ska behandlas, tillgången till uppgifterna, hur sökning ska få ske och hur lång tid personuppgifterna ska få sparas.
I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte. Sådana bestämmelser saknar normalt egentligt materiellt innehåll, utan framstår mer som en slags deklaration av de bakomliggande och övergripande målen. Man kan därför fråga sig om det verkligen behövs en syftesbestämmelse av detta slag i passdatalagen. Som Informationshanteringsutredningen anför i förslaget till Myndighetsdatalag (SOU 2015:39 s. 220) har syftesbestämmelser emellertid onekligen en informativ och pedagogisk betydelse. I likhet med vad Informationshanteringsutredningen anför menar vi att en sådan bestämmelse dessutom klargör att lagen enbart innehåller sådana bestämmelser som är av dataskyddsrättslig karaktär. Med hänsyn härtill anser vi att det finns skäl att ta in en bestämmelse om lagens syfte i passdatalagen.
Sammanfattningsvis förutsätter kravet på en effektiv och rättssäker passverksamhet att passmyndigheterna ges möjlighet att behandla personuppgifter på ett ändamålsenligt sätt med hjälp av väl fungerande informationsteknik samtidigt som skyddet av den enskildes personliga integritet värnas. Enligt vår mening bör båda dessa centrala utgångspunkter för behandlingen av personuppgifter i passverksamheten komma till uttryck i en bestämmelse som anger passdatalagens övergripande syfte.
7.6. Lagens förhållande till annan författning
7.6.1. Lagens förhållande till passlagen
Förslag: Det ska i passdatalagen särskilt anges att termer och
begrepp som förekommer i den lagen har samma betydelse som i passlagen (1978:302).
Ds 2015:44 Överväganden och förslag angående passverksamheten
Skälen för förslaget: Vi har i avsnitt 7.4 föreslagit att passdata-
lagen ska tillämpas av passmyndigheterna och Utrikesdepartementet vid deras behandling av personuppgifter i passverksamheten. I passlagen slås fast vilka myndigheter som utgör passmyndigheter. Vi föreslår att samma definition används i passdatalagen. Enligt vår mening kan det inte uteslutas att även andra termer och begrepp som finns definierade i passlagen kan komma att användas i passdatalagen. Även i sådana fall bör begreppen ha samma innebörd. För att det inte ska råda något tvivel om begreppens betydelse föreslår vi att det i passdatalagen uttryckligen anges att de termer och uttryck som används där har samma betydelse som i passlagen.
7.6.2. Lagens förhållande till personuppgiftslagen
Förslag: Lagen ska gälla utöver personuppgiftslagen (1998:204).
Detta innebär att personuppgiftslagen ska gälla vid behandling av personuppgifter i passverksamheten, om inte annat följer av passdatalagen eller föreskrifter som har meddelats med stöd av den lagen. I klargörande syfte anges det i passdatalagen.
Skälen för förslaget: En viktig fråga att ta ställning till är i
vilken omfattning som personuppgiftslagens bestämmelser ska vara tillämpliga på behandlingen av personuppgifter i passverksamhet. Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter hos passmyndigheterna om det inte finns avvikande bestämmelser i lag eller förordning. Det finns ingen enhetlig systematik i fråga om förhållandet till personuppgiftslagen bland de registerförfattningar som i dag gäller inom skilda myndighetsområden. Vilken systematik som väljs kan vara beroende av olika faktorer, t.ex. hur omfattande regleringen är, vilken verksamhet den avser och om författningen gäller utöver eller i stället för personuppgiftslagen. Vi har under arbetets gång övervägt vilken lagstiftningsteknik som är mest lämplig för regleringen av behandling av personuppgifter i passverksamheten.
I tidigare lagstiftningsärenden har olika lagstiftningstekniker valts. En modell som förekommer är att den särskilda författningen gäller utöver personuppgiftslagen. Det innebär att om en fråga är oreglerad i den särskilda författningen kommer bestämmelserna i
Överväganden och förslag angående passverksamheten Ds 2015:44
personuppgiftslagen istället att vara tillämpliga. Denna lösning kan man åstadkomma genom att man i den särskilda författningen överhuvudtaget inte nämner personuppgiftslagen, vilket innebär att personuppgiftslagens bestämmelser utan vidare kommer att vara tillämpliga i den mån den särskilda författningen inte innehåller avvikande bestämmelser (se 2 § personuppgiftslagen). En liknande och tydligare lösning, som ger samma effekt, är att man i den särskilda författningen uttryckligen anger att den gäller utöver personuppgiftslagen. Båda alternativen har bl.a. den fördelen att ändringar som görs i personuppgiftslagen får direkt genomslag även på det särreglerade området och att det är tydligt när man avviker från personuppgiftslagen. Nackdelen med detta alternativ är att tillämparen måste beakta både den särskilda lagen och personuppgiftslagen. Det kan därmed vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga. Modellen har använts i flera särskilda registerförfattningar, däribland patientdatalagen (2008:355) och studiestödsdatalagen (2009:287).
En annan modell är att den särskilda författningen är heltäckande och upprepar de bestämmelser i personuppgiftslagen som ska vara tillämpliga, och således gäller i stället för personuppgiftslagen. En sådan lösning har t.ex. använts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens underrättelseverksamhet och militära säkerhetstjänst. Metoden kan medföra vissa praktiska fördelar för tillämparen då alla bestämmelser som är relevanta finns samlade i en enda lag. En nackdel är dock att identiska bestämmelser upprepas i olika författningar. Dessutom innebär även mindre ändringar i personuppgiftslagen att motsvarande justeringar måste göras i den särskilda författningen. Den särskilda lagen kan även komma att bli onödigt omfattande.
Ytterligare ett sätt att utforma lagstiftningen på är att lagen innehåller - utöver de bestämmelser som avviker från person-uppgiftslagen - en hänvisning till de lagrum i personuppgiftslagen som är tillämpliga. Härigenom gäller särlagstiftningen i stället för personuppgiftslagen. Denna lösning har valts i bl.a. polisdatalagen (2010:361), lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och kustbevakningsdatalagen (2012:145). Fördelarna med en sådan koppling till personuppgiftslagen är att lagstiftningen blir mer överskådlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen.
Ds 2015:44 Överväganden och förslag angående passverksamheten
Samtidigt undviks en omfattande dubbelreglering. Nackdelen med detta alternativ är emellertid att vissa, men inte alla, ändringar i personuppgiftslagen leder till att motsvarande ändringar måste göras i den särskilda författningen.
Frågan om vilken författningsteknik som bör användas har troligen inte någon betydelse för integritetsskyddet (se t.ex. Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 695). Vi har stannat vid att föreslå att lagen ska gälla utöver personuppgiftslagen. I klargörande syfte anser vi att detta uttryckligen bör anges i passdatalagen. Vårt förslag innebär att passdataregleringen endast ska innehålla de viktigaste särbestämmelserna och förtydligandena som vi har bedömt att det finns behov av. Den nya lagen bör således komplettera personuppgiftslagen vad avser frågor som är specifika för passverksamheten. De särregler som föreslås kommer att vara förhållandevis få. Lagen blir därmed inte alltför omfattande. Vårt förslag till passdatalag utgår från personuppgiftslagens begrepp och terminologi och anger de undantag, preciseringar och förtydliganden i förhållande till personuppgiftslagen som vi bedömer är motiverade utifrån integritetsskyddssynpunkt.
7.7. Personuppgiftsansvar och personuppgiftsbiträde
7.7.1. Särskilt utpekande av den personuppgiftsansvarige
Bedömning: I passdatalagen bör det uttryckligen framgå vem
som är ansvarig för den behandling av personuppgifter som regleras i författningen.
Skälen för bedömningen: Personuppgiftslagen innehåller ett
stort antal hanteringsregler som innebär olika skyldigheter för den som är ansvarig för den personuppgiftsbehandling som sker i en viss verksamhet. Den personuppgiftsansvarige har bl.a. ansvaret för att registrerade uppgifter är korrekta och att de inte behandlas på ett sätt som strider mot tillämpliga bestämmelser. Det är vidare bara den personuppgiftsansvarige som kan göras skadeståndsansvarig för behandlingar i strid med bestämmelserna i personuppgiftslagen, även om andra personer har deltagit i behandlingen.
Överväganden och förslag angående passverksamheten Ds 2015:44
Den personuppgiftsansvarige är enligt definitionen i 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen för personuppgiftsbehandlingen. I registerförfattningar anges ofta ändamål för behandlingen (så också i vårt förslag nedan, avsnitt 7.8.4). Det betyder att det inte är den som utför behandlingen som bestämmer ändamålen. Det går därmed inte att utifrån personuppgiftslagens definition dra några egentliga slutsatser om vem som är personuppgiftsansvarig. Om personuppgiftsansvaret inte har reglerats särskilt genom lag eller förordning får frågan om vem eller vilka som är personuppgiftsansvariga istället avgöras utifrån de faktiska omständigheterna i det enskilda fallet.
I registerförfattningar är det vanligt att man tydligt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras i respektive författning. Sådana bestämmelser finns bl.a. i polisdatalagen (2010:361) och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Ett sådant utpekande av den personuppgiftsansvarige har emellanåt också ansetts nödvändigt med tanke på att ändamålen med behandlingen av personuppgifter angetts i den aktuella författningen i stället för att bestämmas av den aktuella myndigheten. Det har nämligen befarats att det annars skulle kunna uppstå tveksamheter om myndigheten verkligen har ett sådant inflytande över ändamålen med behandlingen att den är att anse som personuppgiftsansvarig vid en tillämpning av personuppgiftslagens regler (se SOU 2015:39 s. 345). Ett angivande av den personuppgiftsansvarige har även motiveras utifrån integritetsskyddssynpunkt, eftersom det härigenom blir tydligt vem som är ansvarig för behandlingen. Den som t.ex. vill begära rättelse vet då direkt vart han eller hon ska vända sig.
Vi anser att ett utpekande av personuppgiftsansvaret i passverksamheten är lämpligt, inte minst utifrån integritetssynpunkt. Med hänsyn härtill och då personuppgiftsansvaret är av central betydelse vid behandlingen av personuppgifter bör en bestämmelse med denna innebörd införas i passdatalagen. Passdatalagen är avsedd att reglera den personuppgiftsbehandling som förekommer i såväl passregistret och registret över omständigheter som kräver passtillstånd, som passverksamheten i övrigt. Vi anser därför att en reglering av personuppgiftsansvaret i passdatalagen inte bör begränsas till den personuppgiftsbehandling som sker i ovan nämnda register.
Ds 2015:44 Överväganden och förslag angående passverksamheten
Ett utpekande bör istället ske för all den behandling av personuppgifter som omfattas av författningen.
7.7.2. Personuppgiftsansvaret för behandling av personuppgifter i passregistret och registret över omständigheter som kräver passtillstånd
Bedömning och förslag: Polismyndigheten ska vara person-
uppgiftsansvarig för den behandling av personuppgifter som sker i passregistret och registret över vissa omständigheter som kräver passtillstånd. Personuppgiftsansvaret ska framgå av passdatalagen.
Skälen för bedömningen och förslaget: Enligt 23 § passför-
ordningen ska Polismyndigheten föra ett passregister och ett register över vissa omständigheter som kräver passtillstånd (20 § 1 och 3 passlagen). Nedan föreslår vi att Polismyndighetens skyldighet att föra ovanstående register i fortsättningen ska regleras i passdatalagen(se avsnitt 7.9). Utlandsmyndigheterna och Utrikesdepartementet har i sin ärendehantering tillgång till passregistret, men saknar helt egen tillgång till registret över vissa omständigheter som kräver passtillstånd.
Polismyndigheten är således registerförande myndighet för passregistret och registret över vissa omständigheter som kräver passtillstånd. Det är därför Polismyndigheten som ensam samlar in och lagrar personuppgifter i registerna och som är ansvarig för den behandlingen. Uppgifterna hämtas automatiskt från RES och RES-UM. Utlandsmyndigheterna och Utrikesdepartementet varken kan eller får rätta, blockera eller utplåna de personuppgifter som behandlas i registren. Polismyndigheten anser sig vara personuppgiftsansvarig för den behandlingen av personuppgifter som idag sker i ovan nämnda register, en bedömning som vi instämmer i. Vi anser dessutom att detta förhållande bör kvarstå, dvs. att Polismyndigheten också vid tillämpning av passdatalagen bör vara personuppgiftsansvarig för behandlingen av personuppgifter i registren. En bestämmelse med denna innebörd bör därför införas i passdatalagen.
Överväganden och förslag angående passverksamheten Ds 2015:44
7.7.3. Personuppgiftsansvaret för behandling av personuppgifter i passverksamheten i övrigt
Bedömning och förslag: Passmyndigheterna och Utrikesde-
partementet ska vara personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför med stöd av passdatalagen eller föreskrifter som har meddelats med stöd av den och som inte avser behandling av personuppgifter i passregistret eller registret över vissa omständigheter som kräver passtillstånd. En bestämmelse med denna innebörd ska införas i passdatalagen.
Skälen för bedömningen och förslaget: Som vi redogjort för
ovan anser Polismyndigheten sig vara personuppgiftsansvarig för den behandling av personuppgifter som idag sker i passregistret och registret över omständigheter som kräver passtillstånd. Vi har föreslagit att denna ordning ska bestå och att det också uttryckligen ska framgå av passdatalagen. I passverksamheten behandlas personuppgifter emellertid inte endast i ovan nämnda register, utan också i ärendehanteringssystemen RES och RES-UM. Förutom Polismyndigheten utfärdar utlandsmyndigheterna (ambassader och konsulat) och Utrikesdepartementet pass, varvid de behandlar personuppgifter av olika slag och även har tillgång till uppgifter i passregistret. Som vi tidigare redogjort för handlägger Polismyndigheten passärenden i ärendehanteringssystemet RES, medan utlandsmyndigheterna och Utrikesdepartementet istället använder ärendehanteringssystemet RES-UM (genom vilket de ges en tillgång till RES, men inte alla de underliggande söksystem och register som Polismyndigheten har tillgång till genom RES). RES är ett kombinerat system för ärendehantering och register över utfärdade pass. RES-UM är – liksom flertalat andra programvaror som utlandsmyndigheterna använder i sitt arbete – framtaget av Migrationsverket.
Utgångspunkten vid fastställandet av personuppgiftsansvar är att den som råder över den faktiska behandlingen av personuppgifter också ska ha ansvaret för behandlingen. Denna grundsats ska samtidigt vägas mot vad som är mest lämpligt ur integritetssynpunkt. I registerförfattningar anges oftast att en myndighet som omfattas av regleringen är personuppgiftsansvarig för den behand-
Ds 2015:44 Överväganden och förslag angående passverksamheten
ling av personuppgifter som myndigheten utför. Det är mindre vanligt att en myndighet ges ett personuppgiftsansvar även för personuppgiftsbehandling som andra myndigheter utför. Det senare förekommer framförallt i författningar som reglerar förandet av vissa register. Som ett exempel kan nämnas att Lantmäteriet enligt 5 § lagen (2000:224) om fastighetsregister har ett ensamt personuppgiftsansvar för fastighetsregistret, trots att flera kommunala lantmäterimyndigheter också är registerförande (SOU 2015:39 s. 346).
Det finns således olika alternativ för hur personuppgiftsansvaret i passverksamheten skulle kunna bestämmas. Ett alternativ är att de olika myndigheterna som behandlar personuppgifter i passverksamheten också är personuppgiftsansvariga för den personuppgiftsbehandling som respektive myndighet utför. Ett annat alternativ är att en myndighet (förslagsvis Polismyndigheten) är personuppgiftsansvarig för den behandling av personuppgifter som i övrigt sker i passverksamheten – dvs. all behandling av personuppgifter som sker i passverksamheten och som inte sker i passregistret och registret över vissa omständigheter som kräver passtillstånd – oavsett vilken myndighet som behandlar uppgiften.
I en överenskommelse mellan Rikspolisstyrelsen, Migrationsverket och Utrikesdepartementet daterad den 9 november 2007 har myndigheterna bl.a. redovisat hur man ser på fördelningen av personuppgiftsansvaret myndigheterna emellan. Enligt överenskommelsen är Rikspolisstyrelsen (numera Polismyndigheten) personuppgiftsansvarig för behandlingen av personuppgifter i RES, medan Utrikesdepartementet och utlandsmyndigheterna är personuppgiftsansvariga för motsvarande behandling i RES-UM. Enligt samma överenskommelse ska Migrationsverket ansvara för den tekniska förvaltningen av RES-UM. Migrationsverket ansvarar vidare för att informationen som registreras i RES-UM inte kan läcka ut, försvinna eller manipuleras. När personuppgifter behandlats färdigt i RES-UM lagras de i RES, varvid överenskommelsen innebär att Rikspolisstyrelsen (dvs. Polismyndigheten) ansvarar för den fortsatta behandlingen av uppgifterna. Såvitt avser behandlingen av personuppgifter i RES-UM synes överenskommelsen innebära att Utrikesdepartementet och utlandsmyndigheterna är ansvariga för att de personuppgifter som myndigheterna registrerar i RES-UM är korrekta och hanteras på ett riktigt sätt, medan
Överväganden och förslag angående passverksamheten Ds 2015:44
Migrationsverket ansvarar för att uppgifterna hanteras säkert i ITsystemet. Man skulle därmed kunna argumentera för att Utrikesdepartementet och utlandsmyndigheterna å ena sidan och Migrationsverket å andra sidan har ett delat personuppgiftsansvar för behandlingen av personuppgifter i RES-UM. Man skulle också kunna argumentera för att Migrationsverket endast agerar i rollen som personuppgiftsbiträde när verket tillhandahåller RES-UM och RES till utlandsmyndigheterna och Utrikesdepartementet. Det är också så Migrationsverket ser på sin roll. Vi instämmer i Migrationsverkets bedömning i denna del och redogör därför närmare för Migrationsverkets behandling av personuppgifter i avsnitt 7.7.4 om personuppgiftsbiträden.
Att Migrationsverket endast anses agera i rollen som personuppgiftsbiträde, innebär att ansvaret för den personuppgiftsbehandling som sker i passverksamheten istället får fördelas mellan passmyndigheterna och Utrikesdepartement. Frågan är nu hur denna fördelning av ansvaret ska göras.
Om Polismyndigheten ensamt ansvarar för all behandling av personuppgifter som sker i passverksamheten, skulle enskilda alltid kunna vända sig till Polismyndigheten, såsom den fullt ut ansvariga myndigheten. Denna lösning skulle emellertid innebära att Polismyndigheten hölls ansvarig för all den behandling av personuppgifter i passverksamhet som utförs av utlandsmyndigheterna och Utrikesdepartementet, dvs. inte bara för att de uppgifter som utlandsmyndigheterna och Utrikesdepartementet för in i RES-UM är korrekta utan också för all annan personuppgiftsbehandling som de senare myndigheterna utför, såsom t.ex. lagring och utlämnande av personuppgifter. Enligt vår mening finns det anledning att ifrågasätta om det är rimligt att ge Polismyndigheten ett så långtgående ansvar för den personuppgiftsbehandling som andra myndigheter utför och som Polismyndigheten också i realiteten saknar kontroll över.
Ett annat alternativ är att personuppgiftsansvaret i stället delas upp mellan passmyndigheterna och Utrikesdepartementet på så sätt att varje myndighet ansvarar för den behandling av personuppgifter som myndigheten utför. Vid denna lösning finns det visserligen en risk för att det för en utomstående i vissa situationer skulle kunna råda en viss osäkerhet om vem som är ansvarig för en viss behandling. Risken för sådana oklarheter ska emellertid inte över-
Ds 2015:44 Överväganden och förslag angående passverksamheten
drivas. Oavsett vilken modell vi väljer kommer nämligen Polismyndigheten att ansvara för – i vart fall – majoriteten av all personuppgiftsbehandling som sker i passverksamheten. Det beror på att de allra flesta passärenden handläggs av Polismyndigheten och att Polismyndigheten dessutom är personuppgiftsansvarig för behandlingen av personuppgifter i passregistret och registret över omständigheter som kräver passtillstånd. Dessutom är det så att alla uppgifter (dvs. inskannade bilagor och anteckningar) som läggs in i RES-UM, sparas i RES när ärendet färdigbehandlats. Utlandsmyndigheterna och Utrikesdepartementet kan därefter varken ändra, blockera eller utplåna uppgifterna. I stället är det Polismyndigheten som förfogar över uppgifterna, varför personuppgiftsansvaret för lagringen av uppgifterna också ligger hos den myndigheten. Polismyndigheten har därmed redan idag i många avseenden det faktiska ansvaret för behandlingen av personuppgifter i passverksamheten. De som har frågor om behandling av personuppgifter i passverksamheten torde i första hand vända sig till den passmyndighet där han eller hon ansöker om pass, vilket i den övervägande delen av fallen är Polismyndigheten. Majoriteten av alla frågor om personuppgiftsbehandling i passverksamheten kommer därmed att inkomma till Polismyndigheten.
Sammanfattningsvis anser vi att övervägande skäl talar för att passmyndigheterna och Utrikesdepartementet ska vara personuppgiftsansvariga för den personuppgiftsbehandling som var och en av myndigheterna utför i passverksamheten. Detta står också i överensstämmelse med hur man vanligtvis valt att reglera personuppgiftsansvaret i olika registerförfattningar och med hur myndigheterna själva ser på fördelningen av personuppgiftsansvaret i passverksamheten. Personuppgiftsansvaret i passdatalagen bör därför utformas så att det av passdatalagen uttryckligen framgår att Passmyndigheterna och Utrikesdepartementet är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför med stöd av lagen eller föreskrifter som har meddelats med stöd av den och som inte avser behandling av personuppgifter i passregistret och registret över vissa omständigheter som kräver passtillstånd.
Överväganden och förslag angående passverksamheten Ds 2015:44
7.7.4. Personuppgiftsbiträden
Bedömning: Migrationsverket och AB Svenska Pass är att
betrakta som personuppgiftsbiträden vid sin behandling av personuppgifter i passverksamheten.
Skälen för bedömningen: Av 3 § personuppgiftslagen framgår
att ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträde är vanligtvis en fysisk eller juridisk person utanför den egna organisationen som anlitats för att utföra uppgifter för den personuppgiftsansvariges räkning, varigenom personuppgifter behandlas. Som anförs i lagrådsremissen ”Domstolsdatalag” (s. 35) torde det följa av personuppgiftslagens definition av ett personuppgiftsbiträde att denne kan utföra behandlingar med stöd av den registerförfattning som gäller för den personuppgiftsansvarige, trots att personuppgiftsbiträdet annars inte skulle ha omfattats av dessa regler. Av 30 § första stycket personuppgiftslagen följer att ett personuppgiftsbiträde endast får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Enligt 30 § andra stycket personuppgiftslagen ska det vidare finnas ett skriftligt avtal om biträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Av avtalet ska dels framgå att biträdet endast får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige, dels att biträdet är skyldigt att vidta de säkerhetsåtgärder som avses i 31 § första stycket personuppgiftslagen. Det senare innebär att avtalet ska föreskriva att personuppgiftsbiträdet också måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att företa enligt lagen. Av 31 § andra stycket personuppgiftslagen följer också att den personuppgiftsansvarige ska förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas för att skydda uppgifterna och se till att biträdet verkligen vidtar åtgärderna.
Huruvida någon är att betrakta som personuppgiftsansvarig eller personuppgiftsbiträde hänger, enligt kommentaren till personuppgiftslagen, samman med om han eller hon självständigt eller tillsammans med den som lämnade uppdraget bestämmer över för vilka ändamål och hur personuppgiftsbehandlingen ska ske (Öman/Lindblom, Personuppgiftslagen, en kommentar, fjärde
Ds 2015:44 Överväganden och förslag angående passverksamheten
upplagan, s. 102). Om personuppgiftsansvaret inte har reglerats särskilt genom lag eller förordning får frågan om vem eller vilka som är att anse som personuppgiftsansvariga således avgöras utifrån de faktiska omständigheterna i det enskilda fallet. I ett beslut från den 2 juli 2010 (Dnr 686-2010) har Datainspektionen bl.a. uttalat följande ”Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. ”hur” behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifterna och när uppgifterna ska raderas”.
Också i passverksamheten kan det finnas anledning för den personuppgiftsansvarige att anlita utomstående för att utföra uppgifter för myndighetens räkning varigenom personuppgifter behandlas. Nedan kommer vi att redogöra för de två vanligaste situationerna när så sker. Frågan är om de anlitade aktörerna vid sin behandling är att anse som personuppgiftsansvariga för behandlingen eller om de endast kan anses agera i rollen som personuppgiftsbiträde.
Som vi redogjort för i avsnitt 6.2.1 äger och tillhandahåller Migrationsverket det ärendehanteringssystem (RES-UM) som utlandsmyndigheterna och Utrikesdepartementet använder i verksamheten avseende pass. I RES-UM behandlas ett stort antal personuppgifter om enskilda. Frågan är om Migrationsverket härigenom är att anse som personuppgiftsansvarig för den behandling som verket utför eller om verket endast får anses agera i rollen som personuppgiftsbiträde. Som vi redogjort för ovan under avsnitt 7.7.3 gör Migrationsverket bedömningen att myndigheten endast agerar i egenskap av personuppgiftsbiträde. Vi har instämt i Migrationsverkets bedömning i denna del och gör det av följande anledningar. Migrationsverket har som ägare och förvaltare av RES-UM ett stort inflytande över hur datorsystemet utformas. Trots detta är Migrationsverkets roll på ett principiellt plan endast att bistå utlandsmyndigheterna och Utrikesdepartementet med ett datorsystem som tillgodoser deras behov av att behandla personuppgifter och genom vilket de också ges tillgång till RES. Det är
Överväganden och förslag angående passverksamheten Ds 2015:44
istället passmyndigheterna och Utrikesdepartementet som bestämmer ändamålen och medlen med behandlingen, t.ex. vilka uppgifter som behandlas. Det är också passmyndigheterna och Utrikesdepartementet som är initiativtagare till behandlingen. Vi gör därför bedömningen att Migrationsverket måste betraktas som tekniskt serviceorgan åt passmyndigheterna och Utrikesdepartementet och att verket behandlar personuppgifter endast för dessa andra myndigheters räkning.
Som vi redogjort för i avsnitt 6.2.2 tillverkar inte passmyndigheterna och Utrikesdepartementet själva några pass, med undantag för de provisoriska passen. Polismyndigheten har istället efter upphandling uppdragit denna uppgift åt AB Svenska Pass, varvid AB Svenska Pass behandlar personuppgifter beträffande de personer för vilka pass utfärdas. Polismyndigheten bestämmer ändamålen och medlen med behandlingen, t.ex. vilka uppgifter som behandlas. Det är vidare Polismyndigheten som är initiativtagare till behandlingen. Vi gör därför bedömningen att AB Svenska Pass, när bolaget behandlar personuppgifter i sin roll som passtillverkare, gör det för Polismyndighetens räkning. Samma bedömning har också Polismyndigheten gjort, då det mellan myndigheten (dåvarande Rikspolisstyrelsen) och AB Svenska Pass tecknats personuppgiftsbiträdesavtal. I avtalen anges AB Svenska Pass vara personuppgiftsbiträde.
