Ds 2017:45

En omarbetad utlänningsdatalag – Anpassning till EU:s dataskyddsförordning

3

Innehåll

Vissa förkortningar ............................................................. 11

Sammanfattning ................................................................ 13

1 Författningsförslag ..................................................... 17

1.1 Förslag till lag om ändring i utlänningsdatalagen (2016:27) ................................................................................. 17 1.2 Förslag till förordning om ändring i utlänningsdataförordningen (2016:30) .................................. 27

2 Uppdraget och dess genomförande .............................. 29

2.1 Uppdraget ................................................................................ 29 2.2 Avgränsningar ......................................................................... 29 2.3 Uppdragets genomförande ..................................................... 30 2.4 Promemorians disposition ..................................................... 30

3 Gällande rätt ............................................................. 33

3.1 FN ............................................................................................ 33 3.2 OECD ..................................................................................... 33 3.3 Europarådet ............................................................................. 34 3.3.1 Europakonventionen ............................................... 34 3.3.2 Dataskyddskonventionen ....................................... 34 3.4 EU ............................................................................................ 35 3.4.1 Stadgan ..................................................................... 35

Innehållsförteckning Ds 2017:45

4

3.4.2 Dataskyddsdirektivet och dataskyddsrambeslutet............................................ 35 3.5 Svensk rätt ............................................................................... 36 3.5.1 Regeringsformen ..................................................... 36 3.5.2 Personuppgiftslagen ................................................ 37 3.6 Registerförfattningar för utlännings- och medborgarskapslagstiftningen ............................................... 37

4 Nya regelverk för personuppgiftsbehandling .................. 41

4.1 EU:s dataskyddsreform.......................................................... 41 4.1.1 Dataskyddsförordningen ........................................ 41 4.1.2 2016 års dataskyddsdirektiv .................................... 42 4.2 Två nya svenska regelverk för personuppgiftsbehandling ...................................................... 43

5 Nationella registerförfattningar .................................... 47

5.1 Registerförfattningarnas förenlighet med dataskyddsförordningen ........................................................ 47 5.2 Allmänna principer för behandling av personuppgifter ....... 49 5.3 Bedömning .............................................................................. 50

6 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet .................................................. 53

6.1 Dataskyddslagen ..................................................................... 55 6.2 Myndighetsutövning, uppgift av allmänt intresse eller rättslig förpliktelse? ................................................................ 56 6.2.1 Uppgift av allmänt intresse ..................................... 56 6.2.2 Myndighetsutövning ............................................... 57 6.2.3 Rättslig förpliktelse ................................................. 59 6.3 Den rättsliga grunden finns i artikel 6.1 c och e i dataskyddsförordningen ........................................................ 60 6.3.1 Myndigheternas uppdrag på utlännings- och medborgarskapsområdet......................................... 60 6.3.2 Bedömning .............................................................. 61

Ds 2017:45 Innehållsförteckning

5

7 Syfte och tillämpningsområde ..................................... 69

7.1 Lagens syfte ............................................................................. 69 7.2 Verksamhet som omfattas av tillämpningsområdet .............. 70 7.2.1 Migrationsverkets och utlandsmyndigheternas verksamhet ............................................................... 70 7.2.2 Polismyndighetens verksamhet .............................. 72 7.2.3 Avgränsning mot direktivsstyrd verksamhet ......... 73 7.2.4 Bedömning ............................................................... 74 7.3 Avgränsningar för tillämpningsområdet ............................... 76 7.3.1 Lagen om Schengens informationssystem, Viseringskodexen och Eurodac-förordningen ....... 76 7.3.2 Lagen om passagerarregister ................................... 78 7.3.3 VIS-förordningen .................................................... 79 7.4 Automatiserad behandling och manuella register ................. 83

8 Ändamålsbestämmelser ............................................. 87

8.1 Primära ändamålsbestämmelser ............................................. 87 8.1.1 Rättslig reglering...................................................... 87 8.1.2 Tidigare förarbeten .................................................. 88 8.2 Sekundära ändamålsbestämmelser ......................................... 92 8.2.1 Rättslig reglering...................................................... 92 8.2.2 Tidigare förarbeten .................................................. 93 8.3 Ett uttryckligt angivet och tydligt ändamål .......................... 95 8.4 Finalitetsprincipen .................................................................. 95 8.5 Precisering av rättslig grund eller ändamålsbestämmelser? .......................................................... 97 8.6 Bedömning .............................................................................. 98 8.6.1 Ändamålen för behandling bör uttryckligen anges ......................................................................... 98 8.6.2 Tillräckligt tydliga och specifika ändamål ............ 100 8.6.3 Uppgifter som har behandlats enligt brottsdatalagen ...................................................... 102 8.6.4 Hänvisningen till finalitetsprincipen .................... 103