Av 30 § andra stycket personuppgiftslagen följer att det mellan den personuppgiftsansvarige och personuppgiftsbiträdet ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Det har under vårt arbete inte kunnat klargöras om det finns erforderliga personuppgiftsbiträdesavtal mellan Migrationsverket, Utrikesdepartementet och Polismyndigheten avseende den personuppgiftsbehandling som sker i RES-UM. Utgångspunkten är självklart att sådana avtal ska finnas.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.8. Tillåten behandling av personuppgifter i passverksamhet
7.8.1. Allmän utgångspunkt
I personuppgiftslagen (1998:204) uppställs vissa grundläggande krav på all behandling av personuppgifter som omfattas av lagen. När myndigheter, liksom enskilda, behandlar personuppgifter måste det ske i enlighet med de grundläggande krav på behandlingen som framgår av 9 § personuppgiftslagen. Behandlingen måste också kunna hänföras till något av de i 10 § personuppgiftslagen uppräknade fallen då det över huvud taget är tillåtet att behandla personuppgifter. De båda bestämmelserna är således kumulativa. Vid behandlingen av känsliga personuppgifter eller person- och samordningsnummer finns dessutom ytterligare restriktioner för när sådan behandling får ske, se 13–20 och 22 §§personuppgiftslagen.
Vid behandling av personuppgifter som inte ingår eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställning av personuppgifter, dvs. behandling i s.k. ostrukturerat material, gäller ett flertal undantag från personuppgiftslagens hanteringsregler, däribland 9, 10 och 13 §§. Detta följer av den s.k. missbruksregeln i 5 a § personuppgiftslagen, enligt vilken vissa angivna bestämmelser i lagen inte behöver tillämpas vid behandling i sådant material, såvida behandlingen inte innebär en kränkning av den registrerades personliga integritet.
7.8.2. Grundläggande krav som ställs på personuppgiftsbehandling
I 9 § personuppgiftslagen anges således de grundläggande krav som ställs på personuppgiftsbehandling. Dessa krav måste alltid vara uppfyllda när personuppgifter behandlas, såvida missbruksregeln inte är tillämplig. Den registrerade anses inte heller med rättslig verkan kunna ge sitt samtycke till att personuppgifter om honom eller henne behandlas i strid med 9 § personuppgiftslagen (Öman/Lindblom, Personuppgiftslagen en kommentar, fjärde
Överväganden och förslag angående passverksamheten Ds 2015:44
upplagan, s. 194). Det är den personuppgiftsansvarige som ansvarar för att kraven i 9 § personuppgiftslagen är uppfyllda.
Enligt 9 § personuppgiftslagen ska den personuppgiftsansvarige bl.a. se till att personuppgifter bara behandlas om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed. Vidare ska personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste bestämmas redan när uppgifterna samlas in. Den personuppgiftsansvarige ska definiera avsikten med insamlingen och användandet av personuppgifter på ett så precist sätt som möjligt. Personuppgifterna får därefter inte behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet (den s.k. finalitetsprincipen). Även ett utlämnande av personuppgifterna till annan måste vara förenligt med de ursprungliga ändamålen. För att avgöra om så är fallet måste man beakta vad den som vill ha ut uppgifter ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen. De personuppgifter som behandlas måste enligt 9 § personuppgiftslagen också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Med detta krav avses att personuppgifterna ska vara av sådant slag att de hör till saken och att de är ägnade att uppnå det mål man har med behandlingen (se promemorian Register över tillträdesförbud vid idrottsarrangemang [Ds 2013:77] s. 50). Inte heller får fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. De personuppgifter som behandlas ska dessutom vara riktiga och, om det är nödvändigt, aktuella. Personuppgifter får inte heller bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt bestämmelsen i 8 § andra stycket personuppgiftslagen hindrar det senare emellertid inte att allmänna handlingar arkiveras.
7.8.3. När behandling av personuppgifter är tillåten
Bestämmelsen i 10 § personuppgiftslagen innehåller en uttömmande uppräkning av när personuppgifter får behandlas. Faller en personuppgiftsbehandling inte in under någon av de rättsliga grunder som anges i 10 § personuppgiftslagen är den alltså otillåten. Avser behandlingen känsliga personuppgifter eller person- och
Ds 2015:44 Överväganden och förslag angående passverksamheten
samordningsnummer finns det, som vi redan nämnt, dessutom ytterligare restriktioner för behandlingen i 13–20 och 22 §§personuppgiftslagen.
Enligt 10 § personuppgiftslagen är huvudregeln att personuppgifter endast får behandlas om den registrerade, dvs. den som en personuppgift avser, har lämnat sitt samtycke till behandlingen. Med samtycke avses enligt 3 § personuppgiftslagen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade – efter att ha fått information – godtar behandling av personuppgifter som rör honom eller henne.
Behandling får emellertid ske utan den registrerades samtycke om behandlingen är nödvändig för att uppfylla något av de syften som nämns i 10 § a–f, t.ex. för att uppfylla ett avtal eller en rättslig skyldighet, för att skydda vitala intressen eller för att en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning ska kunna utföras.
Den behandling av personuppgifter som sker i passverksamhet får enligt vår mening många gånger anses ske med samtycke från den registrerade. Hanteringen torde annars anses falla in under undantagen i 10 § punkterna b), d) eller e) personuppgiftslagen, dvs. personuppgiftsbehandling i samband med fullgörandet av en rättslig förpliktelse, utförandet av en arbetsuppgift av allmänt intresse eller vid myndighetsutövning.
Överväganden och förslag angående passverksamheten Ds 2015:44
7.8.4. Ändamålen för behandlingen av personuppgifter i passverksamhet
Bedömning och förslag: I passdatalagen ska anges för vilka
ändamål behandling av personuppgifter får ske i passverksamheten. Ändamålen ska delas in i primära och sekundära ändamål.
De primära ändamålen ska vara uttömmande angivna i lagen och ska avse sådan behandling av personuppgifter som behövs för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra sina uppgifter enligt passlagen (1978:302).
Vad gäller de sekundära ändamålen ska det i lagen särskilt anges att personuppgifter, som behandlas i passverksamheten för de primära ändamålen, också får behandlas för kontroll av identitetsuppgifter och uppgifter om pass vid gränskontroll. Det ska också anges att sådana uppgifter även får behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten. I lagen ska vidare anges att personuppgifter som behandlas för de primära ändamålen också får behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning. Vid behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna ska den s.k. finalitetsprincipen tillämpas.
Skälen för bedömningen och förslagen: Enligt 9 § c person-
uppgiftslagen får personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Därefter får uppgifterna enligt 9 § d personuppgiftslagen inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Härigenom uppställs vissa grundläggande krav för hur personuppgifter samlas in och vidarebehandlas i passverksamhet.
I registerförfattningar anges regelmässigt för vilka ändamål personuppgifter får behandlas inom det i författningen angivna tillämpningsområdet. Syftet med sådana ändamålsbestämmelser är att ge en tydlig ram för när personuppgifter får behandlas med stöd av den aktuella författningen. Lagrådet har i tidigare lagstiftningsarbete uttalat att det är önskvärt att samtliga ändamål för vilka behandling ska vara tillåten framgår av registerförfattningen (se
Ds 2015:44 Överväganden och förslag angående passverksamheten
propositionen Behandling av personuppgifter inom socialförsäkringens administration [prop. 2002/03:135] s. 56).
Frågan är om det i passdatalagen bör tas in sådana verksamhetsspecifika ändamålsbestämmelser genom vilka det slås fast för vilka ändamål passmyndigheterna och Utrikesdepartementet kan behandla personuppgifter. Det innebär för det första att passmyndigheterna och Utrikesdepartementet inte själva kan besluta fritt om för vilka ändamål personuppgifter får behandlas i verksamheten. För det andra blir det genom sådana verksamhetsspecifika ändamålsbestämmelser tydligt vilka åtgärder som är tillåtna respektive otillåtna. För att åstadkomma ett starkt integritetsskydd i passverksamheten anser vi att det bör införas sådana ändamålsbestämmelser även i passdatalagen.
Primära och sekundära ändamål
Det är vanligt att man i registerlagar delar upp ändamålen i primära och sekundära ändamål, se t.ex. polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145). Bestämmelser om primära ändamål utformas för att tillgodose behoven av att behandla personuppgifter i de berörda myndigheternas egen verksamhet. Registerförfattningarna brukar innehålla ändamålsbestämmelser som innebär att uppgifter inte får samlas in för annat än primära ändamål. Begreppet insamling anses inte bara avse situationer då uppgifter lämnas till en myndighet på begäran av myndigheten, utan även andra tillvägagångssätt genom vilka myndigheten får del av personuppgifter för sådan behandling som omfattas av författningen (jfr Öman och Lindblom, Personuppgiftslagen, en kommentar, 4 uppl., s. 374). Bestämmelser om primära ändamål medger både behandling i form av insamling och i form av vidarebehandling, t.ex. genom bearbetning, lagring, utlämnande och arkivering. Bestämmelser om sekundära ändamål kompletterar bestämmelserna om primära ändamål och tillgodoser i första hand andra än verksamhetens egna behov. Dessa bestämmelser medger inte insamling, utan tillåter endast att uppgifter som redan behandlas i verksamheten får behandlas för nya ändamål. Som anförs i förslaget till Domstolsdatalag (Ds 2013:10 s. 80) blir det, genom att man lagtekniskt skiljer på behandlingar för primära och sekundära ända-
Överväganden och förslag angående passverksamheten Ds 2015:44
mål, möjligt att ge ändamålsbestämmelserna en mer specifik innebörd utan att bestämmelserna för den skull behöver bli för detaljerade eller oflexibla. Vi anser att ändamålsbestämmelserna i passdatalagen bör utformas utifrån denna distinktion.
Passmyndigheternas och Utrikesdepartementets uppdrag enligt passlagen
Som föreslås i avsnitt 7.4 ska passdatalagen tillämpas av passmyndigheterna och Utrikesdepartementet vid myndigheternas behandling av personuppgifter i passverksamheten. Med passverksamhet avses i detta avseende den verksamhet som passmyndigheterna och Utrikesdepartementet ansvarar för enligt passlagen. Myndigheterna måste ha möjlighet att samla in och vidarebehandla personuppgifter i den mån handläggningen av passärenden kräver det. Behovet styrs främst av regleringen i passlagen (1978:302) och passförordningen (1979:664). Detta gör enligt vår mening att det varken är lämpligt eller möjligt att i passdatalagen i detalj ange för vilka ändamål personuppgifter ska få samlas in och vidarebehandlas. Mot denna bakgrund anser vi att det i passdatalagen istället bör anges att passmyndigheterna och Utrikesdepartementet får behandla (dvs. samla in eller vidarebehandla) personuppgifter om det behövs:
1. för att pröva ansökan om pass,
2. för att pröva framställning om återkallelse av pass, om provisorisk återkallelse av pass eller om begränsning i giltighet för pass,
3. för att utfärda, återkalla, dra in eller makulera pass,
4. för att omhänderta eller överlämna pass enligt 17 och 18 §§passlagen,
5. vid talan mot beslut i passärenden, samt
6. för att i övrigt fullgöra passmyndigheternas och Utrikesdepartementets uppgifter enligt passlagen.
Enligt vår mening saknas det skäl att tillåta insamlande av personuppgifter för några andra ändamål. Den föreslagna bestämmelsen innebär således en uttömmande reglering av de primära ändamål för vilka personuppgifter får behandlas i passverksamheten.
Ds 2015:44 Överväganden och förslag angående passverksamheten
Kontroll av identitetsuppgifter och uppgifter om pass vid gränskontroll
Av 5 § passlagen följer att en svensk medborgare som huvudregel inte får resa ut ur riket utan att medföra giltigt pass. Enligt samma bestämmelse ska svenska medborgare som huvudregel också medföra giltigt pass vid resa in i riket. Polismyndigheten ska enligt 5 a § första stycket passlagen övervaka att bestämmelsen i 5 § följs. I 5 a § passlagen föreskrivs vidare att den som är skyldig att medföra pass vid utresa också är skyldig att på begäran överlämna passet till en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket. Enligt samma bestämmelse är passinnehavaren också skyldig att låta befattningshavare ta passinnehavarens fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i passet.
Av det ovanstående följer att det finns ett behov av att i samband med sådan gränskontroll kunna kontrollera identitetsuppgifter och uppgifter om pass i t.ex. passregistret, exempelvis uppgifter om huruvida ett pass är spärrat eller inte. Detta behov får anses väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde. Mot ovanstående bakgrund anser vi att det i passdatalagen särskilt bör anges att personuppgifter, som får behandlas i passverksamheten, också får behandlas för granskning av identitetsuppgifter och uppgifter om pass vid gränskontroll.
Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt myndighetens upprätthållande av den allmänna ordningen och säkerheten
Personuppgifter som behandlas i passverksamheten används också i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten. Enligt uppgift från Polismyndigheten rör det sig främst om att polisen använder fotografierna i passregistret för att fastställa identiteten på en person, t.ex. i samband med identifiering av enskilda vid större olyckor, vid fotokonfrontationer och som ett led i spaningsarbete. Polismyndigheten
Överväganden och förslag angående passverksamheten Ds 2015:44
har således ett behov av att, i sin brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten, kunna behandla sådana personuppgifter som behandlas i passverksamheten. Detta behov får anses väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde. Mot ovanstående bakgrund anser vi att det i passdatalagen särskilt bör anges att personuppgifter, som får behandlas i passverksamheten, också får behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten.
Utlämnande av uppgifter
Passmyndigheterna och Utrikesdepartementet behöver i olika sammanhang kunna lämna ut information till myndigheter och andra utomstående. Detta för att fullgöra sina författningsreglerade skyldigheter att lämna ut vissa uppgifter eller handlingar. Som exempel kan nämnas att Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten enligt 23 § passförordningen har rätt att på begäran få ut ett fotografi från passregistret. Vidare kan nämnas att Polismyndigheten enligt bl.a. lagen (2000:344) om Schengens informationssystem ska vidarebefordra uppgifter i RES eller RES-UM om stulna eller förkomna resehandlingar till Schengen Information System (SIS) och Interpols databas över stulna och förekomna resehandlingar (se närmare om detta i avsnitt 6.2.8).
I samband med sådana utlämnanden behöver passmyndigheterna och Utrikesdepartementet kunna behandla personuppgifter automatiserat genom att söka och sammanställa uppgifter. Det behövs därmed en regel i passdatalagen som uttryckligen tillåter behandling för sådana sekundära ändamål. Av passdatalagen bör det därför framgå att personuppgifter, som får behandlas i passverksamheten, också får behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning.
Ds 2015:44 Överväganden och förslag angående passverksamheten
Andra sekundära ändamål
Vid behandling av personuppgifter för andra sekundära ändamål än de ovan angivna anser vi att det är tillräckligt att den s.k. finalitetsprincipen tillämpas (se 9 § första stycket d och andra stycket personuppgiftslagen). För att det inte ska råda något tvivel om att principen också är tillämplig vid personuppgiftsbehandling i passverksamheten, anser vi att det i passdatalagen bör ske en hänvisning till bestämmelserna i personuppgiftslagen.
7.8.5. Den enskildes inställning till personuppgiftsbehandlingen
Förslag: Behandling av personuppgifter som är tillåten enligt
passdatalagen ska få utföras även om den registrerade motsätter sig det. Detta ska komma till uttryck i passdatalagen.
Skälen för bedömningen och förslaget: Enligt artikel 7 data-
skyddsdirektivet ska medlemsstaterna föreskriva att personuppgifter endast får behandlas i vissa fall. Som exempel på när så får ske kan nämnas om den registrerade otvetydigt har lämnat sitt samtycke eller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige, för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den registeransvarige.
Som vi redogjort för under avsnitt 7.8.3 innehåller 10 § personuppgiftslagen en uttömmande uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten. Enligt huvudregeln är det tillåtet att behandla personuppgifter endast om den registrerade lämnat sitt samtycke. Härifrån finns det omfattande undantag. För att få behandla personuppgifter utan samtycke krävs att behandlingen är nödvändig av olika angivna skäl, bl.a. för att en arbetsuppgift av allmänt intresse ska kunna utföras eller för att skydda vitala intressen.
I personuppgiftslagen definieras samtycke som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne (3 §). Att ett samtycke ska
Överväganden och förslag angående passverksamheten Ds 2015:44
vara frivilligt innebär att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas. Samtycke kan ju vara en förutsättning för att den registrerade ska få något som han eller hon önskar eller behöver, till exempel ett telefonabonnemang, en semesterresa, en livsnödvändig sjukvårdsbehandling, anställning, bostadsbidrag etc. Om den registrerade i praktiken inte kan avstå behandlingen, kan samtycket inte gärna vara frivilligt. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige istället finna annat stöd för behandlingen i personuppgiftslagen eller i någon annan lagstiftning.
Vi har ovan föreslagit att passmyndigheterna och Utrikesdepartementet ska få behandla personuppgifter om det behövs för fullgörande av passmyndigheternas och Utrikesdepartementets uppgifter enligt passlagen. De behandlingar som ryms inom dessa ramar får anses vara nödvändiga för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra sina rättsliga förpliktelser eller kunna utföra arbetsuppgifter av allmänt intresse. Behandlingarna får vidare anses vara nödvändiga som ett led i myndighetsutövningen. Det finns således rättsliga förutsättningar för att i passdatalagen tillåta att behandlingar sker utan den registrerades samtycke.
Mot den angivna bakgrunden bör passmyndigheterna och Utrikesdepartementet tillåtas behandla personuppgifter utan den registrerades samtycke, så länge behandlingen sker i enlighet med bestämmelserna i passdatalagen och inom de ramar som uppställs genom de ändamålsbestämmelser som föreslås i avsnitt 7.8.4. Frågan är om detta uttryckligen bör framgå av de föreskrifter som reglerar den personuppgiftsbehandling som sker i passverksamheten. Av dataskyddsdirektivet framgår att medlemsstaterna i fråga om behandlingar som är ett led i myndighetsutövning ska tillförsäkra den registrerade rätten att motsätta sig behandling av uppgifter som rör honom eller henne, utom när den nationella lagstiftningen föreskriver något annat (artikel 14). Den aktuella bestämmelsen i dataskyddsdirektivet har emellertid inte generellt ansetts innebära att registerförfattningar ska innehålla en uttrycklig bestämmelse om samtycke. Av 12 § andra stycket personuppgiftslagen framgår att en registrerad, med vissa undantag, inte har rätt att motsätta sig sådan behandling som är tillåten enligt personupp-
Ds 2015:44 Överväganden och förslag angående passverksamheten
giftslagen. Eftersom 12 § personuppgiftslagen bara gäller sådan personuppgiftsbehandling som sker med stöd av personuppgiftslagen, är det inte tillräckligt med en hänvisning till den bestämmelsen som grund för passmyndigheternas och Utrikesdepartementets rätt att behandla personuppgifter trots att den enskilde motsätter sig behandlingen. En särskild bestämmelse enligt vilken det uttryckligen framgår att passmyndigheterna och Utrikesdepartementet får behandla personuppgifter i enlighet med passdatalagen, även om den registrerade motsätter sig behandlingen, bör därför föras in i den föreslagna lagen.
7.9. Passregistret och registret över vissa omständigheter som kräver passtillstånd
Bedömning och förslag: Polismyndigheten ska enligt 23 §
första stycket passförordningen (1979:664) föra ett passregister och ett register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302). Denna skyldighet att föra register bör istället regleras i passdatalagen. En bestämmelse med denna innebörd ska därför införas i lagen. Av bestämmelsen ska också framgå att registren ska föras med hjälp av automatiserad behandling.
I passdatalagen ska anges vilka uppgifter registren får innehålla. Regeringen eller den myndighet som regeringen bestämmer ska kunna meddela föreskrifter om de ytterligare uppgifter som registren får innehålla.
Skälen för bedömningen och förslaget: Polismyndigheten ska
enligt 23 § första stycket passförordningen föra ett passregister och ett register över vissa omständigheter som kräver passtillstånd (20 § 1 och 3 passlagen). Registren förs med hjälp av automatiserad behandling. Regleringen av personuppgiftsbehandlingen i registren är emellertid bristfällig, då det bl.a. saknas regler om vilka uppgifter registren får innehålla och vad som i övrigt gäller för behandlingen, vilket också påtalats av Integritetsskyddskommittén (se SOU 2007:22, Del 1 s. 277, 482 och 483).
Passregistret och registret över vissa omständigheter som kräver passtillstånd innehåller uppgifter som behövs i passverksamheten.
Överväganden och förslag angående passverksamheten Ds 2015:44
En fördel med att uppgifterna finns samlade i register är att de enkelt är sökbara för de som behöver dem. Frågan är om Polismyndigheten i lag eller förordning bör åläggas att föra dessa register. Vi har inte sett någon anledning att inom ramen för vårt uppdrag överväga om Polismyndighetens författningsreglerade skyldighet att föra ovan nämnda register bör avskaffas. Enligt vår mening bör de aktuella bestämmelserna i passförordningen emellertid överföras till passdatalagen. På så sätt kommer skyldigheten att föra registren att regleras i samma författning som de bestämmelser som styr behandlingen av personuppgifter i registren.
Av bestämmelsen i 23 § första stycket passförordningen framgår inte att registren får föras elektroniskt. Polismyndigheten för emellertid redan idag passregistret och registret över vissa omständigheter som kräver passtillstånd med hjälp av sådan automatiserad behandling. Att så får ske bör därför i klargörande syfte uttryckligen framgå av bestämmelsen i passdatalagen.
Som vi redogjort för i avsnitt 7.8.2 får endast de personuppgifter behandlas som är relevanta och behövs för att uppnå de ändamål som anges med behandlingen. Detta gäller självklart också vid behandling av personuppgifter i passregistret eller registret över vissa omständigheter som kräver passtillstånd. Ur integritetssynpunkt är det väsentligt att endast sådana uppgifter som bedöms uppfylla dessa kriterier registreras och behandlas. Passregistret och registret över vissa omständigheter som kräver passtillstånd utgör regelrätta register och innehåller ett begränsat antal typer av personuppgifter. Vi anser därför att man i passdatalagen ur integritetsskyddssynpunkt bör klargöra vilka personuppgifter registren får innehålla. De uppgifter som registren bör få innehålla ska alltså motsvara det primära ändamålet för personuppgiftsbehandlingen, dvs. uppgifterna ska behövas för att myndigheterna ska kunna fullgöra de uppgifter som åligger passmyndigheterna och Utrikesdepartementet enligt passlagen.
Enligt Polismyndigheten innehåller passregistret idag olika identitetsuppgifterer såsom namn, personnummer, kön, adress m.m. Passregistret innehåller vidare fotografi på passinnehavare och deras namnteckning (i den mån sådan lämnades vid ansökningstillfället). Passregistret innehåller dessutom uppgifter om ansökta och utfärdade pass, ärende- och passnummer, handlingens status och giltighet, typ av pass, utfärdande myndighet och hand-
Ds 2015:44 Överväganden och förslag angående passverksamheten
läggare, datum för ansökan, utfärdande och utlämnande m.m. Dessutom visas personers totala innehav av pass under de senaste cirka tjugo åren, inklusive återkallade, indragna och därmed makulerade handlingar. Registret över vissa omständigheter som kräver passtillstånd (20 § 1 och 3 passlagen) innehåller enligt Polismyndigheten endast namn och personnummer på de personer som är aktuella, anteckningsruta, registreringsdatum samt uppgift om vem som registrerat uppgiften samt handläggar- och myndighetskod.
Vi föreslår att det i passdatalagen i princip uttömmande anges vilka personuppgifter som ska få registreras och behandlas i registren. Härigenom möts verksamhetens behov samtidigt som integritetsskyddsaspekterna värnas. Eftersom det finns ett verksamhetsmässigt behov av att behandla ovanstående personrelaterade uppgifter i passverksamhet, föreslår vi inte någon ändring av de uppgifter som registren bör få innehålla. De personuppgifter som registreras är i de flesta fall inte heller av känslig karaktär.
Eftersom behovet av personuppgifter kan komma att variera efter tid, föreslår vi också att regeringen eller den myndighet som regeringen föreskriver ska kunna meddela föreskrifter om de ytterligare uppgifter som registren får innehålla.
7.10. Särskilda kategorier av personuppgifter
7.10.1. Känsliga personuppgifter Dataskyddsdirektivet
Enligt artikel 8.1 i dataskyddsdirektivet ska medlemsstaterna förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
I artikel 8.2 dataskyddsdirektivet föreskrivs undantag från förbudet att behandla de uppgifter som avses i artikel 8.1. Sådana uppgifter får behandlas om
a) den registrerade lämnat sitt uttryckliga samtycke till sådan behandling, utom i de fall medlemsstatens lagstiftning säger att samtycke inte kan upphäva förbudet i punkt 1,
Överväganden och förslag angående passverksamheten Ds 2015:44
b) behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder,
c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke,
d) behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnats ut till tredje man utan den registrerades samtycke, eller
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
Vidare sägs i artikel 8.3 dataskyddsdirektivet att punkt 1 inte gäller när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person är ålagd en liknande tystnadsplikt.
Enligt artikel 8.4 dataskyddsdirektivet får medlemsstaterna antingen i sin nationella lagstiftning eller genom beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt
2. Detta gäller under förutsättning att det finns lämpliga skyddsåtgärder och att det sker av hänsyn till ett viktigt allmänt intresse.
Bestämmelserna i artikel 8.1–8.4 dataskyddsdirektivet har genomförts i svensk rätt genom 13–20 §§personuppgiftslagen. De uppgifter som avses i artikel 8.1 dataskyddsdirektivet betecknas i per-
Ds 2015:44 Överväganden och förslag angående passverksamheten
sonuppgiftslagen som känsliga personuppgifter (13 § tredje stycket). Direktivets bestämmelser har i sak oförändrade förts över till personuppgiftslagen. Det generella förbudet mot behandling av känsliga personuppgifter finns i 13 § personuppgiftslagen. I 14 § första stycket personuppgiftslagen finns en upplysning om att det finns undantag från förbudet i 13 § i de fall som anges i 15–19 §§ samma lag. I 15 § personuppgiftslagen finns en bestämmelse som tillåter behandling vid samtycke och efter den registrerades tydliga offentliggörande, i 16 § anges de fall av nödvändig behandling som avses i artikel 8.2 b och c dataskyddsdirektivet. Undantaget för ideella organisationer m.fl. finns i 17 § personuppgiftslagen och för hälso- och sjukvård i 18 § personuppgiftslagen.
I 19 § personuppgiftslagen har den svenske lagstiftaren utnyttjat möjligheten enligt 8.4 i direktivet att i nationell lagstiftning medge undantag från förbudet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse. Genom bestämmelsen tillåts att sådana uppgifter, under vissa förutsättningar, får behandlas för forsknings- eller statistikändamål. I förarbetena (prop. 1997/98:44 s. 68) anförde regeringen att forskning och statistik är så viktiga områden att de borde regleras redan i den nya lagen.
Genom 20 § personuppgiftslagen bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Uttrycket viktigt allmänt intresse avses ha samma innebörd som enligt artikel 8.4 i direktivet (prop. 1997/98:44 s. 128). Bemyndigandet i 20 § personuppgiftslagen har utnyttjats av regeringen genom att det i 8 § personuppgiftsförordningen (1998:1191) har införts en bestämmelse som föreskriver att det, utöver vad som följer av 5 a § och 15–19 §§personuppgiftslagen, är tillåtet för myndigheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen är det tillåtet att behandla känsliga personuppgifter på så sätt att de inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Det gäller dock under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet.
Överväganden och förslag angående passverksamheten Ds 2015:44
Våra överväganden och förslag
Förslag: Personuppgifter som avslöjar ras eller etniskt ursprung
eller rör hälsa ska få behandlas om uppgifterna är nödvändiga för handläggningen av ett ärende eller om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text. En bestämmelse med denna innebörd ska införas i passdatalagen.
Skälen för förslaget: Som framgått ovan utgör personuppgifter
som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv känsliga personuppgifter i personuppgiftslagens mening. Enligt personuppgiftslagen är det som huvudregel förbjudet att behandla sådana uppgifter. Från denna huvudregel görs i personuppgiftslagen ett antal begränsade undantag.
I passverksamheten behandlas emellanåt känsliga personuppgifter. Huvudsakligen torde det vara frågan om uppgifter som avslöjar ras eller etniska ursprung eller rör enskildas hälsa.
Huruvida vissa personuppgifter avslöjar en persons ras eller etniska ursprung har berörts i tidigare lagstiftningsarbete. I förarbetena till genomförandet av tredje penningtvättsdirektivet (prop. 2008/09:70 s. 142) uttalade regeringen bl.a. att passhandlingar innehåller bild som i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung. Datainspektionen har därtill i sin rapport 2002:3 (s. 8) uttalat att en uppgift om medborgarskap i vissa fall kan avslöja ras eller etniskt ursprung. Regeringen har emellertid i förarbetena till vissa ändringar i arbetsmiljölagen (prop. 2001/02:144 s. 41) bedömt att en isolerad uppgift om medborgarskap varken avslöjar ras eller etniskt ursprung. I passärenden behandlas regelmässigt uppgifter om sökandens namn, födelseort och medborgarskap. Dessutom innehåller passärenden ansiktsbilder på sökanden. Av ovan redovisade uttalanden gör vi därför bedömningen att man i passverksamhet behandlar uppgifter som kan avslöja en persons ras eller etnicitet. Vi gör vidare bedömningen att behandlingen är nödvändig för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra sina uppgifter enligt passlagen. Behovet av att kunna behandla sådana känsliga personuppgifter får därmed anses väga tyngre än
Ds 2015:44 Överväganden och förslag angående passverksamheten
den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde. Behandlingen torde också ske med den enskildes samtycke.
I tidigare lagstiftningsarbete har användningen av ordet ras i författningstexter kritiserats. Detta då det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och således inte heller någon biologisk grund för att använda ordet ras om människor (se t.ex. propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet [prop. 2009/10:85] s. 123 och propositionen Kustbevakningsdatalag [prop. 2011/12:45] s. 94). Riksdagen har vidare gjort bedömningen (se betänkandet Lagstiftningsprocessen [1997/98:KU29] s. 7) att användningen av ordet ras i författningstext riskerar att underblåsa fördomar och har ansett att regeringen, i de fall ordet ras förekommer i olika författningar som inte grundas på internationella texter, ska föreslå en annan definition där det är möjligt. Regeringen gav i juli 2014 en särskild utredare i uppdrag att se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning (dir. 2014:115). Uppdraget ska redovisas i december 2015. Ordet ras används emellertid alltjämt i definitionen av känsliga personuppgifter i 13 § personuppgiftslagen och artikel 8.1 i dataskyddsdirektivet. Vi anser därför att det inte är lämpligt att i detta lagstiftningsarbete utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter.
Som exempel på när känsliga personuppgifter i form av uppgifter om den enskildas hälsa behandlas i passverksamhet, kan nämnas att en passansökan enligt 7 § 10 passlagen ska avslås om sökanden genomgår rättspsykiatrisk vård med särskild utskrivningsprövning. Enligt 20 § passlagen krävs det vidare passtillstånd i vissa fall för den som är intagen för vård enligt lagen om psykiatrisk tvångsvård (1991:1128) eller lagen om rättspsykiatrisk vård (1991:1129). Uppgifter om en persons hälsa kan som en följd härav förekomma i passärenden, t.ex. vid en passhindersundersökning då sökanden genomgår rättspsykiatrisk vård med särskild utskrivningsprövning. För att fullgöra de uppgifter som åligger passmyndigheterna och Utrikesdepartementet enligt passlagen måste myndigheterna ha möjlighet att också behandla känsliga personuppgifter som rör den enskildas hälsa. Behovet av att kunna behandla sådana känsliga personuppgifter får därmed anses väga tyngre än den risk för integri-
Överväganden och förslag angående passverksamheten Ds 2015:44
tetsintrång som en sådan behandling kan innebära för den enskilde. Det har inte kunnat klarläggas om den enskilde alltid kan anses samtycka till att sådana känsliga personuppgifter behandlas i passverksamhet. Det går dock inte att utesluta att det finns situationer när sökanden inte samtycker till att uppgifterna behandlas. Det går inte heller att utesluta att det finns situationer då sökanden inte är medveten om att uppgifterna behandlas.
När känsliga personuppgifter behandlas kan det ske med stöd av den enskildes samtycke eller annars med stöd i lag (jfr 15–20 §§personuppgiftslagen). Behandling kan också ske med stöd av 8 § personuppgiftsförordningen enligt vilken känsliga uppgifter får hanteras av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. De i 16–19 §§personuppgiftslagen angivna situationerna – när det får anses tillåtet att behandla känsliga personuppgifter – torde inte vara tillämpliga vid behandling av sådana uppgifter i passverksamhet. Utan annat särskilt lagstöd för behandlingen av känsliga personuppgifter i passverksamhet, är passmyndigheterna och Utrikesdepartementet beroende av att erhålla den enskildes samtycke för att behandlingen ska anses tillåten. En sådan ordning skulle enligt vår mening inte vara tillfredsställande. Vi föreslår därför att det i passdatalagen slås fast att känsliga personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa får behandlas i passverksamheten. För att förhindra att sådana uppgifter behandlas i större utsträckning än vad som är nödvändigt föreslår vi att sådana känsliga personuppgifter endast får behandlas om uppgifterna är nödvändiga för handläggningen av ett ärende eller om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text. Till skillnad från vad som gäller enligt 8 § personuppgiftsförordningen får således sådana känsliga personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa och som är nödvändiga för handläggningen av ett ärende behandlas i passverksamheten även på annat sätt än i löpande text. Sådana känsliga personuppgifter som lämnats i ett ärende och inte är nödvändiga för handläggningen av detsamma får emellertid – i likhet med vad som följer enligt 8 § personuppgiftsförordningen – endast behandlas i löpande text.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.10.2. Personuppgifter om lagöverträdelser m.m. Dataskyddsdirektivet
Enligt artikel 8.5 i dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser, brottsmåldomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.
Bestämmelserna i artikel 8.5 dataskyddsdirektivet har genomförts i svensk rätt på så sätt att det genom 21 § första stycket personuppgiftslagen har införts ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Enligt 21 § andra stycket personuppgiftslagen tillåts andra än myndigheter behandla sådana personuppgifter som avses i första stycket för forskningsändamål, om behandlingen har godkänts enligt lagen (2002:460) om etikprövning av forskning som avser människor. I tredje och fjärde stycket bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela dels föreskrifter, dels beslut i enskilda fall om undantag från förbudet i första stycket.
Överväganden och förslag angående passverksamheten Ds 2015:44
Våra överväganden och förslag
Bedömning: Det behövs ingen bestämmelse som tillåter pass-
myndigheterna och Utrikesdepartementet att behandla personuppgifter om lagöverträdelser m.m. i passverksamhet, eftersom detta redan följer av personuppgiftslagens (1998:204) bestämmelser. Det finns inte heller något behov av att generellt begränsa passmyndigheternas eller Utrikesdepartementets möjligheter att behandla denna kategori av personuppgifter, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Skälen för bedömningen: I passverksamheten behandlas regel-
bundet uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, t.ex. i samband med passhindersundersökningar eller vid återkallelse av pass. Behandlingen är nödvändig för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra sina uppgifter enligt passlagen. Gällande rätt uppställer inget krav på särskilt författningsstöd för myndigheters behandling av personuppgifter om lagöverträdelser m.m. Detta då personuppgiftslagens förbud mot att behandla personuppgifter om lagöverträdelser m.m. riktar sig till andra än myndigheter. Myndigheter har således möjlighet att behandla sådana uppgifter under samma förutsättningar som gäller för övriga personuppgifter, dvs. att det dels sker för sådana ändamål som angetts med behandlingen, dels är fråga om en tillåten behandling enligt 9 och 10 §§personuppgiftslagen.
Det finns alltså varken i dataskyddsdirektivet eller i personuppgiftslagen något förbud för myndigheter att behandla personuppgifter om lagöverträdelser m.m. Någon bestämmelse i passdatalagen som tillåter passmyndigheterna och Utrikesdepartementet att behandla personuppgifter om lagöverträdelser m.m. i verksamhet avseende pass behövs alltså inte. Vi föreslår därför inte någon sådan bestämmelse.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.10.3. Personnummer och samordningsnummer Dataskyddsdirektivet
I dataskyddsdirektivet anges att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsbegrepp eller något annat vedertaget sätt för identifiering får behandlas (artikel 8.7). Direktivet föreskriver dock inte hur dessa villkor ska se ut, varför det står medlemsstaterna fritt att bestämma detta.
Enligt 22 § personuppgiftslagen får uppgifter om person- och samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Av förarbetena till bestämmelsen (prop. 1997/98:44 s. 129) framgår att personnummer eller samordningsnummer självklart får behandlas om någon ger sitt samtycke till det. Det uttalandet torde emellertid inte betyda att man vid den enskildes samtycke till behandlingen, kan bortse från de grundläggande kraven på behandling av personuppgifter i 9 § personuppgiftslagen. Också dessa krav torde således behöva vara uppfyllda för att det ska bli fråga om en laglig behandling av person- och samordningsnummer (Personuppgiftslagen, en kommentar, fjärde upplagan, Öman/Lindblom, s. 346). För att en behandling av uppgifter om person- eller samordningsnummer över huvud taget ska få genomföras måste behandlingen emellertid också vara tillåten enligt 10 § personuppgiftslagen och ske för sådana ändamål som angetts för behandlingen.
Överväganden och förslag angående passverksamheten Ds 2015:44
Våra överväganden
Bedömning: Med hänsyn till vikten av en säker identifiering
finns det i verksamhet avseende pass regelmässigt ett behov av att behandla uppgifter om person- och samordningsnummer. Någon särskild bestämmelse som tillåter detta behöver emellertid inte införas, eftersom det redan följer av personuppgiftslagens (1998:204) bestämmelser. Det finns inte heller något behov av att generellt begränsa passmyndigheternas eller Utrikesdepartementets möjligheter att behandla denna kategori av personuppgifter, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen (1998:204).
Skälen för bedömningen: Enligt 22 § personuppgiftslagen får
uppgifter om person- och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. I passverksamheten används person- och samordningsnummer av naturliga skäl i mycket stor utsträckning, främst i syfte att fastställa den enskildes identitet. Att vikten av en säker identifiering kan utgöra ett berättigat ändamål får i det sammanhanget anses självklart. Den behandling av uppgifter om person- och samordningsnummer som idag sker i verksamhet avseende pass, sker således med stöd av bestämmelsen i 22 § personuppgiftslagen. Någon bestämmelse i passdatalagen som tillåter passmyndigheterna och Utrikesdepartementet att behandla sådana uppgifter i passverksamheten behövs därför inte. Vi föreslår därför inte heller någon sådan bestämmelse. Enligt vår mening finns det inte heller något behov av att generellt begränsa passmyndigheternas och Utrikesdepartementets möjlighet att behandla denna kategori av personuppgifter, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.11. Sökbegränsningar
7.11.1. Allmän utgångspunkt
I myndigheternas verksamhet finns ett behov av att kunna använda sig av den information som myndigheten har tillgång till på ett så effektivt sätt som möjligt. Att information numera i princip undantagslöst hanteras elektroniskt inom myndigheterna innebär, såsom Informationshanteringsutredningen anför i förslaget till Myndighetsdatalag (SOU 2015:39 s. 321 f.), dels bättre möjligheter och enklare förfaranden för att över huvud taget producera information i form av bl.a. olika dokument och uppgiftssamlingar, dels väsentligt förbättrade möjligheter att sammanställa den information som myndigheten har tillgång till. Den elektroniskt framställda informationen utgör därigenom ett kraftfullt redskap för att uppnå effektivitet och utgör således ett värdefullt hjälpmedel för att åstadkomma hög kvalitet i exempelvis beslutsunderlag, vid uppföljning och när det gäller att uppfylla skyldigheter och ge service i förhållande till enskilda. Möjligheten att kunna söka och sammanställa information är således mycket värdefull för myndigheterna och något som de allmänt får anses ha ett stort behov av. I likhet med Informationshanteringsutredningen anser vi att samtidigt som möjligheten att elektroniskt kunna sammanställa information utgör ett slagkraftigt verktyg för att uppnå en effektiv informationshantering, kan den också innebära särskilda risker för skyddet av personuppgifter (se SOU 2015:39 s. 321 f.).
Dataskyddsdirektivet och personuppgiftslagen innehåller inte några bestämmelser som särskilt tar sikte på skyddet för personuppgifter i samband med sammanställning av uppgifter. Sökning och sammanställning av uppgifter som sker elektroniskt är emellertid en form av behandling som omfattas av direktivets och personuppgiftslagens bestämmelser, om det är fråga om personuppgifter. Av de grundläggande kraven i 9 § personuppgiftslagen följer därmed vissa begränsningar i fråga om vilka sammanställningar som är tillåtna att göra. Som exempel kan nämnas att en sammanställning av personuppgifter inte får göras för ett ändamål som är oförenligt med det för vilket uppgifterna en gång samlades in. Uppgifterna ska dessutom vara adekvata och relevanta för ändamålet med sammanställningen. Fler uppgifter än vad som är nödvändigt för
Överväganden och förslag angående passverksamheten Ds 2015:44
ändamålet med behandlingen får inte heller sammanställas (SOU 2015:39 s. 322).
I många registerförfattningar finns bestämmelser som uttryckligen reglerar vilka sökbegrepp som alltid är förbjudna att använda. En sådan bestämmelse omöjliggör således en sammanställning av angivna personuppgifter. Som Informationshanteringsutredningen anför i förslaget till Myndighetsdatalag (SOU 2015:39 s. 322) kan man säga att sådana begränsningar utgör en miniminivå för det skydd som vid en tillämpning av 9 § personuppgiftslagen ändå ska iakttas av myndigheten när den söker och sammanställer personuppgifter. Den typen av förbud utgör också ett hinder för en myndighet att sammanställa personuppgifter på begäran av en enskild i enlighet med den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen (TF). Sådana sökbegränsningar utgör således ett absolut hinder för en myndighet när det gäller dess möjligheter att sammanställa uppgifter för behov både i den egna verksamheten och i fråga om en begäran från en enskild inom ramen för dennes rätt att ta del av allmänna handlingar enligt bestämmelserna i 2 kap. TF. Det finns därför anledning att överväga om det i passdatalagen bör finnas sådana sökbegränsningar (se SOU 2015:39 s. 322).
7.11.2. Känsliga personuppgifter
Förslag: Som sökbegrepp får inte användas uppgifter som
avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa. Förbudet mot att använda sådana uppgifter som sökbegrepp som leder till att uppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa sammanställs ska inte gälla vid sökning i en viss handling eller i ett visst ärende. En bestämmelse med denna innebörd ska därför införas i passdatalagen.
Skälen för förslaget: Många registerförfattningar innehåller
sökbegränsningar som tar sikte på just känsliga personuppgifter. Det brukar ibland uttryckas så att en känslig personuppgift inte får användas som sökbegrepp (se t.ex. prop. 2009/10:85 s. 155).
Ds 2015:44 Överväganden och förslag angående passverksamheten
Passmyndigheterna och Utrikesdepartementet har idag ett behov av att i passverksamheten kunna behandla vissa sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen, d.v.s. uppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa. I avsnitt 7.10 föreslår vi därför att uppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa får behandlas om uppgifterna är nödvändiga för handläggningen av ett ärende eller om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text. Detta talar för att det kan finnas skäl att i passdatalagen begränsa möjligheterna att göra sammanställningar av den information som samlats hos myndigheterna, såvitt avser sådana känsliga personuppgifter.
Enligt uppgift från Polismyndigheten saknas det behov av att i passverksamheten kunna söka efter och göra sammanställningar av känsliga uppgifter. I dagsläget saknas det dessutom möjlighet att söka på annat än personnummer, ärendenummer eller passnummer i RES och RES-UM.
Uppgifter som avslöjar politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör sexualliv får normalt inte behandlas enligt personuppgiftslagen. Vi har inte föreslagit att det ska förhålla sig på något annat sätt i passverksamheten. Av detta följer att inte heller sökning och sammanställning av sådana uppgifter är tillåtet i passverksamheten. På annat sätt förehåller det sig med uppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa, eftersom vi föreslår att sådana uppgifter får behandlas i passverksamhet om uppgifterna är nödvändiga för handläggningen av ett ärende eller om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text. Detta innebär att man i vart fall i teorin bl.a. skulle kunna göra sökningar och sammanställningar av personer med ursprung i ett annat land eller personer som har fått sin passansökan avslagen p.g.a. ett passhinder med koppling till dennes hälsa, t.ex. att han eller hon genomgår rättspsykiatrisk vård med särskild utskrivningsprövning. För att sådana sökningar och sammanställningar ska vara tillåtna krävs emellertid också att de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen är uppfyllda.
Sökningar och sammanställningar av personuppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa inne-
Överväganden och förslag angående passverksamheten Ds 2015:44
bär enligt vår mening särskilda integritetsrisker. Möjligheterna att göra sådana sökningar och sammanställningar begränsas emellertid av att passmyndigheterna och Utrikesdepartementet är förhindrade att göra sökningar som inte ryms inom de enligt passdatalagen föreslagna ändamålen för behandlingen. Av detta följer bl.a. att passhandläggare är förhindrade att göra sökningar som inte behövs för arbetet och att sökningar därför inte får göras av t.ex. ren nyfikenhet. I avsnitt 7.13 föreslår vi att den interna tillgången till personuppgifter ska vara begränsad till det varje tjänsteman behöver för att fullgöra sina arbetsuppgifter, vilket också begränsar möjligheten att göra sökningar och sammanställningar av sådana känsliga personuppgifter.
Trots ovanstående begränsningar i möjligheten att göra sökningar och sammanställningar av personuppgifter som avslöjar ras eller etniskt ursprung eller som rör hälsa finns det alltjämt vissa integritetsrisker förknippade med att tillåta passmyndigheterna och Utrikesdepartementet att använda sådana känsliga personuppgifter som sökbegrepp. Detta gäller inte minst eftersom allmänheten i sådana fall kan begära att passmyndigheterna och Utrikesdepartementet med stöd av offentlighetsprincipen ska använda dessa sökbegrepp för att sammanställa och lämna ut personuppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa. Vi anser därför att sådana känsliga uppgifter inte ska få användas som sökbegrepp i passverksamheten. En bestämmelse med detta innehåll bör därför införas i passdatalagen. Härigenom åstadkoms ett stärkt skydd för denna kategori av personuppgifter. Ur integritetsskyddssynpunkt anser vi att bestämmelsen bör ha lagform. Enligt passdatalagen kommer det därmed gälla ett förbud för passmyndigheterna och Utrikesdepartementet att som sökbegrepp använda uppgifter som leder till att känsliga personuppgifter sammanställs. Förbudet mot att använda uppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa som sökbegrepp, och som leder till att känsliga personuppgifter sammanställs, bör emellertid inte gälla vid sökning i en viss handling eller i ett visst ärende, eftersom myndigheterna kan ha behov av att kunna göra sådana sökningar. Detta bör också framgå av lagen.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.11.3. Personuppgifter om lagöverträdelser m.m.
Förslag: Som sökbegrepp får inte användas uppgifter om lag-
överträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förbudet mot att använda sådana uppgifter som sökbegrepp ska inte gälla vid sökning i en viss handling eller i ett visst ärende.
Skälen för förslaget: I passverksamheten behandlas regelbundet
uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, t.ex. i samband med passhindersundersökningar eller vid återkallelse av pass. Behandlingen är nödvändig för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra det uppdrag som åligger myndigheterna enligt passlagen. Av 21 § personuppgiftslagen följer att myndigheter har möjlighet att behandla sådana uppgifter under samma förutsättningar som gäller för övriga personuppgifter, dvs. att det är fråga om en tillåten behandling enligt 9 och 10 §§personuppgiftslagen. Behandlingen måste också ske för de angivna ändamålen. I avsnitt 7.10.2 har vi därför gjort bedömningen att det inte behöver införas några särskilda regler när det gäller att tillåta passmyndigheterna och Utrikesdepartementet att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Enligt uppgift från Polismyndigheten saknas det behov av att i passverksamheten kunna söka och göra sammanställningar av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som vi tidigare nämnt saknas det dessutom i dagsläget möjlighet att söka på annat än personnummer, ärendenummer eller passnummer i RES och RES-UM. Enligt vår mening finns det ändock skäl att i passdatalagen – i vart fall som ett förtydligande av vad som redan följer av 9 § personuppgiftslagen – begränsa möjligheterna att göra sammanställningar av den information som samlats hos myndigheterna. Ett sökförbud syftar ju som redan påpekats också till att utgöra ett särskilt skydd för den
Överväganden och förslag angående passverksamheten Ds 2015:44
aktuella kategorin personuppgifter i samband med att myndigheten fullgör sin skyldighet enligt 2 kap. 3 § TF att sammanställa uppgifter på begäran av en enskild.
Om ett sökförbud beträffande uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden inte införs skulle det kunna innebära att en myndighet vid begäran i princip är skyldig att göra en sammanställning av sådana uppgifter om en sådan begärs ut, så länge den kan göras med rutinbetonade åtgärder. Det förutsätter emellertid att uppgifterna inte skyddas av sekretess. Enligt 21 kap. 7 § offentlighet och sekretesslagen (OSL) gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Informationshanteringsutredningen har i förslaget till myndighetsdatalag (SOU 2015:39 s. 326 f.) gjort bedömningen att myndigheternas skyldighet enligt 2 kap. 3 § TF att göra sammanställningar av uppgifter på begäran av en enskild, inte medför att det finns ett behov av att införa ett generellt förbud mot att använda uppgifter om lagöverträdelser m.m. som sökbegrepp. Som skäl anges att 21 kap. 7 § OSL enligt deras uppfattning utgör ett tillräckligt skydd för denna typ av uppgifter.
Det är visserligen riktigt att det enligt 21 § personuppgiftslagen som huvudregel är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. och att bestämmelsen i 21 kap. 7 § OSL hindrar ett utlämnande som skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Bestämmelserna i 21 § personuppgiftslagen och 21 kap. 7 § OSL hindrar emellertid inte utlämnanden i enlighet med tryckfrihets- och yttrandefrihetsrätten, t.ex. utlämnanden till webbplatser som har utgivningsbevis och ansvarig utgivare, utlämnanden för journalistiska ändamål eller konstnärligt och litterärt skapande. Bestämmelserna hindrar inte heller utlämnanden för uteslutande privata ändamål.
För att förhindra sökning och sammanställning av uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden också i sådana fall, föreslår vi därför att sådana uppgifter inte får användas som sökbegrepp i passverksamheten. Härigenom åstadkommer man ett stärkt skydd för denna kategori av personuppgifter. Ur
Ds 2015:44 Överväganden och förslag angående passverksamheten
integritetsskyddsynpunkt anser vi att bestämmelsen bör ha lagform. Enligt passdatalagen kommer det därmed att gälla ett förbud för passmyndigheterna och Utrikesdepartementet att som sökbegrepp använda uppgifter som leder till att uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden sammanställs. Förbudet bör emellertid inte gälla vid sökning i en viss handling eller i ett visst ärende, eftersom myndigheterna kan ha behov av att kunna göra sådana sökningar.
7.11.4. Personnummer och samordningsnummer
Bedömning: Någon begränsning när det gäller passmyndighe-
ternas och Utrikesdepartementets möjligheter att använda personnummer och samordningsnummer som sökbegrepp behövs inte, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen (1998:204).
Skälen för bedömningen: Som vi redogjort för i avsnitt 7.10.3
får uppgifter om person- och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Som vi redan nämnt används person- och samordningsnummer av naturliga skäl i mycket stor utsträckning i passverksamheten, främst i syfte att fastställa den enskildes identitet. Den behandling av uppgifter om person- och samordningsnummer som idag sker i verksamhet avseende pass, sker således med stöd av bestämmelsen i 22 § personuppgiftslagen. Som vi redovisat i avsnitt 7.10.3 anser vi att de föreslagna ändamålsbestämmelserna i passdatalagen och 9 § personuppgiftslagen uppställer tillräckliga krav på behandling av personuppgifter om person- och samordningsnummer för att dessa ska ges ett tillfredsställande skydd när passmyndigheterna och Utrikesdepartementet behandlar denna typ av uppgifter.
Om ett person- eller samordningsnummer används som sökbegrepp innebär det att man, när detta är tekniskt möjligt, kan söka fram och sammanställa exempelvis alla ärenden om en viss person
Överväganden och förslag angående passverksamheten Ds 2015:44
hos en viss myndighet. Det kan konstateras att myndigheter allmänt sett får anses ha ett stort och i hög grad berättigat behov av att kunna göra den typen av sökningar och det kan inte anses typiskt sett integritetskänsligt att så sker. Enligt vår mening bör man därför inte införa ett generellt sökförbud för sådana personuppgifter för att förhindra utlämnanden enligt 2 kap. TF. Vi föreslår därför inte någon begränsning när det gäller passmyndigheternas och Utrikesdepartementets möjligheter att använda personuppgifter om personnummer och samordningsnummer som sökbegrepp, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
7.11.5. Fingeravtryck och ansiktsbilder samt biometrisk data
Bedömning och förslag: Av 6 b § passlagen (1978:302) följer
idag att fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 samma lag samt de biometriska data som kan tas fram ur dessa inte får användas vid sökning med hjälp av automatiserad behandling. Ovanstående sökbegränsningar bör istället regleras i passdatalagen. Bestämmelse ska därför överföras till passdatalagen.
Skälen för bedömningen och förslaget: Av 6 b § passlagen föl-
jer att fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 samma lag samt de biometriska data som kan tas fram ur dessa inte får användas vid sökning med hjälp av automatiserad behandling. Bakgrunden till och innebörden av bestämmelsen har utförligt redovisats i förarbetena till bestämmelsen (se prop. 2004/05:119, ”Ökad säkerhet i pass m.m.” och prop. 2008/09:132, ”Fingeravtryck i pass”). Vi ser ingen anledning att inom ramen för vårt uppdrag överväga en förändring av ovanstående bestämmelse. Enligt vår mening bör emellertid ovanstående sökbegränsning istället regleras i passdatalagen, tillsammans med de övriga sökbegränsningar som vi föreslår ska gälla i passverksamheten. Bestämmelsen ska därför överföras till passdatalagen.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.12. Bevarande och gallring
7.12.1. Allmän utgångspunkt
Enligt 2 kap. 1 § tryckfrihetsförordningen (TF) har varje svensk medborgare en grundlagsfäst rätt att ta del av myndigheters och andra offentliga organs allmänna handlingar. Av bestämmelsen framgår att syftet härmed är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar är ett av de viktigaste inslagen i offentlighetsprincipen, dvs. den grundsats som innebär att samhällsorganens verksamhet ska bedrivas under allmän insyn och kontroll. Handlingsoffentlighetens syften brukar, utöver vad som anges i 2 kap. 1 § TF, sammanfattningsvis sägas vara att garantera rättssäkerheten samt effektiviteten i förvaltningen och i folkstyret. Vad som är en allmän handling definieras i 2 kap. TF. I den elektroniska miljön brukar man tala om två handlingsslag, dels färdiga elektroniska handlingar, dels sammanställningar av uppgifter, s.k. potentiella handlingar. Utmärkande för det sistnämnda handlingsslaget är att varje tänkbar sammanställning av uppgifter ur en eller flera upptagningar kan vara en allmän handling alldeles oavsett om den vid ett givet tillfälle har eller inte har existerat tidigare i sammanställd form. För sammanställningar av uppgifter gäller dock enligt 2 kap. 3 § TF särskilda undantag från vad som konstituerar allmänna handlingar. För att offentlighetsprincipen i form av handlingsoffentlighet ska få genomslag och kunna utnyttjas i praktiken krävs att allmänna handlingar bevaras även efter det att deras omedelbara nytta i den löpande verksamheten har upphört. Myndigheterna har därför grundläggande skyldigheter att bevara sina allmänna handlingar i arkiv (SOU 2015:39 s. 523 f.).