Innehållsförteckning Ds 2017:45

6

9 Förhållandet till annan lagstiftning ............................ 105

9.1 Förhållandet till personuppgiftslagen ................................. 105 9.2 Förhållandet till dataskyddsförordningen .......................... 105 9.3 Förhållandet till dataskyddslagen ........................................ 108 9.4 Befintliga hänvisningar till personuppgiftslagen och hänvisningar till dataskyddslagen ........................................ 109 9.4.1 Definitioner ........................................................... 109 9.4.2 Förhållandet till offentlighetsprincipen ............... 109 9.4.3 Grundläggande krav på behandling av personuppgifter ..................................................... 110 9.4.4 Behandling av personnummer och samordningsnummer ............................................ 110 9.4.5 Information till den registrerade och rättelse...... 111 9.4.6 Säkerhet vid behandlingen .................................... 111 9.4.7 Överföring till tredje land..................................... 111 9.4.8 Personuppgiftsombud och förhandskontroll ...... 112 9.4.9 Upplysningar till allmänheten om vissa behandlingar .......................................................... 112 9.4.10 Tillsynsmyndighetens handläggning och

beslut ...................................................................... 113

9.4.11 Skadestånd ............................................................. 118 9.4.12 Överklagande ........................................................ 119 9.4.13 Förhållandet till tryck- och yttrandefriheten ...... 119 9.4.14 Sanktionsavgifter ................................................... 120

10 Personuppgiftsansvaret ............................................ 123

11 Dataskyddsombud .................................................... 125

11.1 1995 års dataskyddsdirektiv, personuppgiftslagen och

utlänningsdatalagen .............................................................. 125

11.2 Dataskyddsförordningen ..................................................... 126 11.2.1 Myndigheter ska utse dataskyddsombud ............ 126 11.2.2 Dataskyddsombudets ställning, uppgifter

m.m. ....................................................................... 127

11.3 Bedömning ............................................................................ 129

Ds 2017:45 Innehållsförteckning

7

11.3.1 Dataskyddsombudet – ”internrevisor” med något utökat uppdrag ............................................ 129 11.3.2 Skyldigheten att utse dataskyddsombud och ombudets uppgifter framgår av dataskyddsförordningen ....................................... 131 11.3.3 Tystnadsplikt för dataskyddsombudet................. 133

12 Känsliga personuppgifter och sökbegränsningar .......... 135

12.1 Känsliga personuppgifter ...................................................... 135 12.1.1 Dataskyddsförordningen och 1995 års

dataskyddsdirektiv ................................................. 135

12.1.2 Dataskyddslagen .................................................... 136 12.1.3 Utlänningsdatalagens allmänna bestämmelser ..... 137 12.1.4 Migrationsverkets register över fingeravtryck och fotografier ....................................................... 138 12.1.5 Bedömning ............................................................. 139 12.2 Sökbegränsningar .................................................................. 144 12.2.1 Utlänningsdatalagen och dataskyddslagen .......... 144 12.2.2 Bedömning ............................................................. 145

13 Tillgången till personuppgifter .................................. 149

13.1 Utlänningsdatalagen och utlänningsdataförordningen ...... 149 13.2 Bedömning ............................................................................ 150

14 Den registrerades rättigheter ..................................... 153

14.1 Inledande kommentar ........................................................... 153 14.2 En generell möjlighet till undantag ...................................... 154 14.3 Information när personuppgifter samlas in från den registrerade ............................................................................ 155 14.3.1 Utlänningsdatalagen och personuppgiftslagen .... 155 14.3.2 Dataskyddsförordningen och dataskyddslagen ... 155 14.3.3 Bedömning ............................................................. 156 14.4 Information när personuppgifter samlas in från någon annan än den registrerade ..................................................... 158 14.4.1 Utlänningsdatalagen och personuppgiftslagen .... 158

Innehållsförteckning Ds 2017:45

8

14.4.2 Dataskyddsförordningen ...................................... 159 14.4.3 Bedömning ............................................................ 159 14.5 Information efter begäran .................................................... 160 14.5.1 Utlänningsdatalagen och personuppgiftslagen ... 160 14.5.2 Dataskyddsförordningen och dataskyddslagen .. 161 14.5.3 Bedömning ............................................................ 162 14.6 Rättelse och radering samt rätt att göra invändningar och begära begränsning av behandling ................................ 163 14.6.1 Utlänningsdatalagen, personuppgiftslagen och