7.12.2. Arkivlagstiftningen
I arkivlagen (1990:782) finns grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos statliga och kommunala myndigheter. Lagen är en ramlag som innehåller allmänna och övergripande bestämmelser om myndigheternas arkiv. Flertalet bestämmelser är teknikoberoende och avser såväl pappershandlingar som elektroniskt lagrade upptagningar. Lagen fylls
Överväganden och förslag angående passverksamheten Ds 2015:44
ut av arkivförordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna utfärdar. Riksarkivet är statlig arkivmyndighet.
I 3 § arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet och att de ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. En myndighets arkiv bildas av de allmänna handlingarna från myndigheternas verksamhet. Så snart ett ärende slutbehandlats ska de allmänna handlingarna arkiveras. Handlingar som inte tillhör ett ärende ska arkiveras så snart de justerats av myndigheten eller på annat sätt färdigställts. I diarier och journaler eller register och förteckningar som förs fortlöpande ska varje införd anteckning anses arkiverad i och med att den har gjorts (3 § arkivförordningen). Arkivering är ett teknikneutralt begrepp. Elektronisk arkivering av allmänna handlingar är alltså fullt möjligt och är på stark framväxt i den offentliga förvaltningen. För närvarande pågår flera myndighetsövergripande projekt rörande digital arkivering i s.k. e-arkiv (SOU 2015:39 s. 525).
Huvudprincipen enligt arkivlagen är att allmänna handlingar ska bevaras i myndigheternas arkiv. Denna huvudprincip gäller dock inte utan undantag. För elektronisk information gäller till en början ett undantag vid situationer då flera myndigheter har tillgång till samma upptagning. Om en upptagning för automatiserad behandling är tillgänglig för flera myndigheter så att den utgör en allmän handling hos alla dessa myndigheter, ska upptagningen bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § arkivlagen). Svarar statliga myndigheter för ungefär lika stora delar av upptagningen, får Riksarkivet meddela föreskrifter om hos vilken myndighet upptagningen ska bilda arkiv (4 § arkivförordningen).
Ett annat undantag från huvudregeln om bevarande är att allmänna handlingar enligt 10 § arkivlagen får gallras. Vid gallring ska emellertid alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Med forskning avses i arkivlagen inte enbart professionell, vetenskaplig forskning utan även amatörforskning, t.ex. släktforskning. Gallring i arkiv-
Ds 2015:44 Överväganden och förslag angående passverksamheten
hänseende sker framför allt av praktiska och ekonomiska skäl och syftar enligt arkivlagens motiv (prop. 1989/90:72) till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. En riktigt utförd gallring bör enligt ovan nämnda uttalanden i förarbetena till arkivlagen därmed leda till att arkiven blir mer överskådliga och effektiva som informationskällor (prop. 1989/90:72 s. 41 f.).
Gallring av traditionella pappershandlingar innebär att dessa förstörs fysiskt. När det gäller gallring av elektroniska upptagningar avses normalt att viss information raderas från databäraren. Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det ska vara fråga om gallring. Gallring kan exempelvis också ske genom att elektroniskt lagrad information skrivs ut på papper varefter den elektroniska versionen raderas. Ett annat exempel kan vara att en excel-fil med en samling uppgifter sparas i ett pdf-dokument som överförs till ett usb-minne, varefter excel-filen raderas från datorn. Även om möjligheten till insyn som sådan inte försvinner vid sådan partiell gallring – informationen finns ju kvar på pappret eller i pdf-dokumentet – så kan förutsättningarna för att söka fram eller sammanställa informationen påtagligt ha försämrats (SOU 2015:39 s. 526).
En statlig myndighet får inte på egen hand avgöra vilka allmänna handlingar som ska gallras ur dess arkiv. Allmänna handlingar hos myndigheten får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning (14 § arkivförordningen). Sådana särskilda gallringsföreskrifter finns ofta i registerförfattningar och gäller i stället för arkivlagens bestämmelser, oavsett om de föreskrivs i lag eller förordning. Detta följer av 10 § tredje stycket arkivlagen, enligt vilken arkivlagen är subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning.
7.12.3. Bestämmelser om bevarande och gallring i personuppgiftslagen
Enligt 9 § första stycket i personuppgiftslagen ska den personuppgiftsansvarige se till att personuppgifter inte bevaras under en
Överväganden och förslag angående passverksamheten Ds 2015:44
längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är alltså ändamålen för en personuppgiftsbehandling som avgör hur länge uppgifterna får bevaras. Ospecificerad lagring av personuppgifter som kan vara ”bra att ha” är således inte tillåten. Behövs uppgifterna inte längre för ändamålen ska de enligt förarbetena till personuppgiftslagen (SOU 1997:39 s. 356) förstöras eller avidentifieras. Uppgifterna får dock bevaras även därefter så länge det behövs för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket personuppgiftslagen). I det sistnämnda fallet får uppgifterna endast i undantagsfall användas för att vidta någon åtgärd i fråga om den registrerade (9 § fjärde stycket personuppgiftslagen).
För myndigheter gäller enligt 8 § andra stycket personuppgiftslagen särskilda regler om förhållandet till arkivbildning. Enligt 8 § andra stycket första meningen personuppgiftslagen hindrar bestämmelserna i lagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I förarbetena till bestämmelsen (prop. 1997/98:44) anfördes att myndigheters arkivering kan hänföras till vad dataskyddsdirektivet avser med ”historiskt, statistiskt eller vetenskapligt ändamål” varför arkivering inte behöver anges som ett uttryckligt ändamål när personuppgifter samlas in. Om en myndighets primära hantering av uppgifterna är tillåten, kan det inte anses oförenligt med den primära hanteringen att uppgifterna bevaras. Inte heller kan det anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring (prop. 1997/98:44 s. 47).
I 10 § arkivlagen föreskrivs att avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning ska ha företräde framför arkivlagens gallringsregler. Bestämmelsen syftar emellertid inte på personuppgiftslagens bestämmelser om hur länge personuppgifter får bevaras. Arkivlagstiftningen har därmed – i fråga om allmänna handlingar – företräde framför personuppgiftslagens bestämmelser om längsta bevarandetid.
I arkivlagen finns ingen allmän bestämmelse om hur de integritetsintressen som talar för gallring, ska vägas mot de intressen som anges i 3 § arkivlagen om arkivens syfte. I förarbetena till arkivlagen (prop. 1989/90:72 s. 32) påpekade föredragande departe-
Ds 2015:44 Överväganden och förslag angående passverksamheten
mentschef emellertid att man när det gäller bevarande av allmänna handlingar också måste föra in integritetsaspekten. Integritetshänsyn skulle därmed kunna leda till att material inte bevaras i den utsträckning som är önskvärd från andra synpunkter eller att tillgången till bevarat material begränsas. Sådana av integritetshänsyn påkallade avvikelser från huvudregeln om bevarande borde enligt departementschefen dock tas in i de särskilda lagar som reglerar integritetskänsliga akter och register. Reglerna kan därmed bäst anpassas efter vad det speciella materialet kräver. I förarbetena till arkivlagen (prop. 1989/90:72 s. 77) uttalades vidare att bestämmelser i registerförfattningar om gallringsskyldighet som regel bör ges i lag, men att undantag från detta bör kunna ske med tanke på att det kan finnas fall då en lagreglering enbart med hänsyn till en gallringsbestämmelse vore onödig.
7.12.4. Föreskrifter om bevarande och gallring i registerförfattningar
Som vi tidigare redogjort för uppstår oundvikligen integritetsrisker när stora mängder personuppgifter samlas hos myndigheter, i synnerhet då informationsteknikens utveckling inneburit ständigt förbättrade möjligheter till avancerade sökningar av personuppgifter på ganska enkla sätt. I flertalet registerförfattningar finns det därför bestämmelser om bevarande och gallring. Den normala principen för dessa bestämmelser är att presumtionen är omvänd i förhållande till arkivlagens huvudregel om bevarande av allmänna handlingar. I registerförfattningarna föreskrivs normalt att gallring ska ske på vissa sätt, dvs. utgångspunkten är obligatorisk gallring men undantag får föreskrivas. Det är vidare vanligt att principen om gallring som huvudregel återfinns i lagen, medan det i förordningar som utfärdats i anslutning till registerlagen har överlåtits åt Riksarkivet att meddela närmare föreskrifter om undantag från gallring. I den mån det i särförfattningar för myndigheters registerföring eller annan behandling av personuppgifter inte finns gallringsbestämmelser, tillämpas däremot arkivlagens bestämmelser om bevarande som huvudprincip och med närmare föreskrifter, som meddelats i anslutning till arkivlagen, om när gallring får ske. Utgångspunkten är då att gallring är en frivillig åtgärd för den arkivbildande myndigheten (SOU 2015:39 s. 534.).
Överväganden och förslag angående passverksamheten Ds 2015:44
Ett alternativ till gallring är att myndigheten – för att motverka sådana integritetsrisker som kan vara förknippade med elektroniskt bevarande av personuppgifter i allmänna handlingar – ser till att personuppgifter inte är lika åtkomliga när de inte längre är aktuella och behövs för den löpande verksamheten hos myndigheten. I vissa registerförfattningar har man därför infört bestämmelser om att personuppgifter ska avskiljas för fortsatt bevarande i myndigheternas elektroniska arkiv, åtskilda från ordinarie informationssamlingar i den pågående verksamheten och med en strikt begränsad intern åtkomst (SOU 2015:39 s. 548).
7.12.5. Bevarande och gallring av personuppgifter i passverksamhet
Bedömning och förslag: Uppgifter som behandlas i passverk-
samhet ska gallras när de inte längre behövs för de ändamål för vilka de behandlas.
Av 6 a § passlagen (1978:302) följer idag att fingeravtrycken enligt 6 § andra stycket 1 samma lag och de biometriska data som tas fram ur dessa och ur ansiktsbilden enligt 6 § andra stycket 1 passlagen omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits. Dessa gallringsföreskrifter ska överföras till passdatalagen.
Uppgifter i registret över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) ska gallras senast när den person som uppgifterna avser inte längre är intagen för vård enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård eller när en anmälan enligt 20 § 1 passlagen har återkallats.
Regeringen eller den myndighet som regeringen bestämmer ska kunna meddela föreskrifter om att gallring enligt första stycket ska ske senast vid en viss tidpunkt.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter att uppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov.
Ds 2015:44 Överväganden och förslag angående passverksamheten
Skälen för bedömningen och förslagen: I passverksamheten
behandlas en stor mängd personuppgifter automatiserat, vilket innebär att man med enkla medel kan söka och sammanställa information om en stor del av alla svenska medborgare. Detta ökar typiskt sett risken för integritetsintrång. Om inga särskilda gallringsbestämmelser föreslås i passdatalagen kommer arkivlagens huvudregel om bevarande att gälla. De bestämmelser om gallring som finns i eller följer av arkivlagen anger när gallring får ske och framtvingar alltså inte gallring. När sådana gallringsbestämmelser meddelas är det intresset av offentlighet och insyn som styr frågan om gallring. Arkivlagens bestämmelser om bevarande och gallring syftar således inte till att tillgodose integritetsskyddsintressen. Sekretessbestämmelser och bestämmelser om begränsningar i tillgången till uppgifter kan enligt vår mening inte fullt ut tillgodose integritetsskyddet och ersätta bestämmelser om bevarande och gallring i passverksamheten. Vi anser därför att det bör finnas regler om bevarande och gallring i den nya lagen. Vid utformningen av sådana bestämmelser måste en avvägning göras mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet. Vid utformningen av gallringsföreskrifter bör man också väga in vilka övriga integritetsskyddande bestämmelser som är tillämpliga, t.ex. begränsningar i fråga om behandling och tillgång till uppgifter. Som anförs i förarbetena (prop. 2009/10:85 s. 207 f.) till polisdatalagen (2010:361) är det inte heller alltid till fördel för en enskild att behandlade personuppgifter gallras.
Gallringsbegreppets betydelse i passdatalagen
I förslaget till Myndighetsdatalag (SOU 2015:39 s. 546 f.) anför Informationshanteringsutredningen att registerförfattningarnas regler om bevarande och gallring inte är enhetligt utformade och att sådana särskilda gallringsregler måste anpassas närmare till arkivlagstiftningens terminologi än vad som är fallet för närvarande. Enligt Informationshanteringsutredningen avser det arkivrättsliga begreppet gallring arkivvårdande åtgärder, dvs. åtgärder som innebär att handlingar inte ska vara kvar i ett myndighetsarkiv eller aldrig ska hamna där (omedelbar gallring). Informationshante-
Överväganden och förslag angående passverksamheten Ds 2015:44
ringsutredningen rekommenderar därför att den arkivrättsliga termen gallring används även i föreskrifter om att inte längre bevara personuppgifter i allmänna handlingar. Gallringsbegreppet bör enligt Informationshanteringsutredningen således enbart användas i den betydelse som begreppet har i arkivlagstiftningen. Vi ansluter oss till Informationshanteringsutredningens bedömning i denna del och använder därmed gallringsbegreppet i den betydelse som begreppet har i arkivlagstiftningen.
Gallringsbestämmelsernas utformning
Vid utformningen av gallringsbestämmelserna måste man beakta de krav som verksamheten ställer. Ur integritetssynpunkt är det emellertid viktigt att personuppgifter inte behandlas längre i passverksamheten än vad som är nödvändigt.
Gallringsföreskrifter kan t.ex. utformas på så sätt att det i författningen anges bestämda tidsramar inom vilka gallring ska ske. Ett alternativ till att ange bestämda gallringsfrister är att knyta an till personuppgiftslagens bestämmelse om att en uppgift inte ska bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Den senare modellen har i tidigare lagstiftningsarbete mött viss kritik från Lagrådet som har ansett regeln vara alltför vag och ifrågasatt om den tillför något utöver vad som följer av personuppgiftslagen (se t.ex. propositionen Behandling av personuppgifter inom socialförsäkringens administration [prop. 2002/03:135]). Regeringen har dock ansett att en gallringsregel som knyter an till ändamålet med behandlingen, istället för bestämda tidsfrister, är tillräcklig för att tillgodose integritetsskyddsintresset (prop. 2002/03:135 s. 165 f.).
Som vi redogjort för i avsnitt 6.2.11 har Riksarkivet meddelat föreskrifter om gallring av uppgifter i RES (RA-MS 2007:84). Enligt uppgifter från Polismyndigheten har det inte skett någon gallring av uppgifter i RES sedan RES togs i bruk år 2005. Under vårt arbete har det inte i alla delar kunnat klargöras hur lång tid olika uppgifter behöver behandlas, med hänsyn till ändamålen med behandlingen. Polismyndigheten har emellertid uppgett att – om tiden för bevarande av handlingar måste begränsas – handlingar i ett passärende bör bevaras i vart fall upp till ett år efter att passets gil-
Ds 2015:44 Överväganden och förslag angående passverksamheten
tighetstid gått ut eller ett år efter att passet makulerats. Uppgifterna skulle då finnas tillgängliga vid handläggning av ansökan om ett nytt pass inom ettårsfristen. Hos Polismyndigheten finns ett pågående ärende där frågan om gallring av uppgifter i RES ses över (ärende A151.154/2015).
Mot bakgrund av att Polismyndigheten inte har kunnat lämna några exakta besked om hur länge det finns behov av att behandla olika personuppgifter i passverksamheten och det dessutom hos Polismyndigheten finns ett pågående ärende där frågan ses över, föreslår vi att det i passdatalagen införs en ändamålsanknuten gallringsbestämmelse. Vårt förslag till gallringsbestämmelse innebär således att uppgifter i passverksamheten som huvudregel ska gallras när de inte längre behövs för att passmyndigheterna och Utrikesdepartementet ska kunna fullgöra de uppgifter som myndigheterna ansvarar för enligt passlagen, dvs. de primära ändamålen. Denna huvudregel bör enligt vår mening kompletteras med i lagen föreskrivna fasta tidsfrister för gallring, i den mån det finns förutsättningar för det. Eftersom gallringsbestämmelser med bestämda tidsfrister får anses innebära tydligare och mer konkreta krav på gallring än den föreslagna huvudregeln bör det i passdatalagen också anges att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att gallring ska ske senast vid en viss tidpunkt.
För att tillgodose intresset av offentlighet och insyn bör regeringen eller den myndighet som regeringen bestämmer, utan hinder av bestämmelser om gallring, få meddela föreskrifter om att uppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov.
I registerförfattningar är det vanligt att det stadgas att det är personuppgifter som ska gallras. Enligt Informationshanteringsutredningen (SOU 2015:39 s. 541) kan det därmed uppstå ett glapp mellan vad som ska ske med personuppgifter respektive vad som får ske med uppgifter om sakförhållanden m.m. som rimligen inte kan anses vara personuppgifter och som kan tänkas förekomma i samma handling eller upptagning. Om en gallringsbestämmelse utformas på sådant sätt att det är personuppgifter som ska gallras – och det i övrigt saknas gallringsföreskrifter för att gallra även övriga uppgifter – menar Informationshanteringsutredningen att
Överväganden och förslag angående passverksamheten Ds 2015:44
allmänna handlingar torde få gallras genom att avidentifieras, vilket kan antas vara praktiskt komplicerat och kostsamt. Informationshanteringsutredningen anför vidare att det under alla förhållanden inte förefaller vara särskilt ändamålsenligt med bestämmelser om gallring enbart av personuppgifter som förekommer i färdiga elektroniska handlingar, t.ex. inlagor som skannats in för lagring i ett elektroniskt ärendesystem. Vi instämmer i denna bedömning och föreslår därför att gallring, när gallring ska ske i passverksamhet, ska omfatta även andra uppgifter än personuppgifter.
Särskilt om bevarandet av uppgifter i passregistret
Som vi redogjort för i avsnitt 7.9 innehåller passregistret bl.a. uppgifter om passinnehavarens fullständiga namn, personnummer, kön, födelseort, i längd, och ansiktsbild. För uppgifter i passregistret finns idag inga bestämmelser om gallring, varför uppgifterna ska bevaras.
Uppgifterna i registret är normalt inte känsliga. Av naturliga skäl har passmyndigheterna behov av att kunna behandla uppgifterna i registret även sedan ett passärende avslutats, t.ex. som kontrollunderlag vid kommande ansökningar om pass eller vid återkallelse av pass. Det kan också finnas skäl att bevara uppgifter i passregistret så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov. Enligt vår bedömning bör därför utgångspunkten också enligt passdatalagen vara att uppgifterna i passregistret ska bevaras.
Särskilda gallringsbestämmelser för uppgifter i registret över omständigheter som kräver passtillstånd
Enligt 23 § passförordningen ska Polismyndigheten föra ett register över omständigheter som avses i 20 § 1 och 3 passlagen. Registret förs i RES. De omständigheter som avses är dels anmälan av chefsöverläkare om att det krävs passtillstånd för en person som genomgår psykiatrisk tvångsvård eller rättspsykiatrisk vård (20 § 1 passlagen), dels begäran om att pass ska återkallas beträffande en person som bereds sådan vård (20 § 3 passlagen).
Ds 2015:44 Överväganden och förslag angående passverksamheten
I registret finns enligt Polismyndigheten uppgift om namn och personnummer på de personer som är aktuella, anteckningsruta, registreringsdatum samt uppgift om vem som registrerat uppgiften samt handläggar- och myndighetskod. De handlingar som är aktuella skannas inte in i ärendehanteringssystemet utan diarieförs i Polismyndighetens allmänna diarium och arkiveras i det allmänna ärendets akt. Enligt uppgift från Polismyndigheten finns det emellertid inte någon registrerad i registret i dagsläget.
Uppgifter i registret över omständigheter som kräver passtillstånd är enligt vår mening särskilt känsliga och bör gallras så snart de inte längre behövs. Eftersom passtillstånd i de situationer som nu är aktuella endast krävs för den som är intagen för vård enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård, torde de uppgifter om en person som förekommer i registret över omständigheter som kräver passtillstånd helt sakna relevans sedan patienten skrivits ut från vårdinrättningen. Enligt 19 § passförordningen ska chefsöverläkaren återkalla en anmälan om att det krävs passtillstånd för en person, när de omständigheter som har föranlett anmälan inte längre finns. Om chefsöverläkaren återkallar anmälan för en person medan han eller hon alltjämt är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård torde uppgifterna i registret avseende den person som anmälan avsett helt sakna relevans redan vid tidpunkten för återkallelsen. För att det inte ska råda några tveksamheter om när uppgifterna i registret över omständigheter som kräver passtillstånd senast ska gallras, föreslår vi att en bestämmelse med ovanstående innebörd införs i passdatalagen. Av bestämmelsen ska det således framgå att uppgifter i registret över omständigheter som avses i 20 § 1 och 3 passlagen ska gallras senast när den person som uppgifterna avser inte längre är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård eller när en anmälan enligt 20 § 1 passlagen har återkallats.
För att Polismyndigheten ska få kännedom om när en person inte längre är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård – varvid uppgifterna om honom eller henne ska gallras ur registret över omständigheter som kräver passtillstånd – föreslår vi att det i passförordningen införs bestämmelser enligt vilka Socialstyrelsen och chefsöverläkaren
Överväganden och förslag angående passverksamheten Ds 2015:44
åläggs att underrätta Polismyndigheten när personen inte längre bereds sådan vård. Underrättelseskyldigheten bör enligt vår mening åligga chefsöverläkaren i de fall då passtillstånd tidigare fodrats enligt 20 § 1 passlagen. På motsvarande sätt bör underrättelseskyldigheten åligga Socialstyrelsen i de fall då passtillstånd tidigare krävts på grund av bestämmelsen i 20 § 3 passlagen.
Särskilda gallringsbestämmelser för fingeravtryck och ansiktsbilder samt biometrisk data
Av 6 a § passlagen följer idag att fingeravtrycken enligt 6 § andra stycket 1 samma lag och de biometriska data som tas fram ur dessa och ur ansiktsbilden enligt samma bestämmelse omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits. Bakgrunden till bestämmelsen har utförligt redovisats i förarbetena till bestämmelsen (prop. 2004/05:119, ”Ökad säkerhet i pass m.m.” och prop. 2008/09:132 ”Fingeravtryck i pass”). Vi ser ingen anledning att inom ramen för vårt uppdrag överväga en förändring av ovanstående bestämmelse. Enligt vår mening bör emellertid ovanstående gallringsföreskrift istället överföras till passdatalagen, där det kommer att finnas andra föreskrifter om gallring m.m.
Det ankommer på Polismyndigheten att i övrigt konkretisera när uppgifter som behandlas i passverksamheten inte längre behövs
Vårt förslag till gallringsbestämmelser innebär att uppgifter som behandlas i passverksamheten som huvudregel ska gallras så snart uppgiften inte längre behövs för något av de ändamål som den behandlas för. Frågan är vad detta innebär rent konkret.
Som vi nämnt ovan har det under vårt arbete inte i alla delar kunnat klargöras hur länge olika uppgifter behöver behandlas i passverksamheten med hänsyn till ändamålen med behandlingen. Enligt uppgift från Polismyndigheten torde det från verksamhetssynpunkt sällan finnas något behov av att bevara olika uppgifter i ett passärende – med undantag för uppgifterna i passregistret och registret över omständigheter som kräver passtillstånd – sedan ärendet avslutats, dvs. när ansökan bifallits och passet lämnats ut
Ds 2015:44 Överväganden och förslag angående passverksamheten
alternativ makulerats eller när ett avslagsbeslut vunnit laga kraft. Detta innebär att uppgifterna i praktiken skulle kunna gallras så snart ärendet avslutats. Polismyndigheten har emellertid uppgett att det ibland kan finnas behov av att bevara vissa uppgifter i ett ärende även sedan ärendet avslutades, t.ex. uppgifter av betydelse för bedömningen i en medborgarskapsutredning eller i ett återkallelseärende. Enligt Polismyndigheten kan det vidare finnas ett behov av att bevara uppgifter i ansökningsärenden för att motverka missbruk av svenska pass. Information som lämnats i samband med ansökan av pass, av en person som har ansökt om ett stort antal resehandlingar under en period, kan t.ex. vara av värde både när det gäller att motverka missbruk av svenska resehandlingar och vid utredning av brott såsom t.ex. missbruk av urkund.
Polismyndigheten har således inte kunnat lämna några exakta besked om hur länge det finns behov av att behandla olika personuppgifter i passverksamheten. Som vi redan nämnt pågår ett arbete hos Polismyndigheten där gallringen av uppgifter i RES ses över (ärende A151.154/2015). Vi anser att det bör ankomma på Polismyndigheten att i samband med detta arbete ta ställning till hur länge det finns behov av att behandla olika uppgifter i passverksamheten. Polismyndigheten bör vidare – i verkställighetsföreskrifter eller i annan ordning – konkretisera när vissa uppgifter inte längre behövs, med hänsyn till ändamålen med behandlingen. Nedan följer ett exempel på uppgifter i passverksamheten för vilka det bör gå att utforma närmare föreskrifter om när uppgifterna ska gallras.
Som vi redogjort för under avsnitt 4.2.3 framgår det av 8 § passlagen att förundersökningsledaren ska underrättas om att sökanden är misstänkt för brott, på vilket lägst sex månaders fängelse kan följa. Underrättelsen och förundersökningsledarens svar skannas - när det inkommer till Polismyndigheten – och sparas i RES som bilaga till den aktuella passansökan. Enligt 13 § lagen (1998:621) om misstankeregister ska en uppgift i det registret gallras om en förundersökning har avslutats utan att åtal väckts med anledning av misstanken, om åtal som har väckts med anledning av misstanken har lagts ned, om domstol har meddelat dom eller beslut som vunnit laga kraft med anledning av misstanken eller den misstänkte har godkänt strafföreläggande som har utfärdats i anledning av misstanken eller när en begäran om överlämnande eller utlämning
Överväganden och förslag angående passverksamheten Ds 2015:44
har avslagits eller, om den har bifallits, överlämnandet eller utlämningen har verkställts. Om uppgiften enligt ovan i stället förekommer i en sådan underrättelse till förundersökningsledaren enligt 8 § passlagen gallras uppgiften långt senare i RES än i misstankeregistret. Detta är enligt vår mening inte rimligt. Uppgifter som rör misstanke om brottslig gärning bör gallras så snart de inte behövs. En passhinderundersökning ska göras utifrån de förhållanden som är aktuella när passansökan sker. Huruvida sökanden vid en tidigare tidpunkt varit misstänkt för brott saknar därmed relevans för prövning av ansökan. När uppgifter om misstanke om brottslig gärning förekommer i ett ansökningsärende, torde passmyndigheterna och Utrikesdepartementet således sakna behov av uppgiften sedan ansökan bifallits, inte fullföljs eller av annan anledning måste makuleras. Vidare torde det i passverksamhet saknas behov av uppgifter om misstanke om brottslig gärning sedan ett beslut om att en passansökan ska avslås har vunnit laga kraft. Polismyndigheten bör därmed med stöd av bemyndigandet i föreslaget till passdataförordning kunna klargöra när uppgifter om brottsmisstankar bör gallras. På motsvarande sätt torde det förhålla sig med övriga omständigheter som utgör passhinder eller innebär att passtillstånd krävs, såsom exempelvis uppgift om brottslig belastning eller att en person är intagen för psykiatrisk tvångsvård (se 7 § 3–11 passlagen).
7.13. Tillgången till personuppgifter
Förslag: Tillgången till personuppgifter ska alltid begränsas till
vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. En bestämmelse om detta ska införas i passdatalagen. Regeringen eller den myndighet som regeringen bestämmer ska kunna meddela närmare föreskrifter om tillgången till personuppgifter.
Skälen för förslaget: Stora informationsmängder som är sam-
lade så att uppgifter enkelt är sökbara på elektronisk väg utgör – som vi tidigare pekat på – allmänt sett en betydande risk för intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det rör sig om känsliga uppgifter. Risken påver-
Ds 2015:44 Överväganden och förslag angående passverksamheten
kas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem.
Vi har ovan föreslagit att personuppgifter får behandlas endast om det behövs för att fullgöra passmyndigheternas och Utrikesdepartementets uppgifter enligt passlagen. I 9 § personuppgiftslagen uppställs vidare vissa grundlaggande krav på all behandling av personuppgifter som omfattas av lagen.
Som vi redogjort för i kapitel 6 förekommer det att känsliga personuppgifter behandlas i passverksamheten. För att få tillgång till uppgifter i RES och RES-UM krävs behörighet till systemet. Som vi redogjort för i avsnitt 6.2.12 är behörigheten till RES inom Polismyndigheten utformad utifrån de olika behov som föreligger för olika yrkeskategorier inom myndigheten, t.ex. systemadministratör, IT-tekniker, gränskontrollanter, handläggare och ekonomer m.m. Enligt uppgift från Polismyndigheten har cirka 25 880 personer någon typ av behörighet i RES. Av dessa har majoriteten endast behörighet att läsa viss information i RES, utan att själva kunna registrera eller ändra uppgifter i systemet. Av ovanstående personer är emellertid 1 365 passhandläggare hos Polismyndigheten med full behörighet att skriva och läsa resehandlingar och ansökningar samt hantera sekretessbelagd information. Som vi också redogjort för i avsnitt 6.2.12 finns det ca 70 utlandsmyndigheter som är passmyndigheter utomlands och som har tillgång till RES-UM. På utlandsmyndigheterna arbetar dels utsänd personal från Regeringskansliet, Migrationsverket och Sida, dels lokalt anställd personal. I princip har alla utsända behörighet att utfärda pass, men får inte göra det utan utbildning och personlig kod till RES-UM. Under vissa förutsättningar kan också lokalt anställd personal ges tillgång till RES-UM. Därtill finns det vid Protokollet på Utrikesdepartementet anställda som har behörighet till RES-UM, för att kunna handlägga ärenden om tjänste- och diplomatpass. Den personliga koden till RES-UM utfärdas av Migrationsverket. Enligt uppgift från Migrationsverket har sammanlagt ca 450 anställda vid utlandsmyndigheterna och Utrikesdepartementet en sådan kod.
Med hänsyn till dels att det i passverksamheten förekommer personuppgifter av känslig karaktär, dels det stora antalet personer som har tillgång till uppgifterna, anser vi att det är av stor betydelse från integritetsskyddssynpunkt att det av passdatalagen uttryckligen framgår att enbart de som behöver uppgifter för att fullgöra
Överväganden och förslag angående passverksamheten Ds 2015:44
sitt arbete ska ha tillgång till dem. Genom att bestämmelsen ges lagform torde man också öka spridningen av dess innehåll. Av det ovanstående följer att passmyndigheterna och Utrikesdepartementet ska organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. Bestämmelsen får också till följd att enskilda tjänstemän blir förhindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete. Modern teknik gör det enklare att organisera verksamheten så att tillgången till uppgifter som behandlas automatiserat begränsas på ett lämpligt sätt. Detta bör även beaktas vid utvecklingen av framtida datasystem för verksamhet avseende pass. En enskild tjänstemans åtkomst till personuppgifter (behörighet) kan knytas till viss information i stället för till olika register. Därmed kan tillgången till information om en person eller uppgifter knutna till en person begränsas med utgångspunkt från tjänstemannens arbetsuppgifter. De mest känsliga uppgifterna kommer med en sådan ordning att lättare kunna avgränsas och omges av extra integritets- och säkerhetsskydd. Vidare kommer kunskapen om och kontrollen av varje tjänstemans informationstillgång att öka. På förhand bestämda behörigheter som avgör tillgången till uppgifter kan utarbetas. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter. Som exempel kan nämnas att ärenden avseende pass – till följd av en passhindersundersökning – kan innehålla uppgifter om t.ex. misstanke eller lagföring för brott. För att begränsa tillgången till sådana känsligare uppgifter skulle man till exempel kunna bestämma att endast vissa befattningshavare är behöriga att göra passhindersundersökningar sedan RES markerat att ett sådant hinder eventuellt föreligger. Härigenom skulle det antal passhandläggare som är behöriga att behandla den typen av uppgifter kraftigt begränsas.
Den föreslagna bestämmelsen om tillgång till personuppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. För att en person ska få tillgång till personuppgifter i passverksamhet ska det särskilt beaktas att han eller hon har behov av uppgifterna och har fått tillräcklig utbildning och erfarenhet för att kunna hantera uppgifterna korrekt. Det är därefter passmyndigheternas och Utrikesdepartementets uppgift att, utifrån respektive myndighets organi-
Ds 2015:44 Överväganden och förslag angående passverksamheten
sation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. För att kunna säkerställa detta finns behov av närmare föreskrifter på området. Det bör därför föras in en bestämmelse i passdatalagen, som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.
7.14. Utlämnande av personuppgifter
7.14.1. Allmänt om behovet av bestämmelser om utlämnande av personuppgifter
I registerförfattningar är det vanligt att man anger för vilka sekundära ändamål personuppgiftsbehandling får ske, t.ex. behandling för olika typer av utlämnande av personuppgifter. Detta då det kan följa av lag eller förordning att en myndighet har en skyldighet att lämna ut uppgifter till en annan myndighet. Sådana bestämmelser bryter den sekretess som kan gälla mellan myndigheterna.
7.14.2. Elektroniska utlämnandeformer
Personuppgifter kan lämnas ut på olika sätt; muntligen, i pappersform eller i elektronisk form till en extern mottagare. Personuppgiftslagen (1998:204) innehåller inte några särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form istället för på papper. I lagen ställs det däremot krav på att behandlingen ska vara tillräckligt säker i förhållande till hur integritetskänsliga uppgifterna som ska lämnas ut är. Av 31 § nämnda lag följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av bl.a. de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna och de särskilda risker som finns med behandlingen av personuppgifter. Även de grundläggande kraven i 9 § personuppgiftslagen anses innebära begränsningar i möjligheten att lämna ut uppgifter.
Överväganden och förslag angående passverksamheten Ds 2015:44
Flertalet registerförfattningar innehåller bestämmelser där det framgår både i vilken utsträckning personuppgifter får behandlas genom att lämnas ut och när de får lämnas ut i elektronisk form. I förarbetena till Patientdatalagen (2008:355) (prop. 2007/08:126 s. 73) anges att motivet för en sådan särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång. I regel innebär elektroniskt utlämnande i någon form att mottagaren efter utlämnandet har större möjligheter att bearbeta och sprida informationen än om utlämnandet skett i pappersform. De elektroniska utlämnandeformerna saknar legala definitioner och inrymmer i sig ett stort antal variationer såsom användning av epost, direktöverföring mellan elektroniska informationssystem via kommunikationsnät eller genom att mottagaren själv ges möjlighet att bereda sig elektronisk tillgång till den utlämnande aktörens databas eller register. De termer som ofta används i lagstiftningssammanhang för elektroniskt utlämnande är utlämnande på medium för automatiserad behandling och direktåtkomst (se SOU 2012:90 s. 54.).
Ett utlämnande på medium för automatiserad behandling kan t.ex. innebära att elektronisk information överförs via e-post, genom utlämnande av uppgifter på diskett, cd-rom, DVD, USBminne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. I sådana fall tar den utlämnande myndigheten i varje enskilt fall ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren.
Av ovanstående olika varianter av elektroniskt utlämnande är direktåtkomst den mest känsliga. Även utlämnande av personuppgifter på medium för automatiserad behandling innebär emellertid särskilda risker från integritetssynpunkt. Sådant utlämnande innebär nämligen som regel att informationen lämnas ut på ett sådant sätt att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. På så vis ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd.
Ds 2015:44 Överväganden och förslag angående passverksamheten
7.14.3. Utlämnande av personuppgifter i passverksamheten
Bedömning och förslag: Enligt 23 § andra stycket passförord-
ningen (1979:664) ska Polismyndigheten på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. Bestämmelsen ska överföras till passdatalagen.
Skälen för bedömningen och förslaget: Enligt 23 § andra
stycket passförordningen ska Polismyndigheten på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. För fotografierna i passregistret råder normalt en presumtion för sekretess enligt 6 § offentlighets- och sekretessförordningen (2009:641). I 23 § andra stycket passförordningen har man således infört en sekretessbrytande bestämmelse, enligt vilken Polismyndigheten på begäran ska lämna ut fotografier till ovan angivna myndigheter. Det ingår inte i vårt uppdrag att överväga behovet av passfoton i verksamheten hos andra myndigheter än Polismyndigheten. Enligt vår mening bör ovanstående bestämmelse om utlämnande ha lagform av integritetsskyddshänsyn. Bestämmelsen bör också överföras till passdatalagen. På så sätt kommer skyldigheten att lämna ut fotografier från passregistret att regleras i samma författning som de bestämmelser som ålägger Polismyndigheten att föra registret samt de övriga bestämmelser som styr personuppgiftsbehandlingen. Bestämmelse om att Polismyndigheten på begäran ska lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten ska därför överföras till passdatalagen.
Överväganden och förslag angående passverksamheten Ds 2015:44
7.14.4. Utlämnande på medium för automatiserad behandling
Förslag: I passdatalagen ska det införas en bestämmelse av
vilken det framgår att om en personuppgift får lämnas ut, får det ske på medium för automatiserad behandling.
Skälen för förslaget: Personuppgiftslagen innehåller inte någon
bestämmelse som tar sikte på formen för utlämnandet. När de rättsliga förutsättningarna finns får således den utlämnande aktören välja metod för utlämnande. Detta eftersom utlämnande på medium för automatiserad behandling utgör en form av behandling av personuppgifter enligt 3 § personuppgiftslagen och som sådan är tillåten under förutsättning att utlämnandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
I många registerförfattningar regleras frågor om utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser i lag eller förordning. När det gäller möjligheterna till utlämnande på medium för automatiserad behandling hanteras detta på olika sätt i olika registerförfattningar. I vissa författningar är det uttryckligen reglerat att uppgifter får lämnas ut i denna form (se t.ex. 5 kap. 6 § patientdatalagen [2008:355]). I andra författningar har frågan lämnats oreglerad, medan det av motivuttalanden framgår att avsikten är att sådant utlämnande ska få ske (se t.ex. prop. 2000/01:33 s. 112 beträffande utlämnande av uppgifter från beskattningsdatabasen till andra myndigheter). Det förekommer också registerförfattningar som uttryckligen undantar möjligheten att lämna ut personuppgifter på medium för automatiserad behandling (se t.ex. 7 § lagen [2006:444] om passageraruppgifter).
Enligt 23 § andra stycket passförordningen ska Polismyndigheten på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. Vi har i ovanstående avsnitt föreslagit att denna skyldighet istället ska regleras i passdatalagen. Som vi redogjort för i avsnitt 6.2.8 och 7.8.4 är Polismyndigheten vidare skyldig att vidarebefordra uppgifter i RES om stulna eller förkomna pass till Schengen Information System (SIS) och Interpols databas över stulna och förkomna resehandlingar. I ovanstående situationer är Polismyndigheten
Ds 2015:44 Överväganden och förslag angående passverksamheten
således skyldig att lämna ut uppgifter till andra myndigheter. Av offentlighetsprincipen följer vidare att passmyndigheterna och Utrikesdepartementet i vissa situationer är skyldiga att lämna ut allmänna handlingar enligt 2 kap. tryckfrihetsförordningen.
Enligt vår mening bör passmyndigheterna och Utrikesdepartementet ha möjlighet att använda modern kommunikationsteknik för att utbyta information på elektronisk väg. Med tanke på de särskilda möjligheter att bearbeta utlämnad information som följer vid elektroniskt utlämnande, anser vi att det finns anledning att särskilt reglera denna utlämnandeform. Härtill kommer att man i olika registerförfattningar har valt olika lagstiftningstekniker, varför passdatalagen blir tydligare med en uttrycklig bestämmelse som medger utlämnanden på medium för automatiserad behandling. Ur integritetsskyddsaspekt anser vi att bestämmelsen bör ha lagform. En bestämmelse med denna innebörd bör därför införas i passdatalagen
Vi föreslår således att det i passdatalagen införs en bestämmelse med innebörden att om personuppgifter i passverksamheten får lämnas ut, får det ske på medium för automatiserad behandling. Som utgångspunkt bör det enligt bestämmelsen vara tillåtet med ett normalt informationsutbyte på elektronisk väg. Enstaka uppgifter och handlingar bör därmed få lämnas ut på medium för automatiserad behandling, t.ex. genom e-post, när förutsättningarna för ett utlämnande i övrigt är uppfyllda. När det däremot gäller möjligheterna att lämna ut större mängder uppgifter i elektronisk form, bör de närmare förutsättningarna för det anges genom verkställighetsföreskrifter.
7.15. Rättelse och skadestånd
7.15.1. Rättelse
Förslag: Personuppgiftslagens (1998:204) regler om rättelse ska
gälla för behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet. En bestämmelse om detta ska därför införas i lagen.
Överväganden och förslag angående passverksamheten Ds 2015:44
Skälen för förslaget: Enligt 28 § personuppgiftslagen är den
personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av den lagen. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifterna ska vara förknippade med information om att de är spärrade och anledningen till spärren. Åtgärden vidtas för att informationen inte ska lämnas ut till tredje man. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. Det är i princip den personuppgiftsansvarige som själv väljer korrigeringsmetod. Enligt förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 132 f.) kan det dock av annan lagstiftning eller av sakens natur följa att vissa korrigeringsmetoder inte kan användas. Sker rättelse ska den personuppgiftsansvarige också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mer betydande skada eller olägenhet för den registrerade kan undvikas genom en underrättelse. Någon sådan underrättelse behöver emellertid inte göras, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Personuppgiftslagens bestämmelser om rättelse av personuppgifter är endast tillämpliga när uppgifter behandlats i strid med personuppgiftslagen eller föreskrift som har utfärdats med stöd av den. Har personuppgifter behandlats på något annat sätt som endast står i strid med någon annan författning kan alltså inte rättelse ske med stöd av personuppgiftslagens bestämmelser. Enligt vår uppfattning bör den registrerade ha samma möjligheter att få personuppgifter rättade vid behandling av uppgifterna i strid med passdatalagen, som vid behandling i strid med personuppgiftslagen. En upplysning bör därför tas in i passdatalagen om att bestämmelsen i personuppgiftslagen om rättelse gäller vid behandling av personuppgifter i strid med den föreslagna lagen eller föreskrifter som har meddelats med stöd av den.
Det bör i detta sammanhang noteras att den personuppgiftsansvarige enligt 9 § första stycket h) personuppgiftslagen är skyldig att se till att alla rimliga åtgärder vidtas för att korrigera felaktiga eller ofullständiga personuppgifter med hänsyn till ändamålen med behandlingen. I 9 § första stycket e) och g) personuppgiftslagen
Ds 2015:44 Överväganden och förslag angående passverksamheten
ställs vidare krav på den personuppgiftsansvarige att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Den personuppgiftsansvarige måste således – oberoende av bestämmelserna i 28 § personuppgiftslagen om skyldighet att vidta rättelse på den registrerades begäran – självmant vara aktiv för att se till att behandlade uppgifter är korrekta.
7.15.2. Skadestånd
Förslag: Personuppgiftslagens (1998:204) regler om skadestånd
ska gälla för behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet. En bestämmelse om detta ska därför införas i lagen.
Skälen för förslaget: Enligt 48 § personuppgiftslagen ska den
personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207). I den mån en fråga inte regleras i personuppgiftslagen ska emellertid bestämmelserna i skadeståndslagen tillämpas. Detta gäller till exempel i fråga om beräkning av skadeståndets storlek. Skillnaden mellan bestämmelserna om skadestånd i personuppgiftslagen och i skadeståndslagen består framför allt i att ersättning enligt personuppgiftslagen kan utgå för ren förmögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning inte har begåtts. En annan viktig skillnad är att personuppgiftslagens skadeståndsbestämmelser bygger på ett i princip strikt skadeståndsansvar medan skadeståndsskyldighet enligt skadeståndslagen förutsätter ett oaktsamt handlande.
Skadeståndsbestämmelserna i personuppgiftslagen gäller bara vid behandling av personuppgifter i strid med bestämmelser i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid med andra författningar (se Apoteksdatalagen, SOU 2008:28 s. 92 f.). Enligt vår uppfattning bör den registrerade på
Överväganden och förslag angående passverksamheten Ds 2015:44
samma sätt som när det gäller rättelse ha samma möjligheter att få skadestånd vid behandling av personuppgifter i strid med passdatalagen som vid behandling i strid mot personuppgiftslagen. Vi föreslår därför att det i passdatalagen tas in en föreskrift om att bestämmelsen om skadestånd i personuppgiftslagen gäller vid behandling av personuppgifter i strid med den föreslagna lagen eller föreskrifter som har meddelats med stöd av den.
8. Överväganden och förslag angående dataskydd vid personuppgiftsbehandling i verksamhet avseende nationella identitetskort
8.1. Inledning
Som vi tidigare redogjort för har vi fått i uppdrag att undersöka och redovisa den personuppgiftsbehandling som sker i verksamhet rörande pass. Därutöver har vi också fått i uppdrag att undersöka och redovisa den personuppgiftsbehandling som sker i verksamhet avseende nationella identitetskort. Utifrån resultatet av den senare undersökningen ska vi överväga behovet av, och eventuellt föreslå, ändringar i personuppgiftsregleringen gällande de nationella identitetskorten. I följande avsnitt redovisar vi de författningsförändringar som vi anser är lämpliga. Vid vår redogörelse i detta kapitel har vi utgått från de överväganden som vi har gjort beträffande personuppgiftsregleringen gällande passen. För en mer omfattande redogörelse hänvisas därför till kapitel 7.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
8.2. Behovet av en ny särskild författningsreglering
Bedömning: Den personuppgiftsbehandling som sker i verk-
samheten avseende nationella identitetskort bör regleras i en ny särskild författning.
Förslag: Personuppgiftsbehandlingen i verksamheten avseende
nationella identitetskort ska regleras i en ny förordning, som benämns förordning om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Skälen för bedömningen och förslaget: Den behandling av
personuppgifter som sker i verksamhet avseende nationella identitetskort regleras huvudsakligen av personuppgiftslagen. Därutöver finns det en förhållandevis modern och detaljerad särreglering i 4 och 14–19 §§ förordningen (2005:661) om nationellt identitetskort. Av bestämmelserna framgår bl.a. att Polismyndigheten ska föra ett register över nationella identitetskort, att registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet för utfärdande av korten, att registret ska innehålla uppgifter om bl.a. sökandens namn, personnummer, längd, kön och ansiktsbild samt att uppgifterna i registret ska gallras senast sex månader efter att giltighetstiden för ett kort har gått ut.
Som framgått ovan har vi fått i uppdrag att överväga behovet av, och eventuellt föreslå, ändringar i personuppgiftsregleringen gällande de nationella identitetskorten. Vi har således inte uttryckligen fått i uppdrag att – såsom beträffande den personuppgiftsbehandling som sker i passverksamheten – lämna förslag till en ny särskild författningsreglering för den personuppgiftsbehandling som sker i verksamhet avseende nationella identitetskort. Vi behöver därför inledningsvis ta ställning till om en sådan ny särskild författningsreglering ändå bör föreslås.
Uppgifterna i registret över nationella identitetskort – är liksom uppgifterna i passregistret – nästan aldrig av känslig karaktär. Ärenden avseende nationella identitetskort innehåller i princip inte heller i övrigt några integritetskänsliga uppgifter. Detta beror främst på att passhinder inte utgör hinder mot utfärdandet av nationella identitetskort, vilket får till följd att det i verksamheten avseende nationella identitetskort saknas behov av att göra registerslagningar mot t.ex. misstankeregistret, belastningsregistret och
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
polisens dataregister för personefterlysningar. Därtill är betydligt färre personer registrerade i registret över identitetskorten jämfört med passregistret.
Möjligheten för passmyndigheterna att utfärda nationella identitetskort infördes i oktober 2005. Det året utfärdades endast 6 156 sådana identitetskort. Därefter har antalet utfärdade nationella identitetskort kraftigt ökat. Sedan år 2011 har det utfärdats cirka 145 000 – 196 000 nationella identitetskort varje år, vilket innebär att ett tämligen stort antal svenskar finns registrerade i registret över nationella identitetskort. Med hänsyn till det relativt stora antal personer som finns registrerade i registret över nationella identitetskort och det nära samband som verksamheten har med passverksamheten, anser vi att det finns ett behov av att genom en särskild författning tydliggöra vilken personuppgiftsbehandling som sker i verksamheten avseende nationella identitetskort, t.ex. i fråga om vilka uppgifter om enskilda som registreras. Vi föreslår därför att det införs en ny särskild författningsreglering för den personuppgiftsbehandling som sker i verksamheten avseende nationella identitetskort. Med hänsyn till att ärenden om nationella identitetskort nästan aldrig innehåller några integritetskänsliga uppgifter anser vi att det är tillräckligt att personuppgiftsbehandlingen regleras i en förordning. För att knyta an regleringen till förordningen om nationellt identitetskort bör den nya förordningen ges namnet förordning om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Förordningen bör vidare – i likhet med passdatalagen – vara teknikneutral eftersom det ger tillämparen ökade möjligheter att anpassa verksamheten i takt med att tekniska möjligheter utvecklas. Reglerna bör därtill ha särskilt fokus på att sätta ramarna för hur personuppgifter får behandlas och inte i onödan hindra en kontinuerlig och ändamålsenlig effektivisering av verksamheten. Förordningen bör vidare vara utformad på ett sådant sätt att den underlättar för passmyndigheterna att på ett rationellt sätt använda omfattande informationsteknik i sin verksamhet, t.ex. automatiserade databaser. Reglerna bör därtill vara utformade så att intresset av att upprätthålla ett ändamålsenligt skydd för den personliga integriteten tillvaratas på ett effektivt sätt. Det kan vidare vara lämpligt att regeringen i vissa fall delegerar rätten att meddela föreskrifter till Polismyndigheten, Regeringskansliet eller Riksarkivet.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
Som vi anfört ovan finns det redan en förhållandevis modern och detaljerad särreglering i 4 och 14–19 §§ förordningen om nationellt identitetskort. Bestämmelserna bör i huvudsak överföras till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort. Vi kommer nedan att analysera behovet av ytterligare bestämmelser som preciserar eller begränsar den personuppgiftsbehandling som bör få förekomma i verksamhet avseende nationella identitetskort. Vi kommer också att lämna förslag på de förändringar och kompletteringar som vi anser är nödvändiga. Dessutom kommer vi att lämna en kort redogörelse för de överväganden som ligger till grund för förslagen. Som vi nämnt ovan utgår vi vid denna redogörelse från de överväganden vi gjort beträffande personuppgiftsregleringen gällande pass. För en mer omfattande redogörelse för våra överväganden i olika avseenden hänvisas därför till kapitel 7.
8.3. Förordningens tillämpningsområde
Förslag: Förordningen ska tillämpas av passmyndigheterna vid
behandling av personuppgifter i deras verksamhet avseende nationella identitetskort. Med verksamhet avseende nationella identitetskort avses den verksamhet som passmyndigheterna ansvarar för enligt förordningen om nationellt identitetskort (2005:661).
Förordningen ska vara tillämplig i fråga om behandling av personuppgifter som är helt eller delvis automatiserad. Förordningen ska vidare vara tillämplig i fråga om den behandling som sker i manuella register, om uppgifter ingår i eller ska ingå i en strukturerad samling som är sökbar eller kan sammanställas enligt särskilda kriterier.
Skälen för förslagen: I förordningen om nationellt identitets-
kort slås fast – genom en hänvisning till passlagen – att nationella identitetskort utfärdas av passmyndighet. Polismyndigheten är passmyndighet inom riket. Utomlands fullgör ambassader och karriärkonsulat uppgifter som passmyndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer. Regeringen eller den myndighet som regeringen
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
bestämmer kan också bemyndiga ett honorärkonsulat att i begränsad utsträckning fullgöra uppgifter som passmyndighet. Passmyndigheterna, dvs. Polismyndigheten och utlandsmyndigheterna (ambassader och konsulat) ska därmed tillämpa förordningen i sin verksamhet avseende nationella identitetskort. Med verksamhet avseende nationella identitetskort avses i detta sammanhang den verksamhet som passmyndigheterna ansvarar för enligt förordningen om nationellt identitetskort. Som exempel på sådan verksamhet kan nämnas utfärdande och återkallelse av nationella identitetskort. Utanför lagens tillämpningsområde faller t.ex. Polismyndighetens brottsbekämpande verksamhet och utlandsmyndigheternas verksamhet beträffande viseringsärenden samt ärenden om uppehålls- och arbetstillstånd. Vidare undantas myndigheternas administrativa verksamhet från förordningens tillämpningsområde.
Vi anser att förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort – i likhet med personuppgiftslagen och passdatalagen – bör gälla för dels sådan behandling av personuppgifter som är helt eller delvis automatiserad, dels den behandling som sker i manuella register. Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Sådan behandling omfattas därmed inte heller av förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
8.4. Förordningens syfte
Bedömning och förslag: I förordningen om behandling av per-
sonuppgifter i verksamhet avseende nationellt identitetskort bör införas en bestämmelse som anger vilka syften förordningen har. Syftet med förordningen ska vara dels att ge passmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet avseende nationella identitetskort, dels att skydda människor mot att deras personliga integritet kränks vid behandlingen.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
Skälen för bedömningen och förslaget: I registerförfattningar
förekommer ibland bestämmelser som anger lagens eller förordningens övergripande syfte. Sådana bestämmelser saknar normalt egentligt materiellt innehåll, utan framstår mer som ett slags deklaration av de bakomliggande och övergripande målen. Av de skäl som vi redovisat i avsnitt 7.5 anser vi att det i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort bör tas in en bestämmelse som anger förordningens syfte.
Kravet på en effektiv och rättssäker verksamhet avseende nationella identitetskort förutsätter bl.a. att passmyndigheterna ges möjlighet att behandla personuppgifter på ett ändamålsenligt sätt med hjälp av väl fungerande informationsteknik. Samtidigt måste den enskildes personliga integritet skyddas vid behandlingen. Den nya förordningen bör därför utformas efter en avvägning mellan å ena sidan samhällets rättmätiga krav på en effektiv verksamhet avseende nationella identitetskort och å andra sidan intresset av skydd för den personliga integriteten. Passmyndigheternas behov av att kunna behandla vissa uppgifter måste alltså vägas mot behovet av skydd för den personliga integriteten. Båda dessa centrala utgångspunkter för behandling av personuppgifter i verksamheten avseende nationella identitetskort, bör enligt vår mening komma till uttryck i en bestämmelse som anger förordningens övergripande syfte.
8.5. Förordningens förhållande till annan författning
8.5.1. Förordningens förhållande till förordningen om nationellt identitetskort
Förslag: Det ska i förordningen om behandling av personupp-
gifter i verksamhet avseende nationellt identitetskort särskilt anges att termer och begrepp som förekommer i den förordningen har samma betydelse som i förordningen (2005:661) om nationellt identitetskort.
Skälen för förslaget: I avsnitt 8.3 har vi föreslagit att förord-
ningen om behandling av personuppgifter i verksamhet avseende
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
nationellt identitetskort ska tillämpas av passmyndigheterna vid deras personuppgiftsbehandling i verksamheten avseende nationella identitetskort. I förordningen om nationellt identitetskort slås fast – genom en hänvisning till passlagen – vilka myndigheter som utgör passmyndigheter. Vi föreslår att samma definition användas i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort. Det kan inte uteslutas att även andra termer och begrepp som finns definierade i förordningen om nationellt identitetskort kan komma att användas i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort. Även i sådana fall bör begreppen ha samma innebörd. För att det inte ska råda något tvivel om begreppens betydelse föreslår vi att det i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort uttryckligen anges att de termer och uttryck som används där har samma betydelse som i förordningen om nationellt identitetskort.
8.5.2. Förordningens förhållande till personuppgiftslagen
Bedömning och förslag: Förordningen ska gälla utöver person-
uppgiftslagen (1998:204). Detta innebär att personuppgiftslagen ska gälla vid behandling av personuppgifter i verksamhet avseende nationella identitetskort, om inte annat följer av förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort eller föreskrifter som har meddelats med stöd av den förordningen. I klargörande syfte bör det anges i förordningen.
Skälen för bedömningen och förslaget: En viktig fråga att ta
ställning till är i vilken omfattning som personuppgiftslagens bestämmelser ska vara tillämpliga på behandlingen av personuppgifter i verksamheten avseende nationella identitetskort. Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter hos passmyndigheterna om det inte finns avvikande bestämmelser i lag eller förordning. Av de skäl som vi redovisat i avsnitt 7.6.2 anser vi att förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort – i likhet med passdatalagen – bör gälla utöver personuppgiftslagen. I klargö-
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
rande syfte bör det uttryckligen framgå av förordningen. Vårt förslag innebär att förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort endast ska innehålla de viktigaste särbestämmelserna och förtydligandena som vi har bedömt att det finns behov av. Den nya förordningen bör således komplettera personuppgiftslagen vad avser frågor som är specifika för verksamheten avseende nationella identitetskort. De särregler som föreslås kommer att vara förhållandevis få. Förordningen blir därmed inte alltför omfattande. Vårt förslag till förordning om behandling av personuppgifter i verksamhet avseende nationellt identitetskort utgår från personuppgiftslagens begrepp och terminologi, och anger de undantag, preciseringar och förtydliganden i förhållande till personuppgiftslagen som vi bedömer är motiverade utifrån integritetsskyddssynpunkt.
8.6. Personuppgiftsansvar
8.6.1. Personuppgiftsansvaret för behandling av personuppgifter i registret över nationella identitetskort
Bedömning och förslag: Enligt 14 § förordningen (2005:661)
om nationellt identitetskort är Polismyndigheten personuppgiftsansvarig för behandling av personuppgifter i registret över nationella identitetskort. Det saknas skäl att ändra denna ordning. En bestämmelse med denna innebörd bör därför införas i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Skälen för bedömningen och förslaget: Enligt 14 § förord-
ningen om nationellt identitetskort ska Polismyndigheten med hjälp av automatiserad behandling föra ett register över nationella identitetskort. Enligt samma bestämmelse är myndigheten personuppgiftsansvarig för behandlingen av personuppgifter i registret. Vi föreslår inte någon ändring av Polismyndighetens skyldighet att föra ovan nämnda register (se avsnitt 8.8). Vi anser vidare att Polismyndigheten även i fortsättningen ska vara personuppgiftsansvarig för den behandling av personuppgifter som sker i registret. En bestämmelse med denna innebörd bör därför införas i förord-
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
ningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
8.6.2. Personuppgiftsansvaret för behandling av personuppgifter i övrigt i verksamheten avseende nationella identitetskort
Bedömning och förslag: Passmyndigheterna (dvs. Polismyn-
digheten och Utlandsmyndigheterna) ska vara personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför i verksamheten avseende nationella identitetskort. En bestämmelse med denna innebörd ska därför införas i den nya förordningen.
Skälen för bedömningen och förslaget: Förordningen om
behandling av personuppgifter i verksamhet avseende nationellt identitetskort reglerar den personuppgiftsbehandling som förekommer i såväl registret över nationella identitetskort, som verksamheten avseende nationella identitetskort i övrigt. En bestämmelse om personuppgiftsansvar på detta område bör därför inte begränsas till den personuppgiftsbehandling som sker i ovan nämnda register (jfr. avsnitt 7.7.3).
Som vi redogjort för ovan är Polismyndigheten personuppgiftsansvarig för den behandling av personuppgifter som idag sker i registret över nationella identitetskort. Vi har föreslagit att denna ordning ska bestå. I verksamheten avseende nationella identitetskort behandlas emellertid personuppgifter inte endast i ovan nämnda register, utan också i ärendehanteringssystemen RES och RES-UM. Förutom Polismyndigheten utfärdar också utlandsmyndigheterna (ambassader och konsulat) nationella identitetskort, varvid de behandlar personuppgifter av olika slag och även har tillgång till uppgifter i registret över nationella identitetskort. Polismyndigheten handlägger identitetskortsärenden i ärendehanteringssystemet RES, medan utlandsmyndigheterna istället använder ärendehanteringssystemet RES-UM. För en mer utförlig beskrivning av RES och RES-UM hänvisas till avsnitt 6.2.1.
Som vi redogjort för i avsnitt 7.7.3 är utgångspunkten vid fastställandet av personuppgiftsansvar att den som råder över den fak-
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
tiska behandlingen av personuppgifter också ska ha ansvaret för behandlingen. Denna grundsats ska samtidigt vägas mot vad som är mest lämpligt ur integritetssynpunkt. Av de skäl som vi redogjort för i avsnitt 7.7.3 beträffande personuppgiftsansvar i passverksamheten anser vi att det mesta talar för att låta respektive passmyndighet vara personuppgiftsansvarig också för den behandling av personuppgifter som myndigheten utför i verksamheten avseende nationella identitetskort. I förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort bör därför införas en bestämmelse av vilken det framgår att passmyndigheterna (dvs. Polismyndigheten och utlandsmyndigheterna) är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför i verksamheten avseende nationellt identitetskort.
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
8.7. Tillåten behandling av personuppgifter i verksamheten avseende nationella identitetskort
8.7.1. Ändamålen för behandling av personuppgifter i verksamheten avseende nationella identitetskort
Bedömning och förslag: I förordningen om behandling av per-
sonuppgifter i verksamhet avseende nationellt identitetskort ska anges för vilka ändamål behandling av personuppgifter får ske i den verksamhet som regleras i förordningen. Ändamålen ska delas in i primära och sekundära ändamål.
De primära ändamålen ska vara uttömmande angivna i förordningen och ska avse sådan behandling av personuppgifter som behövs för fullgörande av passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort (2005:661).
Vad gäller de sekundära ändamålen ska det i förordningen särskilt anges att personuppgifter, som behandlas för de primära ändamålen i verksamheten avseende nationella identitetskort, också får behandlas för kontroll av identitetsuppgifter och uppgifter om nationella identitetskort vid gränskontroll. Det ska också anges att sådana uppgifter även får behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten. I förordningen ska det vidare anges att personuppgifter som behandlas för de primära ändamålen också får behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning. Vid behandling av personuppgifter för andra sekundära ändamål än de i förordningen angivna ska den s.k. finalitetsprincipen tillämpas.
Skälen för bedömningen och förslagen: Enligt 14 § förord-
ningen om nationellt identitetskort ska Polismyndigheten föra ett register över nationella identitetskort med hjälp av automatiserad behandling. I 15 § samma förordning anges att registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet hos en passmyndighet för utfärdande av nationellt identitetskort. Någon bestämmelse genom vilken det slås fast för vilka ändamål passmyndigheterna i övrigt får behandla personuppgifter i verksamheten avseende nationella identitetskort finns emellertid
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
inte. En sådan ändamålsreglering skulle innebära dels att passmyndigheterna inte själva kan besluta fritt om för vilka ändamål som personuppgifter får behandlas i verksamheten avseende nationella identitetskort, dels att det blir tydligt vilka åtgärder som är tillåtna respektive otillåtna. I avsaknad av en sådan reglering får ändamålen med den behandling av personuppgifter som sker i verksamheten – utöver behandlingen av personuppgifter i registret över nationella identitetskort – istället utläsas indirekt av det uppdrag som passmyndigheterna har enligt förordningen om nationellt identitetskort. För att åstadkomma ett starkt integritetsskydd i verksamheten avseende nationella identitetskort anser vi att bestämmelsen i 15 § förordningen om nationellt identitetskort bör ersättas av ändamålsbestämmelser som tar sikte på den personuppgiftsbehandling som sker i verksamheten avseende nationella identitetskort, dvs. inte bara den behandling som sker i registret över nationella identitetskort.
Av de skäl som vi redovisar i avsnitt 7.8.4 bör ändamålen delas in i primära och sekundära ändamål. De primära ändamålen bör vara uttömmande angivna i förordningen och bör avse den behandling av personuppgifter som behövs för att passmyndigheterna ska kunna fullgöra de uppgifter som åligger myndigheterna enligt förordningen om nationellt identitetskort.
Beträffande de sekundära ändamålen bör det i förordningen särskilt anges att personuppgifter, som behandlas för de primära ändamålen, också får behandlas för kontroll av identitetsuppgifter och uppgifter om nationella identitetskort vid gränskontroll. Det ska också anges att sådana uppgifter även får behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten. I förordningen bör det vidare anges att sådana personuppgifter får behandlas för uppgiftslämnande i överensstämmelse med lag eller förordning. Vid behandling för andra sekundära ändamål än de i lagen angivna bör den s.k. finalitetsprincipen gälla (se 9 § första stycket d och andra stycket personuppgiftslagen). För att det inte ska råda något tvivel om att principen är tillämplig vid personuppgiftsbehandling i verksamheten avseende nationella identitetskort, anser vi att det i förordningen bör ske en hänvisning till bestämmelserna i personuppgiftslagen.
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
Passmyndigheternas uppdrag enligt förordningen om nationellt identitetskort
I avsnitt 8.3 föreslår vi att förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort ska tillämpas av passmyndigheterna vid myndigheternas behandling av personuppgifter i verksamheten avseende nationella identitetskort. Med verksamhet avseende nationella identitetskort avses i detta sammanhang den verksamhet som passmyndigheterna ansvarar för enligt förordningen om nationellt identitetskort. I den mån handläggningen av identitetskortsärendena kräver det måste passmyndigheterna ha möjlighet att samla in och vidarebehandla personuppgifter. Behovet styrs främst av regleringen i förordningen om nationellt identitetskort (2005:661). Då behovet kan variera över tid är det enligt vår mening inte lämpligt att i detalj ange för vilka ändamål personuppgifter ska få samlas in och vidarebehandlas i verksamheten avseende nationella identitetskort. Mot denna bakgrund anser vi att det i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort istället bör anges att passmyndigheterna får behandla (dvs. samla in eller vidarebehandla) personuppgifter om det behövs:
1. för att pröva ansökan om nationellt identitetskort,
2. för att pröva ärenden om återkallelse av nationella identitetskort,
3. för att utfärda, återkalla eller makulera nationella identitetskort,
4. för att omhänderta eller överlämna nationella identitetskort enligt 13 § förordningen om nationellt identitetskort (2005:661),
5. vid talan mot beslut i ärenden om nationella identitetskort, samt
6. för att i övrigt fullgöra passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort (2005:661).
Det saknas skäl att tillåta insamlande av personuppgifter för några andra ändamål. Den föreslagna bestämmelsen innebär således en uttömmande reglering av de primära ändamål för vilka personuppgifter får behandlas i verksamheten avseende nationella identitetskort.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
Kontroll av identitetsuppgifter och uppgifter om nationella identitetskort vid gränskontroll
Av 5 § passlagen (1978:302) följer att en svensk medborgare som huvudregel inte får resa ut ur riket utan att medföra giltigt pass. Enligt samma bestämmelse ska svenska medborgare som huvudregel också medföra giltigt pass vid resa in i riket. Från dessa huvudregeler finns ett antal undantag enligt vilka pass t.ex. inte behöver medföras vid resor inom Schengen och vid inresa från annan stat under förutsättning att det svenska medborgarskapet kan styrkas på annat sätt, exempelvis genom uppvisande av ett giltigt nationellt identitetskort. Polismyndigheten ska enligt 5 a § första stycket passlagen övervaka att bestämmelsen i 5 § följs. Av 5 a § tredje stycket passlagen följer vidare att den som i stället för pass medför ett nationellt identitetskort är skyldig att på begäran överlämna identitetskortet till en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket. Enligt samma bestämmelse följer också att kortinnehavaren är skyldig att låta befattningshavaren ta en bild i digitalt format av kortinnehavarens ansikte för kontroll av att denna bild motsvarar den ansiktsbild som finns sparad i identitetskortet.
Det finns således ett behov av att i samband med sådan gränskontroll kunna kontrollera identitetsuppgifter och uppgifter om identitetskort, t.ex. uppgifter om huruvida ett identitetskort är återkallat. Detta behov får anses väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde. I förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort bör det därför särskilt anges att personuppgifter, som får behandlas i verksamheten avseende nationellt identitetskort, också får behandlas för kontroll av identitetsuppgifter och uppgifter om identitetskort vid gränskontroll.
Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt myndighetens upprätthållande av den allmänna ordningen och säkerheten
Personuppgifter som behandlas i verksamheten avseende nationellt identitetskort används också i Polismyndighetens brottsförebyg-
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
gande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten. Enligt uppgift från Polismyndigheten använder polisen t.ex. fotografierna i registret över nationella identitetskort för att fastställa identiteten på en person, t.ex. i samband med identifiering av enskilda vid större olyckor, vid fotokonfrontationer och som ett led i spaningsarbete. Polismyndigheten har således ett behov av att, i sin brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten, kunna behandla sådana personuppgifter som behandlas i verksamheten avseende nationella identitetskort. Detta behov får anses väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde. Mot ovanstående bakgrund anser vi att det i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort särskilt bör anges att personuppgifter, som får behandlas i verksamheten avseende nationella identitetskort, också får behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen.
Utlämnande av uppgifter
Passmyndigheterna behöver i olika sammanhang kunna lämna ut information till myndigheter och andra utomstående. Detta för att fullgöra passmyndigheternas författningsreglerade skyldigheter att lämna ut vissa uppgifter eller handlingar (se närmare om detta i avsnitt 7.8.4). I samband med sådana utlämnanden behöver passmyndigheterna och Utrikesdepartementet kunna behandla personuppgifter automatiserat genom att söka och sammanställa uppgifter. Det behövs därmed en regel i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort som uttryckligen tillåter behandling för sådana sekundära ändamål. Av förordningen bör det därför framgå att personuppgifter, som får behandlas i verksamheten avseende nationella identitetskort, också får behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
8.7.2. Den enskildes inställning till personuppgiftsbehandlingen
Bedömning och förslag: Behandling av personuppgifter som är
tillåten enligt förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort får utföras även om den registrerade motsätter sig det. Detta bör uttryckligen framgå av förordningen.
Skälen för bedömningen och förslaget: Som vi redogjort för i
avsnitt 7.8.3 innehåller 10 § personuppgiftslagen en uttömmande uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten. Enligt huvudregeln är det tillåtet att behandla personuppgifter endast om den registrerade lämnat sitt samtycke. Härifrån finns det omfattande undantag (se vidare i avsnitt 7.8.3).
Ovan har vi föreslagit att passmyndigheterna ska få behandla personuppgifter i verksamheten avseende nationella identitetskort om det behövs för fullgörande av passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort. De behandlingar som ryms inom dessa ramar får anses vara nödvändiga för att passmyndigheterna ska kunna fullgöra sina rättsliga förpliktelser eller kunna utföra arbetsuppgifter av allmänt intresse. Det finns således rättsliga förutsättningar för att i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort tillåta att behandlingar sker utan den registrerades samtycke.
Mot den angivna bakgrunden bör passmyndigheterna tillåtas behandla personuppgifter utan den registrerades samtycke, så länge behandlingen sker i enlighet med bestämmelserna i den föreslagna förordningen och inom de ramar som uppställs genom de ändamålsbestämmelser som föreslås i avsnitt 8.7.1. En bestämmelse med motsvarande innehåll bör därför införas i den föreslagna förordningen (jfr. avsnitt 7.8.5).
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
8.8. Registret över nationella identitetskort
Förslag: Av 14 § förordningen (2005:661) om nationellt identi-
tetskort följer att Polismyndigheten med hjälp av automatiserad behandling ska föra ett register över nationella identitetskort. Bestämmelsen ska överföras till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
I förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort ska också anges vilka uppgifter som registret får innehålla.
Skälen för förslagen: Enligt 14 § förordningen om nationellt
identitetskort ska Polismyndigheten med hjälp av automatiserad behandling föra ett register över nationella identitetskort. Vi ser ingen anledning att inom ramen för vårt uppdrag föreslå att Polismyndighetens skyldighet att föra ovanstående register ska avskaffas. Enligt vår mening bör bestämmelsen emellertid föras över till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
I 15 § förordningen om nationellt identitetskort stadgas att registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet hos en passmyndighet för utfärdande av nationellt identitetskort. I avsnitt 8.7.1 har vi föreslagit att denna bestämmelse ska ersättas av ändamålsbestämmelser som tar sikte på den personuppgiftsbehandling som sker i hela verksamheten avseende nationella identitetskort, dvs. inte bara den behandling som sker i registret över nationella identitetskort. Enligt ändamålsbestämmelsen får endast sådana personuppgifter behandlas som behövs för fullgörande av passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort. Det gäller således även registret över nationella identitetskort
Från integritetsskyddssynpunkt är det viktigt att man klargör vilka uppgifter som registret över nationella identitetskort får innehålla. En sådan uppräkning finns i 16 § förordningen om nationellt identitetskort. Enligt uppgift från Polismyndigheten innehåller registret utöver de uppgifter som anges i bestämmelsen också uppgifter om sökandens födelseort, ärendenummer och beslut om att ett identitetskort har spärrats eller makulerats samt uppgift om vad som utgjort grund för ett sådant beslut. Uppgif-
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
terna motsvarar det primära ändamålet för personuppgiftsbehandlingen, dvs. uppgifter som behövs för fullgörande av passmyndigheternas uppdrag enligt förordningen om nationellt identitetskort. Det finns således ett verksamhetsmässigt behov av att behandla ovanstående personrelaterade uppgifter. Uppgifterna som registreras är i princip inte heller av känslig karaktär. Vi föreslår därför att det i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort uttömmande anges vilka personuppgifter som ska få registreras och behandlas i registret över nationella identitetskort, varvid även uppgifter om sökandens födelseort, ärendenummer m.m. ska anges. Härigenom möter vi verksamhetens behov samtidigt som integritetsskyddsaspekterna värnas.
8.9. Särskilda kategorier av personuppgifter
8.9.1. Känsliga personuppgifter
Bedömning: I verksamhet avseende nationella identitetskort
kan känsliga uppgifter, i form av uppgifter som avslöjar ras eller etniskt ursprung, förekomma. Någon särskild bestämmelse som tillåter behandling av sådana känsliga personuppgifter behöver dock inte införas i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort, eftersom behandlingen redan är tillåten enligt personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191). Det finns inte heller något behov av att införa en generell begränsning av passmyndigheternas möjlighet att behandla denna kategori av personuppgifter utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Skälen för bedömningen: Som vi redogjort för i avsnitt 7.10.1
utgör personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv känsliga personuppgifter i personuppgiftslagens mening (13 §). Enligt personuppgiftslagen är det som huvudregel förbjudet att
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
behandla sådana uppgifter. När känsliga personuppgifter behandlas kan det ske med stöd av den enskildes samtycke eller annars med stöd i lag (jfr 15–20 §§personuppgiftslagen). Behandling kan också ske med stöd av 8 § personuppgiftsförordningen enligt vilken känsliga uppgifter får hanteras av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
I verksamhet avseende nationella identitetskort behandlas normalt inte känsliga personuppgifter. Av 3 § andra stycket 2 förordningen om nationellt identitetskort följer att sökanden i samband med ansökan om nationellt identitetskort är skyldig att styrka sin identitet och sitt svenska medborgarskap. I samband härmed behandlas t.ex. uppgifter om sökandens namn och medborgarskap. Vid ansökan om nationellt identitetskort tas också ansiktsbilder på sökanden. I enlighet med vad som anförts i avsnitt 7.10.1 skulle ovanstående uppgifter i undantagsfall kunna avslöja en persons ras eller etniska ursprung. I avsikt att t.ex. styrka sitt svenska medborgarskap kan sökanden också komma att lämna ytterligare uppgifter till passmyndigheten som ensamt eller tillsammans med övriga uppgifter i ärendet, kan avslöja hans eller hennes ras eller etniska tillhörighet.
Mot bakgrund av det ovanstående gör vi bedömningen att man i verksamheten avseende nationellt identitetskort behandlar personuppgifter som kan avslöja någons ras eller etniska tillhörighet, det rör sig framförallt om sökandens namn och medborgarskap samt hans eller hennes ansiktsbild. Uppgifterna lämnas normalt av sökanden vid ansökningstillfället och behandlingen av uppgifterna torde därmed ske med hans eller hennes samtycke. I annat fall torde behandlingen kunna ske med stöd av 8 § personuppgiftsförordningen. Behandlingen av uppgifterna får därtill anses vara nödvändig för att passmyndigheterna ska kunna fullgöra de uppgifter som åligger dem enligt förordningen om nationellt identitetskort, varför behandlingen också får anses tillåten enligt de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen. Vi ser inget behov av att ytterligare begränsa passmyndigheternas möjlighet att behandla denna kategori av personuppgifter.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
8.9.2. Personuppgifter om lagöverträdelser m.m.
Bedömning: Personuppgifter om lagöverträdelser m.m.
behandlas inte i verksamhet avseende nationella identitetskort. Passmyndigheterna saknar också behov av att kunna behandla sådana uppgifter i denna verksamhet. Det finns inte heller något behov av att införa en generell begränsning av passmyndigheternas möjlighet att behandla denna kategori av personuppgifter, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Skälen för bedömningen: Passmyndigheterna behandlar inte
personuppgifter om lagöverträdelser m.m. i verksamhet avseende nationella identitetskort. Enligt uppgift från Polismyndigheten har passmyndigheterna inte heller något behov av att kunna behandla sådana uppgifter i den verksamheten. I avsnitt 8.7.1 har vi föreslagit att personuppgifter endast får behandlas i verksamhet avseende nationella identitetskort om det behövs för fullgörande av passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort. Då passmyndigheterna saknar behov av att behandla personuppgifter om lagöverträdelser m.m. i sin verksamhet avseende nationella identitetskort skulle en behandling av sådana uppgifter strida mot ändamålen för behandlingen och därmed också vara otillåten enligt 9 § personuppgiftslagen. Det finns således inget behov av att, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen, begränsa passmyndigheternas möjlighet att behandla denna kategori av personuppgifter. Vi föreslår därför inte heller någon sådan bestämmelse.
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
8.9.3. Personnummer och samordningsnummer
Bedömning: Med hänsyn till vikten av en säker identifiering
finns det regelmässigt ett behov av att behandla uppgifter om person- och samordningsnummer i verksamhet avseende nationella identitetskort. Någon särskild bestämmelse som tillåter detta behöver emellertid inte införas i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort, eftersom det redan följer av personuppgiftslagens (1998:204) bestämmelser. Det finns inte heller något behov av att införa en generell begränsning av passmyndigheternas möjlighet att behandla denna kategori av personuppgifter utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Skälen för bedömningen: Enligt 22 § personuppgiftslagen får
uppgifter om person- och samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. I verksamhet avseende nationella identitetskort används person- och samordningsnummer av naturliga skäl i mycket stor utsträckning, främst i syfte att fastställa den enskildes identitet. Att vikten av en säker identifiering kan utgöra ett berättigat ändamål får i det sammanhanget anses självklart. Den behandling av uppgifter om person- och samordningsnummer som idag sker i verksamhet avseende nationella identitetskort, sker således med stöd av bestämmelsen i 22 § personuppgiftslagen. Det behövs därför inte någon bestämmelse i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort som tillåter passmyndigheterna att behandla sådana uppgifter i sin verksamhet. Vi föreslår därför inte heller någon sådan bestämmelse. Enligt vår mening finns det inte heller något behov av att införa en generell begränsning av passmyndigheternas möjlighet att behandla denna kategori av personuppgifter utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
8.10. Sökbegränsningar
8.10.1. Känsliga personuppgifter
Förslag: Som sökbegrepp får inte användas uppgifter som
avslöjar ras eller etniskt ursprung. Förbudet mot att använda sådana uppgifter som sökbegrepp som leder till att uppgifter som avslöjar ras eller etniskt ursprung sammanställs, ska inte gälla vid sökning i en viss handling eller i ett visst ärende.
Skälen för förslaget: Många registerförfattningar innehåller
sökbegränsningar som tar sikte på just känsliga personuppgifter. Det brukar ibland uttryckas så att en känslig personuppgift inte får användas som sökbegrepp. Som vi konstaterat i avsnitt 8.9.1 har passmyndigheterna normalt inte något behov av att behandla sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) i verksamheten avseende nationella identitetskort. I undantagsfall kan passmyndigheterna emellertid ha behov av att behandla personuppgifter som avslöjar ras eller etnicitet. Sådana känsliga personuppgifter torde då behandlas med den enskildes samtycke (10 § personuppgiftslagen) eller med stöd av bestämmelsen i 8 § personuppgiftsförordningen (1998:1191). Det ovanstående innebär att man i verksamhet avseende nationella identitetskort – i vart fall i teorin – skulle kunna göra sökningar och sammanställningar av t.ex. personer med ursprung i ett annat land. Förekomsten av personuppgifter som avslöjar ras eller etnicitet i verksamhet avseende nationella identitetskort talar för att det kan finnas skäl att begränsa möjligheterna att göra sammanställningar av den information som samlats hos myndigheterna, såvitt avser sådana känsliga personuppgifter.
Enligt uppgift från Polismyndigheten saknar passmyndigheterna behov att kunna söka och göra sammanställningar av personuppgifter som avslöjar ras eller etnicitet i verksamhet avseende nationella identitetskort. I dagsläget saknas det dessutom möjlighet att söka på annat än person- eller samordningsnummer, ärendenummer och identitetskortsnummer i RES och RES-UM. För att förhindra sökning och sammanställning av personuppgifter som avslöjar ras eller etniskt ursprung i framtiden, föreslår vi att det i förordningen om behandling av personuppgifter i verksamhet
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
avseende nationellt identitetskort anges att sådana känsliga uppgifter inte får användas som sökbegrepp. Enligt förordningen kommer det därmed gälla ett förbud för passmyndigheterna att som sökbegrepp använda uppgifter som leder till att personuppgifter som avslöjar ras eller etniskt ursprung sammanställs. Förbudet mot att använda uppgifter som avslöjar ras eller etniskt ursprung som sökbegrepp, och som leder till att sådana känsliga personuppgifter sammanställs, bör emellertid inte gälla vid sökning i en viss handling eller i ett visst ärende, eftersom myndigheterna kan ha ett behov av att kunna göra sådana sökningar. Detta bör också framgå av förordningen.
8.10.2. Personuppgifter om lagöverträdelser m.m.
Bedömning: Det saknas behov av att i förordningen om
behandling av personuppgifter i verksamhet avseende nationellt identitetskort ange att uppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp. Vi föreslår därför inte heller någon sådan bestämmelse.
Skälen för bedömningen: Personuppgifter om lagöverträdelser
m.m. behandlas inte i verksamheten avseende nationella identitetskort. Enligt uppgift från Polismyndigheten saknar passmyndigheterna också behov av att kunna behandla sådana uppgifter i sin verksamhet. Som framgått ovan har vi i avsnitt 8.7.1 föreslagit att personuppgifter endast får behandlas i verksamhet avseende nationella identitetskort om det behövs för fullgörande av passmyndigheternas uppgifter enligt förordningen om nationellt identitetskort (2005:661). En behandling av personuppgifter om lagöverträdelser m.m. skulle därmed stå i strid med de föreslagna ändamålen för behandlingen och därmed också vara otillåten enligt 9 § personuppgiftslagen (1998:204). Av detta följer att inte heller sökning och sammanställning av sådana uppgifter är tillåtet i verksamheten avseende nationella identitetskort. Det finns därför inget behov av att i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort ange att uppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp. Vi föreslår därför inte heller någon sådan bestämmelse.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
8.10.3. Personnummer och samordningsnummer
Bedömning: Någon begränsning när det gäller passmyndig-
heternas möjligheter att använda personnummer och samordningsnummer som sökbegrepp behövs inte, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen (1998:204). Vi föreslår därför inte någon sådan bestämmelse.
Skälen för bedömningen: Som vi redogjort för i avsnitt 8.9.3
får uppgifter om personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. I verksamhet avseende nationella identitetskort används personnummer och samordningsnummer av naturliga skäl i mycket stor utsträckning, främst i syfte att fastställa den enskildes identitet. Den behandling av uppgifter om personnummer och samordningsnummer som idag sker i verksamhet avseende pass, sker således med stöd av bestämmelsen i 22 § personuppgiftslagen. Som vi också redovisat i avsnitt 8.9.3 anser vi att de föreslagna ändamålsbestämmelserna och 9 § personuppgiftslagen uppställer tillräckliga krav på behandlingen av personuppgifter om personnummer och samordningsnummer för att dessa ska ges ett tillfredsställande skydd när passmyndigheterna behandlar denna typ av uppgifter.
Om ett personnummer används som sökbegrepp innebär det att man, när detta är tekniskt möjligt, kan söka fram och sammanställa exempelvis alla ärenden om en viss person hos en viss myndighet. Det kan konstateras att myndigheter allmänt sett får anses ha ett stort och i hög grad berättigat behov av att kunna göra den typen av sökningar. Det kan inte heller typiskt sett anses integritetskänsligt att så sker. Även passmyndigheterna kan ha behov av att göra sådana sökningar i verksamhet avseende nationella identitetskort. Enligt vår mening bör man därför inte införa ett generellt sökförbud för sådana personuppgifter för att förhindra utlämnanden enligt 2 kap. tryckfrihetsförordningen. Vi föreslår därför inte någon begränsning när det gäller passmyndigheternas och Utrikesdepartementets möjligheter att använda personuppgifter om personnummer och samordningsnummer som sökbegrepp, utöver vad
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen.
8.10.4. Ansiktsbilder och biometrisk data
Bedömning och förslag: Av 18 § första stycket förordningen
(2005:661) om nationellt identitetskort följer att ansiktsbilden enligt 3 § andra stycket 1 och 16 § 3 samma förordning samt de biometriska data som kan tas fram ur en sådan ansiktsbild inte får användas vid sökning med hjälp av automatiserad behandling. Vi föreslår ingen ändring av innehållet i ovan nämnda föreskrift. Bestämmelsen ska dock överföras till den nya förordningen.
Skälen för bedömningen och förslaget: Av 18 § första stycket
förordningen om nationellt identitetskort följer att ansiktsbilden enligt 3 § andra stycket 1 och 16 § 3 samma förordning samt de biometriska data som kan tas fram ur en sådan ansiktsbild inte får användas vid sökning med hjälp av automatiserad behandling. Vi ser ingen anledning att inom ramen för vårt uppdrag överväga en förändring av innehållet i ovanstående bestämmelse. Bestämmelsen ska dock överföras till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
8.11. Bevarande och gallring
Bedömning och förslag: Uppgifter som behandlas i verksamhet
avseende nationella identitetskort ska gallras när de inte längre behövs för de ändamål för vilka de behandlas.
Enligt 17 § förordningen om nationellt identitetskort (2005:661) ska uppgifter i registret över nationella identitetskort gallras senast sex månader efter att giltighetstiden för ett identitetskort har gått ut. Enligt 4 § förordningen om nationellt identitetskort följer vidare att de biometriska data som tas fram ur ansiktsbilden enligt 3 § andra stycket 1 samma förordning omedelbart ska förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits. Vi föreslår ingen ändring av innehållet i ovan nämnda gallringsföreskrifter.
Gallringsföreskrifterna ska därför överföras till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Riksarkivet får meddela föreskrifter om att uppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov.
Skälen för bedömningen och förslagen: I verksamhet avseende
nationella identitetskort behandlas en stor mängd personuppgifter automatiserat, vilket innebär att man med enkla medel kan söka och sammanställa information om relativt många personer. Detta ökar typiskt sett risken för integritetsintrång. Om inga särskilda gallringsbestämmelser föreslås i förordningen om behandling av personuppgifter i verksamhet avseende nationella identitetskort kommer arkivlagens huvudregel om bevarande att gälla (se vidare om bevarande och gallring i avsnitt 7.12). Sekretessbestämmelser och bestämmelser om begränsningar i tillgången till uppgifter kan enligt vår mening inte fullt ut tillgodose integritetsskyddet och ersätta bestämmelser om bevarande och gallring i verksamhet avseende nationella identitetskort. Vi anser därför att det bör finnas regler om bevarande och gallring i den nya förordningen. Vid utformningen av sådana bestämmelser måste en avvägning göras mellan å ena sidan intresset av skydd för den personliga integriteten
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet.
Ur integritetssynpunkt är det viktigt att personuppgifter inte behandlas längre i verksamheten avseende nationella identitetskort än vad som är nödvändigt. Av de skäl som vi redovisat i avsnitt 7.12.5 föreslår vi att det i förordningen om behandling av personuppgifter i verksamhet avseende nationella identitetskort införs en ändamålsanknuten gallringsbestämmelse. Vårt förslag till gallringsbestämmelse innebär således att uppgifter i verksamhet avseende nationella identitetskort som huvudregel ska gallras när de inte längre behövs för att passmyndigheterna ska kunna fullgöra sina uppgifter enligt förordningen om nationellt identitetskort. Denna huvudregel bör enligt vår mening kompletteras med i förordningen föreskrivna fasta tidsfrister för gallring, i den mån vi bedömer att det finns förutsättningar för det.
Särskilda gallringsföreskrifter för uppgifter i registret över nationella identitetskort
Enligt 14 § förordningen om nationellt identitetskort ska Polismyndigheten med hjälp av automatiserad behandling föra ett register över nationella identitetskort. Enligt 17 § samma förordning ska uppgifterna i registret gallras senast sex månader efter att giltighetstiden för ett identitetskort har gått ut.
Vi gör bedömningen att ovanstående bestämmelse om gallring är väl avvägd. Bestämmelsen bör därmed överföras till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Särskilda gallringsbestämmelser för ansiktsbilder samt biometrisk data
Enligt 4 § förordningen om nationellt identitetskort följer att de biometriska data som tas fram ur ansiktsbilden enligt 3 § andra stycket 1 samma förordning omedelbart ska förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits. Vi ser inte någon anledning att föreslå en förändring av innehållet i ovanstående gallringsföreskrift. Bestämmelsen bör emellertid
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
överföras till förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Behovet av ytterligare föreskrifter om bevarande och gallring i verksamheten avseende nationella identitetskort
Som vi redogjort för i avsnitt 7.12.5 har det i vårt arbete inte i alla delar kunnat klargöras hur länge det finns behov av att kunna behandla olika uppgifter i passverksamheten, med hänsyn till ändamålen med behandlingen. På motsvarande sätt förhåller det sig med uppgifterna i verksamheten avseende nationella identitetskort. Som vi också nämnt tidigare pågår just nu ett arbete hos Polismyndigheten där gallringen av uppgifter i RES ses över (ärende A151.154/2015). Det är lämpligt att Polismyndigheten i samband med detta arbete tar ställning till hur länge det finns behov av att behandla olika uppgifter i verksamheten avseende nationella identitetskort. Myndigheten skulle därmed – i verkställighetsföreskrifter eller i annan ordning – kunna konkretisera när uppgifter kan gallras med hänsyn till ändamålen med behandlingen.
För att tillgodose intresset av offentlighet och insyn anser vi också att Riksarkivet, utan hinder av bestämmelser om gallring, bör få meddela föreskrifter om att uppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov.
8.12. Tillgången till personuppgifter
Bedömning: Det saknas behov av att i förordningen om
behandling av personuppgifter i verksamhet avseende nationellt identitetskort begränsa tillgången till personuppgifter i verksamheten, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen (1998:204).
Skälen för bedömningen: Stora informationsmängder som är
samlade så att uppgifter är enkelt sökbara på elektronisk väg utgör – som vi tidigare pekat på – allmänt sett en betydande risk för
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem. Tillgången till personuppgifter bör därför – i syfte att minska risken för intrång i den personliga integriteten – alltid begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. Detta är särskilt viktigt när det är frågan om uppgifter av känslig karaktär. Vi har ovan föreslagit att personuppgifter endast får behandlas om det behövs för att fullgöra de uppgifter som åligger passmyndigheterna enligt förordningen om nationellt identitetskort. I 9 § personuppgiftslagen uppställs vidare, som vi också redogjort för tidigare, vissa grundläggande krav på all behandling av personuppgifter som omfattas av lagen. Av bestämmelsen följer bl.a. att personuppgifter inte får behandlas för ändamål som är oförenligt med det för vilket uppgifterna samlades in och att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. De personuppgifter som behandlas ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen.
De personuppgifter som behandlas i verksamheten avseende nationella identitetskort är i princip inte av känslig karaktär. Vi anser därför att det inte finns något behov av att i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort begränsa tillgången till personuppgifter i verksamheten, utöver vad som redan följer av de föreslagna ändamålsbestämmelserna och de grundläggande kraven i 9 § personuppgiftslagen. Vi föreslår därför inte heller någon sådan begränsande bestämmelse.
8.13. Utlämnande av personuppgifter på medium för automatiserad behandling
Bedömning: Det finns inte tillräckliga skäl att i förordningen
om behandling av personuppgifter i verksamhet avseende nationellt identitetskort införa en bestämmelse om utlämnande av uppgifter på medium för automatiserad behandling.
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
Skälen för bedömningen: Personuppgiftslagen (1998:204)
innehåller inte någon bestämmelse som tar sikte på formen för utlämnandet. När de rättsliga förutsättningarna finns får den utlämnande aktören själv välja metod för utlämnande. Detta eftersom utlämnande på medium för automatiserad behandling utgör en form av behandling av personuppgifter enligt 3 § personuppgiftslagen och som sådan är tillåten under förutsättning att utlämnandet inte är oförenligt med det ändamål för vilket uppgiften samlades in.
Enligt vår mening bör passmyndigheterna ha möjlighet att använda modern kommunikationsteknik för att utbyta information på elektronisk väg. Frågan är dock om det finns ett behov av att reglera utlämnande av personuppgifter i elektronisk form i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort.
Som vi redogjort för i avsnitt 6.2.8 är Polismyndigheten skyldig att vidarebefordra uppgifter om stulna och förkomna nationella identitetskort till Schengen Information System (SIS) och Interpols databas över stulna och förkomna resehandlingar. Av offentlighetsprincipen följer vidare att passmyndigheterna i vissa situationer är skyldiga att lämna ut allmänna handlingar enligt 2 kap. tryckfrihetsförordningen (TF). Enligt 23 § andra stycket passförordningen (1979:664) ska Polismyndigheten på begäran lämna ut fotografier av enskilda från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. Någon motsvarande skyldighet för Polismyndigheten att på begäran lämna ut fotografier av enskilda från registret över nationella identitetskort finns emellertid inte.
Av 6 § första stycket 2 offentlighets- och sekretessförordningen (2009:641) följer att sekretess gäller för uppgift i form av fotografisk bild av den enskilde i registret över nationella identitetskort, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men. Som utgångspunkt råder således sekretess för fotografierna i registret över nationella identitetskort. Till skillnad från vad som gäller beträffande fotografier av enskilda i passregistret, finns det inte någon sekretessbrytande bestämmelse som föreskriver att Polismyndigheten på begäran ska lämna ut fotografier av enskilda i registret över nationella identitetskort till andra myndigheter.
Ds 2015:44 Överväganden och förslag angående nationella identitetskortsverksamheten
Med hänsyn till att utlämnande av personuppgifter i verksamhet avseende nationella identitetskort framförallt aktualiseras vid utlämnande med stöd av 2 kap. TF, att det i verksamhet avseende nationella identitetskort i princip inte förekommer några känsliga uppgifter samt till att det råder stark sekretess för fotografier av enskilda i registret över nationella identitetskort anser vi att det saknas skäl att reglera utlämnande av personuppgifter i elektronisk form i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort. Vi föreslår därför inte heller någon sådan bestämmelse.
8.14. Rättelse och skadestånd
Bedömning och förslag: Den registrerade bör enligt vår mening
vara berättigad till rättelse och skadestånd vid behandling i strid med förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort under samma förutsättningar som vid den behandling som omfattas av personuppgiftslagen (1998:204). En föreskrift med denna innebörd ska därför införas i förordningen.
Skälen för bedömningen och förslaget: Enligt 28 § personupp-
giftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av den lagen. Av 48 § personuppgiftslagen följer vidare att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Personuppgiftslagens bestämmelser om rättelse och skadestånd är endast tillämpliga när uppgifter behandlats i strid med personuppgiftslagen eller en föreskrift som har utfärdats med stöd av den lagen. För en utförligare redogörelse för bestämmelserna hänvisas till avsnitt 7.15.
I 19 § förordningen om nationellt identitetskort stadgas att bestämmelserna i personuppgiftslagen om rättelse och skadestånd också gäller vid behandling av personuppgifter enligt den förordningen. Personuppgiftslagens bestämmelser om rättelse och skade-
Överväganden och förslag angående nationella identitetskortsverksamheten Ds 2015:44
stånd är således tillämpliga vid den behandling av personuppgifter som i dag sker i passmyndigheternas verksamhet avseende nationella identitetskort. Enligt vår mening bör denna ordning även gälla när behandlingen av personuppgifter i verksamheten avseende nationella identitetskort istället regleras i förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort. En bestämmelse som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd bör därför införas i den nya förordningen.
9. Konsekvenser av förslagen
9.1. Ekonomiska konsekvenser
Bedömning: De kostnader som inledningsvis kan uppkomma
hos Polismyndigheten, eller annan myndighet, bedöms rymmas inom ordinarie anslag.
Skälen för bedömningen: Våra förslag innebär att det införs en
särskild reglering för behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets verksamhet avseende pass och nationella identitetskort. Idag regleras denna behandling istället av personuppgiftslagen (1998:204) och genom särregler i passlagen (1978:302), passförordningen (1979:664) och förordningen om nationellt identitetskort (2005:661).
En utgångspunkt för förslagen har varit att föreslå moderna, teknikneutrala och ändamålsenliga bestämmelser för behandlingen av personuppgifter i passmyndigheternas och Utrikesdepartementets verksamhet avseende pass och nationella identitetskort. Särskild hänsyn har, så långt det är möjligt med hänsyn till verksamhetens art, tagits till de integritetsaspekter som följer av omfattande automatiserad behandling av personuppgifter i myndigheters verksamhet.
Förslagen innebär att passmyndigheterna och Utrikesdepartementet kan behålla sina befintliga datorsystem. Eftersom förslagen är teknikneutrala möjliggör de också att de befintliga datorsystemen kan utvecklas ytterligare och att nya datorsystem i framtiden kan skapas utan att det blir nödvändigt att ändra lagstiftningen. Förslagen innebär vidare att myndigheterna kan välja i vilken omfattning de vill inrätta ett eller flera nya register eller databaser. Polismyndigheten har emellertid uppgett att de föreslagna reglerna om gallring kräver vissa tekniska förändringar av de befintliga
Konsekvenser av förslagen Ds 2015:44
datorsystemen, bl.a. måste RES utrustas med en gallringsfunktion som gallrar bilagor efter innehåll och gallringstid. Bestämmelserna om gallring innebär också enligt Polismyndigheten att vissa utbildningsinstatser kan komma att behövas. De föreslagna gallringsföreskrifterna kan således förväntas medföra ökade kostnader för Polismyndigheten, i vart fall initialt. Enligt Polismyndigheten kan kostnaden ännu inte uppskattas, eftersom en beräkning måste göras efter problembeskrivning och kartläggning samt efter att ett förslag till lösning har tagits fram. Polismyndigheten anser sig i vart fall kunna utgå ifrån att det kommer att krävas omfattande åtgärder. I detta sammanhang bör dock nämnas att Polismyndigheten redan har inlett ett arbete med att se över gallringsrutinerna i RES (ärende A151.154/2015). Det förändringsarbetet medför naturligtvis kostnader. Enligt vår bedömning kommer förslagen i denna promemoria inte att medföra några beaktansvärda kostnader, utöver de kostnader som det av Polismyndigheten redan påbörjade arbetet kommer att medföra.
Övriga förslag beräknas inte leda till några nämnvärt ökade kostnader för myndigheterna.
Mot ovanstående bakgrund gör vi bedömningen att förslagen inte kommer att medföra några kostnader för passmyndigheterna och Utrikesdepartementet som inte ryms inom myndigheternas ordinarie anslag.
9.2. Andra konsekvenser
Förslagen bedöms inte ha några konsekvenser när det gäller kostnader och intäkter för kommuner, landsting, företag eller andra enskilda. Inte heller bedöms förslagen ha några konsekvenser för den kommunala självstyrelsen, sysselsättningen, den offentliga servicen i olika delar av landet, små företags arbetsförutsättningar, konkurrensförmågan, eller villkor i övrigt i förhållande till större företag. Den nya lagstiftningen bedöms inte heller ha någon påverkan på jämställdheten mellan män och kvinnor och möjligheterna att nå de integrationspolitiska målen eller på miljön.
10. Ikraftträdande och övergångsbestämmelser
10.1. Ikraftträdande
Bedömning och förslag: Författningsförslagen bör träda i kraft
så snart som möjligt. Tidigaste tidpunkt för ikraftträdande torde vara sommaren 2016.
Skälen för bedömningen och förslaget: Författningsförslagen
är angelägna och bör därför träda i kraft så snart det är möjligt. Med hänsyn till den tid som beräknas krävas för det fortsatta lagstiftningsarbetet, får tidpunkten för ett ikraftträdande inte sättas för snävt. Som vi tidigare redogjort för behöver de föreslagna författningarna inte på grund av bestämmelserna i 2 kap. 6 § andra stycket regeringsformen träda i kraft till den 1 januari 2016, utan tidpunkten kan sättas senare. Tidigaste tidpunkt för ikraftträdande torde vara sommaren 2016.
10.2. Övergångsbestämmelser
Förslag: Bestämmelserna om gallring i 16 § första stycket pass-
datalagen och 14 § andra stycket förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort behöver inte tillämpas förrän ett år efter ikraftträdandet av de föreslagna författningarna.
Bedömning: Det behövs inga andra övergångsbestämmelser
Skälen för förslaget och bedömningen: Som vi tidigare anfört
kommer det att krävas visst utrednings- och systemutvecklings-
Ikraftträdande och övergångsbestämmelser Ds 2015:44
arbete för att genomföra de föreslagna bestämmelserna om gallring, framförallt de bestämmelser om gallring som innebär att uppgifter ska gallras så snart uppgiften inte längre behövs för något av de ändamål som de behandlas för. För att medge tid för sådant arbete föreslår vi att de föreslagna bestämmelserna om gallring i 16 § första stycket passdatalagen och 14 § andra stycket förordningen om behandling av personuppgifter i verksamhet avseende nationellt identitetskort inte behöver börja tillämpas förrän ett år efter ikraftträdandet av författningarna. Enligt vår bedömning ger detta myndigheterna en rimlig tid för att införa de nya rutinerna och genomföra de informations- och utbildningsinsatser som krävs. Regleringen innebär att bestämmelserna får tillämpas tidigare i den utsträckning det är möjligt.
De övriga förslagen är enligt vår bedömning inte av den arten att de kräver några särskilda övergångsregler.
11. Författningskommentar
11.1. Förslaget till passdatalag
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i passmyndig-
heternas och Regeringskansliets (Utrikesdepartementet) passverksamhet. Med passverksamhet avses den verksamhet som passmyndigheterna och Regeringskansliet (Utrikesdepartementet) ansvarar för enligt passlagen (1978:302) .
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Paragrafen anger lagens tillämpningsområde. Bestämmelsen behandlas i avsnitt 7.4.
I första stycket anges inledningsvis att lagen gäller vid behandling av personuppgifter. Med begreppet personuppgifter avses detsamma som i 3 § personuppgiftslagen (1998:204), dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även begreppet behandling har samma innebörd som i personuppgiftslagen. Därmed avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, lagring, bearbetning och spridning. Lagen gäller för passmyndigheterna och Utrikesdepartementet i deras passverksamhet. Med begreppet passmyndighet avses detsamma som i 2 § passlagen (1978:302). Av 2 § passlagen följer att Polismyndigheten är passmyndighet inom riket och att ambassader och karriärkonsulat fullgör uppgifter som passmyndighet utomlands. Med begreppet passverksamhet avses den verksamhet som passmyndigheterna och Utrikesdepartementet ansvarar för enligt pass-
Författningskommentar Ds 2015:44
lagen. Till denna verksamhet hör bl.a. utfärdande och återkallelse av pass. Utanför lagens tillämpningsområde faller t.ex. identitetskontroll i samband med sådan gränskontroll som regleras i passlagen, Polismyndighetens brottsbekämpande verksamhet samt utlandsmyndigheternas (ambassader och konsulat) verksamhet beträffande viseringsärenden och ärenden om uppehålls- och arbetstillstånd. Även myndigheternas administrativa verksamhet faller utanför lagens tillämpningsområde. För behandling av personuppgifter i den verksamheten gäller istället personuppgiftslagen.
Genom andra stycket klargörs att inte all slags behandling av personuppgifter omfattas av lagens tillämpningsområde. För att lagen ska vara tillämplig på behandlingen krävs att den är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Rekvisiten är desamma som i artikel 2 c och 3.1 i dataskyddsdirektivet respektive 5 § personuppgiftslagen och ska ha motsvarande innebörd. Helt manuell behandling av personuppgifter som inte ingår i ett register eller annan samling som är tillgänglig för sökning faller därmed utanför lagens tillämpningsområde. I praktiken torde dock endast en ytterst liten del av den personuppgiftsbehandling som sker hos passmyndigheterna och Utrikesdepartementet vara helt manuell.
Lagens syfte
2 § Syftet med denna lag är att göra det möjligt för passmyndigheterna
och Regeringskansliet (Utrikesdepartementet) att behandla personuppgifter på ett ändamålsenligt sätt i sin passverksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen anges lagens övergripande syfte. Bestämmelsen behandlas i avsnitt 7.5.
Syftet med lagen är tudelat. Lagen ska dels ge passmyndigheterna och Utrikesdepartementet möjligheter att behandla personuppgifter på ett ändamålsenligt sätt, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling. Häri-
Ds 2015:44 Författningskommentar
genom tydliggörs bl.a. att personuppgiftsbehandling som kan anses utgöra intrång i enskildas personliga sfär alltid måste stå i rimlig proportion till samhällets behov. Paragrafen har en informativ och pedagogisk betydelse och är även avsedd att kunna ge vägledning för hur materiella bestämmelser i lagen bör tolkas i tveksamma fall.
Förhållandet till passlagen
3 § I denna lag har termer och begrepp som också förekommer i pass-
lagen ( 1978:302 ) samma betydelse som i den lagen.
Paragrafen reglerar lagens förhållande till passlagen (1978:302). Innebörden av bestämmelsen är att de termer och begrepp som anges i lagen har samma betydelse som i passlagen. Bestämmelsen behandlas i avsnitt 7.6.1.
Förhållandet till personuppgiftslagen
4 § Vid behandling av personuppgifter som omfattas av denna lag
gäller personuppgiftslagen (1998:204) , om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av den.
Paragrafen reglerar lagens förhållande till personuppgiftslagen (1998:204). Innebörden av bestämmelsen är att passdatalagen ska gälla utöver personuppgiftslagen. Skälen för detta framgår av avsnitt 7.6.2.
Av bestämmelsen framgår således att lagen ska gälla utöver personuppgiftslagen. Om bestämmelserna i passdatalagen avviker från regleringen i personuppgiftslagen, ska alltså bestämmelserna i passdatalagen tillämpas. För de frågor som inte regleras av denna lag eller föreskrifter som har meddelats med stöd av den, gäller däremot bestämmelserna i personuppgiftslagen.
Författningskommentar Ds 2015:44
Personuppgiftsansvar
5 § Polismyndigheten är personuppgiftsansvarig för behandling av
personuppgifter i passregistret och registret över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) .
Passmyndigheterna och Regeringskansliet (Utrikesdepartementet) är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet i övrigt utför med stöd av denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Paragrafen innehåller bestämmelser om personuppgiftsansvar. Övervägandena finns i avsnitt 7.7.
I första stycket anges att Polismyndigheten är personuppgiftsansvarig för behandling av personuppgifter i passregistret och registret över vissa omständigheter som kräver passtillstånd. Bestämmelsen innebär att Polismyndigheten är personuppgiftsansvarig för samtliga uppgifter i registren. Polismyndighetens personuppgiftsansvar avser bl.a. insamlandet och lagringen av personuppgifter.
Av andra stycket framgår att passmyndigheterna och Regeringskansliet (Utrikesdepartementet) är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet i övrigt utför, dvs. den behandling som inte sker i passregistret eller registret över vissa omständigheter som kräver passtillstånd.
Det finns flera bestämmelser i personuppgiftslagen (1998:204) som föreskriver särskilda skyldigheter för den personuppgiftsansvarige. Dessa bestämmelser är tillämpliga även när det gäller personuppgiftsansvaret enligt passdatalagen. Den personuppgiftsansvarige är bl.a. skyldig att se till att de grundläggande kraven på behandlingen av personuppgifter följs (se 9 § personuppgiftslagen). Det inbegriper att de behandlade personuppgifterna ska vara riktiga och relevanta i förhållande till ändamålen för behandlingen, att personuppgifterna ska behandlas på ett korrekt sätt och i enlighet med god sed samt att personuppgifter inte ska behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
Den myndighet som samlar in och lagrar personuppgifter är normalt personuppgiftsansvarig för den behandlingen. Polismyndigheten är i sin egenskap av registerförande myndighet personuppgiftsansvarig för behandlingen av personuppgifter i passregist-
Ds 2015:44 Författningskommentar
ret och registret över vissa omständigheter som kräver passtillstånd. Det är därmed Polismyndigheten som ensam samlar in och lagrar personuppgifter i registren och som också är ansvarig för behandlingen däri. Om en uppgift i registren lämnas ut till en annan myndighet, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till utlandsmyndigheterna och Utrikesdepartementet kan alltså personuppgiftsansvaret för en och samma uppgift komma att ligga hos flera myndigheter, där var och en av dessa ansvarar för den egna behandlingen.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det behövs:
1. för att pröva ansökan om pass,
2. för att pröva framställning om återkallelse av pass, om provisorisk återkallelse av pass eller om begränsning i giltighet för pass,
3. för att utfärda, återkalla, dra in eller makulera pass,
4. för att omhänderta eller överlämna pass enligt 17 och 18 §§ passlagen (1978:302) ,
5. vid talan mot beslut i passärenden, samt
6. för att i övrigt fullgöra passmyndigheternas och Regeringskansliets (Utrikesdepartementet) uppgifter enligt passlagen (1978:302) .
Bestämmelsen innebär en uttömande reglering av de primära ändamål för vilka personuppgifter får behandlas i passmyndigheternas och Utrikesdepartementets passverksamhet. Övervägandena finns i avsnitt 7.8.4.
Passmyndigheternas och Utrikesdepartementets behov av att behandla personuppgifter i passverksamheten styrs främst av regleringen i passlagen (1978:302) och passförordningen (1979:664). De primära ändamålen, för vilka personuppgifter får behandlas i passmyndigheternas och Utrikesdepartementets passverksamhet, har därför utformats utifrån de behov på behandling som passlagen och passförordningen uppställer.
En grundläggande förutsättning för att en personuppgift ska få behandlas med stöd av 6 § är att behandlingen behövs för hand-
Författningskommentar Ds 2015:44
läggningen av ett passärende. Med detta avses att det ska finnas ett konkret behov av att utföra behandlingen och att detta behov svarar mot ändamålet med densamma. Som exempel kan nämnas att det i samband med ansökan om pass kan vara nödvändigt att behandla uppgifter om att sökanden är misstänkt eller har dömts för viss brottslig gärning. Likaså måste passhandläggaren självfallet behandla uppgifter om sökandens namn och person- eller samordningsnummer för att kunna fastställa identiteten på honom eller henne.
En stor del av den information som passmyndigheterna och Utrikesdepartementet samlar in och bearbetar för ett specifikt ändamål, exempelvis för att pröva en ansökan om pass, måste kunna vidarebehandlas för andra ändamål som antingen anknyter till det ursprungliga ändamålet eller ligger vid sidan av detta. Sådan vidarebehandling är tillåten, under förutsättning att den efterföljande behandlingen faller in under något av de primära eller sekundära ändamål som anges i lagen. Dessutom får uppgifter behandlas för andra sekundära ändamål än de som anges i lagen, om det efter en prövning i det enskilda fallet bedöms att vidarebehandlingen inte kan anses oförenlig med insamlingsändamålet (finalitetsprincipen).
7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får
också behandlas för kontroll av identitetsuppgifter och uppgifter om pass vid gränskontroll. Sådana uppgifter får också behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten.
8 § Personuppgifter som behandlas för de ändamål som anges i 6 § får
också behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning.
9 § I fråga om behandling av personuppgifter för andra ändamål än
vad som anges i 6-8 §§, gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Ds 2015:44 Författningskommentar
Paragraferna anger de sekundära ändamål för vilka passmyndigheterna och Utrikesdepartementet får behandla personuppgifter i passverksamheten. Övervägandena finns i avsnitt 7.8.4.
Behandling av personuppgifter enligt dessa paragrafer förutsätter att uppgifterna redan är föremål för behandling enligt 6 §. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem enligt 7–9 §§. Utgångspunkten är att de angivna sekundära ändamålen i allt väsentligt ska täcka in det tillhandahållande av information som kan komma i fråga.
Av 7 § framgår att personuppgifter som behandlas med stöd av 6 § även får behandlas för kontroll av identitetsuppgifter och uppgifter om pass vid gränskontroll, t.ex. sådan gränskontroll som nämns i 5 a § passlagen (1978:302). Av 7 § framgår vidare att personuppgifter som behandlas med stöd av 6 § även får behandlas i Polismyndighetens brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten. Det rör sig främst här om att polisen använder fotografierna i passregistret för att fastställa identiteten på en person, t.ex. i samband med identifiering av enskilda vid större olyckor, vid fotokonfrontationer och som ett led i spaningsarbete.
Av bestämmelsen i 8 § följer att personuppgifter som behandlas för de ändamål som anges i 6 § också får behandlas för uppgiftslämnande i överenstämmelse med lag eller förordning. Som exempel kan nämnas att Polismyndigheten enligt 18 § är skyldig att på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. Vidare kan nämnas att Polismyndigheten enligt Konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Frankrike om gradvis avskaffande av kontroller vid de gemensamma gränserna (Schengenkonventionen), Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS) och lagen (2000:334) om Schengens informationssystem ska vidarebefordra uppgifter i RES eller RES-UM om stulna och förkomna resehand-
Författningskommentar Ds 2015:44
lingar till Schengen Information System (SIS) och Interpols databas över stulna och förkomna resehandlingar.
I 9 § paragrafen förtydligas genom en uttrycklig hänvisning till personuppgiftslagen (1998:204) att den s.k. finalitetsprincipen ska gälla även vid personuppgiftsbehandling enligt passdatalagen. Det innebär att personuppgifter får behandlas för andra ändamål än dem för vilka de har samlats in, under förutsättning att ändamålen inte är oförenliga med de ändamål som anges i 6 §. De sekundära ändamålen är således inte uttömmande angivna i 7 och 8 §§. Genom hänvisningen i 9 § klargörs att insamlade personuppgifter även får behandlas för bl.a. historiska, statistiska eller vetenskapliga ändamål.
Den enskildes inställning till personuppgiftsbehandlingen
10 § Behandling av personuppgifter som är tillåten enligt denna lag får
utföras även om den registrerade motsätter sig behandlingen.
I paragrafen regleras frågan om den enskilde har någon möjlighet att med rättslig verkan motsätta sig personuppgiftsbehandling. Övervägandena finns i avsnitt 7.8.5.
Enligt paragrafen får en personuppgiftsbehandling, som är tillåten enligt lagen, utföras även om den enskilde motsätter sig den. Bestämmelsen ska ses mot bakgrund av artikel 14 a dataskyddsdirektivet, som föreskriver att den enskilde åtminstone i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning.
Register
11 § Polismyndigheten ska med hjälp av automatiserad behandling
föra ett passregister och ett register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) .
12 § Passregistret får endast innehålla de uppgifter om en person som
behövs för de ändamål som anges i 6 §, och som avser:
a) för – och efternamn,
b) personnummer,
Ds 2015:44 Författningskommentar
c) kön,
d) födelseort,
e) längd,
f) ansiktsbild och
g) namnteckning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de ytterligare uppgifter som registret får innehålla.
13 § Registret över omständigheter som avses i 20 § 1 och 3 passlagen
( 1978:302 ) får endast innehålla de uppgifter om en person som behövs för de ändamål som anges i 6 §, och som avser personnummer och för– och efternamn.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de ytterligare uppgifter som registret får innehålla.
I paragraferna regleras Polismyndighetens skyldighet att föra ett passregister och ett register över vissa omständigheter som kräver passtillstånd. Av bestämmelserna följer också vilka personuppgifter som registren får innehålla. Övervägandena finns i avsnitt 7.9.
Enligt 11 § ska Polismyndigheten med hjälp av automatiserad behandling föra ett passregister och ett register över vissa omständigheter som kräver passtillstånd. En grundläggande utgångspunkt är att registren endast får innehålla uppgifter som behövs för de ändamål som anges i 6 §. Vilka personuppgifter som registren får innehålla regleras i 12 och 13 §§.
Första stycket i 12 och 13 §§ innehåller en uttömmande uppräk-
ning av vilka personuppgifter som får registreras i registren. De uppgifter som får registreras enligt bestämmelserna rör identifiering av person.
I andra stycket i 12 och 13 §§ klargörs att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om de ytterligare uppgifter som registren får innehålla.
Författningskommentar Ds 2015:44
Särskilda kategorier av personuppgifter
14 § Personuppgifter som avslöjar ras eller etniskt ursprung eller rör
hälsa får behandlas om uppgifterna är nödvändiga för handläggningen av ett ärende eller om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text.
I paragrafen anges i vilken utsträckning sådana känsliga personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa får behandlas. Frågan behandlas i avsnitt 7.10.1.
Enligt bestämmelsen får personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa behandlas om uppgifterna är nödvändiga för handläggningen av ett ärende. Om den förutsättningen är uppfylld, ger bestämmelsen stöd för att exempelvis hantera sådana känsliga personuppgifter inom ramen för ett ärendehanteringssystem. Till skillnad från vad som gäller enligt 8 § personuppgiftsförordningen får således sådana känsliga personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa och som är nödvändiga för handläggningen av ett ärende behandlas i passverksamheten även på annat sätt än i löpande text.
Känsliga personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa får också behandlas om uppgifterna har lämnats i ett ärende och de endast behandlas i löpande text. I dessa fall uppställs det inte något krav på att det ska vara nödvändigt att behandla uppgiften i ärendet för att behandlingen ska vara tillåten, vilket beror på att en myndighet inte kan ha full kontroll över vilka uppgifter som lämnas till myndigheten. Det är således tillåtet att behandla sådana känsliga personuppgifter som avslöjar ras eller etniskt ursprung eller rör hälsa som sökanden eller någon annan (t.ex. en psykiater) har lämnat i ett passärende, även om uppgiften inte är nödvändig för att myndigheten ska kunna handlägga ärendet. Om myndigheten av något annat skäl behöver behandla en personuppgift som avslöjar ras eller etniskt ursprung eller rör hälsa, exempelvis för att den själv samlat in uppgiften, krävs emellertid att uppgiften är nödvändig för handläggningen av ett ärende. För att en viss behandling ska vara tillåten krävs emellertid alltid att behandlingen sker i enlighet med lagens övriga bestämmelser och att de grundläggande kraven i 9 § personuppgiftslagen (1998:204) är uppfyllda.
Ds 2015:44 Författningskommentar
Sökförbud
15 § Som sökbegrepp får inte användas uppgifter som avslöjar ras eller
etniskt ursprung eller uppgifter som rör hälsa. Som sökbegrepp får inte heller användas uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 passlagen (1978:302) samt de biometriska data som kan tas fram ur dessa får inte användas vid sökning med hjälp av automatiserad behandling.
Första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.
Paragrafen innehåller bestämmelser som förbjuder användningen av integritetskänsliga sökbegrepp. Övervägandena finns i avsnitt 7.11.
I första stycket anges att vissa typer av uppgifter inte får användas som sökbegrepp. Förbudet gäller för det första uppgifter som avslöjar ras eller etniskt ursprung eller uppgifter som rör hälsa (jfr bestämmelsen om behandling av känsliga personuppgifter i 14 §). För det andra avser förbudet uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Begreppen har samma innebörd som enligt personuppgiftslagen (1998:204).
I andra stycket anges att fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 passlagen (1978:302) samt de biometriska data som kan tas fram ur dessa inte får användas vid sökning med hjälp av automatiserad behandling. Fingeravtrycken och ansiktsbilden samt de biometriska data som kan tas fram ur dessa får således inte i något sammanhang användas för registersökning eller annan automatisk sökning. Bestämmelsen har överförts till lagen från 6 b § passlagen.
Tredje stycket innehåller undantag från sökförbudet i första
stycket och innebär att förbudet inte gäller vid sökning i en viss handling eller i ett visst ärende.
Författningskommentar Ds 2015:44
Bevarande och gallring
16 § Uppgifter ska gallras så snart uppgiften inte längre behövs för
något av de ändamål som den behandlas för.
Fingeravtrycken enligt 6 § andra stycket 1 passlagen (1978:302) och de biometriska data som tas fram ur dessa och ur ansiktsbilden enligt 6 § andra stycket 1 samma lag ska omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits.
Uppgifter i registret över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) ska gallras senast
1. när den person som uppgifterna avser inte längre är intagen för vård enligt lagen ( 1991:1128 ) om psykiatrisk tvångsvård eller lagen ( 1991:1129 ) om rättspsykiatrisk vård eller
2. när en anmälan enligt 20 § 1 passlagen (1978:302) har återkallats.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att gallring enligt första stycket ska ske senast vid en viss tidpunkt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov, även om föreskrifterna kommer att avvika från första stycket.
Paragrafen innehåller föreskrifter om bevarande och gallring. Övervägandena finns i avsnitt 7.12.
Av första stycket framgår att personuppgifter aldrig får bevaras under längre tid än vad som behövs för något eller några av lagens ändamål. Bevarande tillåts således med hänsyn till ett eller flera ändamål. Därigenom ges stöd för att bevara uppgifter, inte bara för ett visst utpekat konkret ärende som en viss passansökan, utan även för mer övergripande ändamål. Uppgifter i en passansökan kan därmed komma att bevaras även sedan passmyndigheterna eller Utrikesdepartementet bifallit ansökan, om det kan finnas ett behov av uppgifterna i exempelvis ett kommande ärende om återkallelse. En uppgift som har samlats in för ett visst ändamål kan också, innan den gallras, komma att behandlas för ett nytt ändamål. I så fall gäller en ny frist för det nya ändamålet.
Ds 2015:44 Författningskommentar
I andra stycket föreskrivs att fingeravtrycken enligt 6 § andra stycket 1 passlagen (1978:302) och de biometriska data som tas fram ur dessa och ur ansiktsbilden enligt 6 § andra stycket 1 samma lag omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits. Bestämmelsen har förts över till lagen från 6 a § passlagen.
Av tredje stycket framgår att uppgifter i registret över vissa omständigheter som kräver passtillstånd ska gallras senast när den person som uppgifterna avser inte längre är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård. Uppgifter i registret som föranletts av en anmälan om att pass inte får utfärdas för en person utan passtillstånd, ska dock gallras så snart anmälan har återkallats om detta sker medan personen alltjämt är intagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård. Fristerna bildar den yttersta gränsen för bevarande. I den utsträckning det redan vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse ska de gallras redan då. Det följer av den generella bestämmelsen om längsta tid för bevarande i första stycket.
I fjärde stycket upplyses om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att gallring enligt första stycket får ske senast vid en viss tidpunkt.
I femte stycket informeras om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt för forskningens behov.
Tillgången till personuppgifter
17 § Tillgången till personuppgifter ska begränsas till vad var och en
behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Paragrafen reglerar den interna tillgången till personuppgifter för passmyndigheternas och Utrikesdepartementets personal eller
Författningskommentar Ds 2015:44
andra som deltar i myndigheternas arbete. Bestämmelsen behandlas i avsnitt 7.13.
Första stycket innebär en skyldighet för passmyndigheterna och
Utrikesdepartementet att se till att anställda och andra med uppdrag hos myndigheten bara ges tillgång till personuppgifter utifrån vad som krävs för arbetsuppgifterna.
I andra stycket upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Detaljbestämmelser kan således utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för att bedriva verksamheten.
Utlämnande av personuppgifter
18 § Polismyndigheten ska på begäran lämna ut ett fotografi av en
enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.
Paragrafen reglerar utlämnande av personuppgifter. i passverksamheten. Övervägandena finns i avsnitt 7.14.3.
Av bestämmelsen följer att Polismyndigheten på begäran är skyldig att lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. Bestämmelsen har överförts till lagen från 23 § andra stycket passförordningen (1979:664). Bestämmelsen bryter de föreskrifter om sekretess mellan myndigheter som annars skulle kunna bli aktuella enligt offentlighets- och sekretesslagen (2009:400).
Utlämnande på medium för automatiserad behandling
19 § Om en personuppgift får lämnas ut, får det ske på medium för
automatiserad behandling.
Ds 2015:44 Författningskommentar
I paragrafen erinras om att personuppgifter som får lämnas ut, får lämnas ut på medium för automatiserad behandling. Övervägandena finns i avsnitt 7.14.4.
Av paragrafens lydelse följer att de personuppgifter som passmyndigheterna och Utrikesdepartementet får lämna ut, får lämnas ut på medium för automatiserad behandling. Med utlämnande på medium för automatiserad behandling avses ett annat elektroniskt utlämnande än genom direktåtkomst. Det kan alltså vara frågan om att personuppgifter lämnas ut genom ett usb-minne eller en cdskiva eller att uppgifterna sänds över via e-post eller genom någon annan form av elektroniskt kommunikationsmedel.
Rättelse och skadestånd
20 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och
skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen.
Paragrafen behandlar rättelse och skadestånd. Övervägandena finns i avsnitt 7.15.
Av paragrafen följer att bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204) ska tillämpas på personuppgifter som har behandlats i strid med passdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Vidare följer av bestämmelsen att föreskrifterna om skadestånd i 48 § personuppgiftslagen ska tillämpas på skada och kränkning av den personliga integriteten som har orsakats av en behandling av personuppgifter i strid med passdatalagen eller föreskrifter som har meddelats i anslutning till den lagen.
Ikraftträdande och övergångsbestämmelse
1. Lagen ska träda i kraft den …
2. Bestämmelsen i 16 § första stycket behöver inte tillämpas förrän den …
Författningskommentar Ds 2015:44
Lagen bör träda i kraft så snart som möjligt. Tidigaste tidpunkt för ikraftträdande torde vara sommaren 2016. Bestämmelserna om gallring i 16 § första stycket behöver emellertid inte tillämpas förrän ett år efter ikraftträdandet av lagen.
11.2. Förslag till lag om ändring i passlagen (1978:302)
6 a § Fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 ska
sparas i ett lagringsmedium i passet.
Paragrafen har ändrats i ett avseende. Ändringen innebär att gallringsbestämmelsen ”Fingeravtrycken och de biometriska data som tas fram ur dessa och ur ansiktsbilden ska omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits” har utgått. Denna gallringsföreskrift har istället överförts till passdatalagen. Övervägandena finns i avsnitt 7.12.5. I övrigt är paragrafen oförändrad.
Uppdraget
Justitiedepartementet Promemoria
2014-07-14
Personuppgiftsbehandling i verksamhet avseende pass och nationellt identitetskort
Bakgrund
Behandling av personuppgifter i verksamhet avseende pass
Bestämmelser om pass för svenska medborgare finns i passlagen (1978:302). Lagen reglerar förfarandet vid utfärdande av pass och anger när hinder mot utfärdande föreligger samt i vilka situationer ett pass kan återkallas och omhändertas. I passförordningen (1979:664) finns närmare bestämmelser om förfarandet.
Enligt passlagen utfärdas pass av passmyndighet. Polismyndigheterna fullgör uppgiften att vara passmyndighet inom Sverige, medan uppgiften i utlandet utförs av vissa svenska ambassader och konsulat. För polismyndigheternas passverksamhet gäller utöver passlagen och passförordningen Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14, FAP 530-1). För den passverksamhet som sker vid svenska ambassader och konsulat gäller på motsvarande sätt Regeringskansliets föreskrifter (UF
Bilaga 1 Ds 2015:44
2009:9) om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort. Vissa typer av pass – tjänstepass och diplomatpass – utfärdas inte av passmyndighet utan av Utrikesdepartementet. Vad gäller den verksamheten finns kompletterande bestämmelser i Regeringskansliets föreskrifter (UF 2007:2) om diplomat- och tjänstepass.
De passansökningar som polismyndigheterna handlägger hanteras i Resehandlingssystemet (RES) medan de passansökningar som svenska ambassader och konsulat samt Utrikesdepartementet handlägger hanteras i Resehandlingssystemet för utlandsmyndigheter (RES-UM). RES är ett kombinerat system för ärendehantering och register över utfärdade pass. Handlingar som varit aktuella i ett ärende skannas in och antecknas i RES respektive RES-UM.
När passmyndigheterna och Utrikesdepartementet handlägger ansökningar om pass behandlas personuppgifter i RES respektive RES-UM. Det rör sig huvudsakligen om sökandens namn, personnummer, längd, kön, födelseort, foto och fingeravtryck. Vissa uppgifter hämtas från system som är sammanlänkade med RES och RES-UM, medan andra uppgifter såsom fingeravtryck och digital ansiktsbild lämnas av sökanden vid ansökningstillfället. Skulle det vid ansökningstillfället framkomma att passhinder enligt passlagen kan föreligga ska en undersökning göras genom slagningar i misstankeregistret, belastningsregistret och kriminalvårdsregistret. En kontroll ska även göras om passhinder kan föreligga på grund av att sökanden genomgår rättspsykiatrisk vård eller har reseförbud enligt konkurslagen (1987:672). Vid handläggningen av en passansökan kan följaktligen även mer känsliga personuppgifter komma att behandlas, som t.ex. att sökanden är anhållen, avtjänar fängelsestraff eller genomgår rättspsykiatrisk vård med särskild utskrivningsprövning.
För den personuppgiftsbehandling som förekommer i verksamhet avseende pass gäller personuppgiftslagen (1998:204). Personuppgiftslagen anger den grundläggande ramen för behandling av personuppgifter och gäller i den mån det inte finns avvikande bestämmelser i annan lag eller förordning.
Bilaga 1
I passlagen och i passförordningen finns ett fåtal särregler som gäller för personuppgiftsbehandling i passverksamhet. Av 23 § passförordningen framgår att Rikspolisstyrelsen ska föra ett centralt passregister samt ett centralt register över vissa omständigheter som innebär att passtillstånd krävs. Det framgår också att det är Rikspolisstyrelsen och polismyndigheterna som för in uppgifter i passregistret, samt att Rikspolisstyrelsen på begäran ska lämna ut uppgift i form av fotografisk bild av enskild från passregistret till polismyndighet, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. Vad gäller behandlingen av sökandens fingeravtryck och ansiktsbild anges i 6 a och 6 b §§passlagen bl.a. att de biometriska data som tas fram ur dessa uppgifter omedelbart ska förstöras när passet har lämnats ut.
Behandling av personuppgifter i verksamhet avseende nationellt identitetskort
En passmyndighet kan på ansökan av svenska medborgare också utfärda nationella identitetskort. Det nationella identitetskortet infördes 2005 i syfte att underlätta resandet inom Schengenområdet. Identitetskortet regleras i förordningen (2005:661) om nationellt identitetskort. Ytterligare bestämmelser om nationella identitetskort finns, i likhet med vad som gäller för pass, i Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort samt Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort.
Ansökningar om nationella identitetskort handläggs, på samma sätt som passansökningar, i RES respektive RES-UM.
Även vid handläggningen av ansökningar om nationella identitetskort behandlas personuppgifter i RES respektive RES-UM. Det handlar framförallt om sökandens namn, personnummer, längd, kön och foto. Sökanden är skyldig att vid ansökningstillfället styrka sin identitet och sitt svenska medborgarskap. Däremot behöver förhållanden som utgör hinder mot att pass utfärdas, t.ex.
Bilaga 1 Ds 2015:44
att sökanden är anhållen eller genomgår rättspsykiatrisk vård med särskild utskrivningsprövning, inte undersökas eftersom sådana förhållanden inte hindrar att ett nationellt identitetskort utfärdas. Vid handläggningen av ärenden om nationella identitetskort behandlas således inte sådana mer känsliga personuppgifter som kan komma att behandlas i samband med en passansökan.
På motsvarande sätt som för personuppgiftsbehandlingen i passverksamheten regleras den behandling av personuppgifter som sker i verksamhet avseende nationella identitetskort i personuppgiftslagen.
I 4 och 14-19 §§ förordningen om nationellt identitetskort finns vissa särregler för den personuppgiftsbehandling som sker i verksamhet avseende nationella identitetskort. Av bestämmelserna framgår bl.a. att Rikspolisstyrelsen ska föra ett centralt register över nationella identitetskort, att registret ska ha till ändamål att ge information om sådana uppgifter som behövs i verksamhet för utfärdande av korten, att registret ska innehålla uppgifter om bl.a. sökandens namn, personnummer, längd, kön och ansiktsbild samt att uppgifterna i registret ska gallras senast sex månader efter att giltighetstiden för ett kort har gått ut.
Behovet av en utredning
Som framgår ovan gäller personuppgiftslagen generellt för all behandling av personuppgifter, såvida det inte finns särreglering i annan lag eller förordning. När det gäller personuppgiftsbehandling i polisens brottsbekämpande verksamhet finns särbestämmelser i polisdatalagen (2010:361) och polisdataförordningen (2010:1155). Polismyndigheternas personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, t.ex. i ärenden om pass och nationella identitetskort, faller som framgått utanför tillämpningsområdet för dessa författningar.
De bestämmelser som vid sidan av personuppgiftslagen reglerar passmyndigheternas och Utrikesdepartementets personuppgiftsbehandling i passverksamheten är begränsade och ålderdomliga. Med
Bilaga 1
hänsyn till omfattningen och karaktären av de uppgifter som behandlas i verksamheten avseende pass, samt till det stora antalet personer som finns registrerade i passregistret, finns skäl att överväga en mer utförlig och modern särreglering.
För den behandling av personuppgifter som sker i verksamheten avseende nationella identitetskort finns en mer detaljerad särreglering. De uppgifter som behandlas i kortärendena skiljer sig också i viss mån till sin omfattning och karaktär från de uppgifter som behandlas i passärendena. Vidare är betydligt färre personer registrerade i registret över identitetskorten jämfört med passregistret. Detta skulle kunna tala för att nuvarande regelverk gällande personuppgiftsbehandling i verksamhet avseende identitetskort är fullgott. Passverksamheten och verksamheten gällande identitetskorten är emellertid nära sammanflätade. Dessutom är det till stor del samma uppgifter som behandlas i de båda ärendetyperna. Mot denna bakgrund är det lämpligt att i samband med en översyn av personuppgiftsregleringen gällande pass också se över motsvarande reglering gällande identitetskort.
Uppdraget
En utredare ges i uppdrag att undersöka och redovisa vilken personuppgiftsbehandling som i dag sker i verksamhet rörande pass respektive nationella identitetskort.
Utifrån resultatet av undersökningen ska utredaren överväga och föreslå en ny särskild författningsreglering vad avser behandling av personuppgifter i passverksamheten. Utredaren ska också överväga behovet av, och eventuellt föreslå, ändringar i personuppgiftsregleringen gällande de nationella identitetskorten.
Var och en har gentemot det allmänna ett grundlagstadgat skydd mot sådant intrång som är betydande och som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd får begränsas enbart genom lag (2 kap.6 och 20 §§regeringsformen). Utredaren ska, med beaktande av grundlagsregleringen,
Bilaga 1 Ds 2015:44
särskilt överväga om det finns anledning att, och i så fall i vilken utsträckning, bestämmelser bör anges i lag.
Utredaren ska analysera och redovisa förslagens ekonomiska konsekvenser. Om kostnader bedöms uppkomma ska ett finansieringsförslag lämnas.
Under utförandet av uppdraget ska utredaren informera sig om annat pågående utredningsarbete som kan vara av betydelse för uppdragets genomförande och samråda med Rikspolisstyrelsen, Säkerhetspolisen, Datainspektionen, Utrikesdepartementet samt övriga berörda myndig-heter i den utsträckning som utredaren finner lämpligt. Utredaren ska också samråda med den utredare som biträder Justitiedepartementet med att överväga åtgärder för att motverka missbruk av svenska pass.
Uppdraget ska redovisas senast den 31 juli 2015.