1995 års dataskyddsdirektiv .................................. 163

14.6.2 Dataskyddsförordningen ...................................... 165 14.6.3 Bedömning ............................................................ 167 14.7 Automatiserade beslut.......................................................... 172 14.8 Skadestånd............................................................................. 174 14.8.1 Utlänningsdatalagen och personuppgiftslagen ... 174 14.8.2 Dataskyddsförordningen ...................................... 174 14.8.3 Dataskyddslagen ................................................... 175 14.8.4 Bedömning ............................................................ 175 14.9 Information om personuppgiftsincidenter ......................... 176 14.9.1 Dataskyddsförordningen ...................................... 176 14.9.2 Bedömning ............................................................ 177

15 Direktåtkomst och sekretessbrytande bestämmelser .... 179

15.1 Direktåtkomst ...................................................................... 179 15.1.1 Proportionalitetsbedömning ................................ 179 15.1.2 Innebörden av direktåtkomst ............................... 180 15.1.3 Utlänningsdatalagen och

utlänningsdataförordningen ................................. 182

15.2 Sekretessbrytande bestämmelser ......................................... 184 15.3 Bedömning ............................................................................ 184

16 Tredjelandsöverföringar ............................................ 187

16.1 Utlänningsdatalagen och personuppgiftslagen ................... 187 16.2 Dataskyddsförordningen ..................................................... 188

Ds 2017:45 Innehållsförteckning

9

16.3 Bedömning ............................................................................ 189

17 Bevarande, avskiljande och gallring av personuppgifter ....................................................... 191

17.1 Bevarande av personuppgifter .............................................. 191 17.1.1 Utlänningsdatalagen och personuppgiftslagen .... 191 17.1.2 Dataskyddsförordningen ...................................... 193 17.1.3 Dataskyddslagen .................................................... 195 17.1.4 Bedömning ............................................................. 196 17.2 Avskiljande av personuppgifter ............................................ 202 17.2.1 Utlänningsdatalagen och

utlänningsdataförordningen .................................. 202

17.2.2 Bedömning ............................................................. 203 17.3 Gallring av personuppgifter.................................................. 205 17.3.1 Arkivreglerna i korthet.......................................... 205 17.3.2 Utlänningsdatalagen och

utlänningsdataförordningen .................................. 205

17.3.3 Bedömning ............................................................. 207

18 Föreskriftsrätten ...................................................... 211

18.1 Utlänningsdatalagen och utlänningsdataförordningen ...... 211 18.2 Bedömning ............................................................................ 212

19 Överklagandebestämmelser ...................................... 213

19.1 Utlänningsdatalagen och personuppgiftslagen ................... 213 19.2 Dataskyddsförordningen och stadgan ................................. 213 19.3 Dataskyddslagen ................................................................... 215 19.3.1 Överklagande av en myndighets beslut ................ 215 19.3.2 Dröjsmålstalan ....................................................... 216 19.3.3 Överklagande av tillsynsmyndighetens beslut ..... 217 19.3.4 Beslut om enskilt organs behandling för

arkivändamål .......................................................... 217

19.3.5 Uttömmande överklagandebestämmelser ............ 218 19.4 Bedömning ............................................................................ 218

Innehållsförteckning Ds 2017:45

10

20 Övergångs- och ikraftträdandebestämmelser ............... 223

20.1 Två olika ikraftträdandedatum ............................................. 223 20.2 Pågående ärenden ................................................................. 224 20.3 Beslut som har meddelats före ikraftträdandet................... 226 20.4 Skada som har orsakats före ikraftträdandet ...................... 228 20.5 Sanktioner mot överträdelser som har skett före ikraftträdandet ...................................................................... 229

21 Konsekvenser av förslagen ........................................ 231

21.1 Analysens omfattning och förslagens konsekvenser.......... 231 21.2 Tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter ................................................................... 232

22 Författningskommentar ............................................ 235

22.1 Förslaget till lag om ändring i utlänningsdatalagen (2016:27) ............................................................................... 235 22.2 Förslaget till förordning om ändring i utlänningsdataförordningen (2016:30) ............................... 243

Bilaga 1 Uppdraget ..................................................................... 245

Bilaga 2 Konsoliderad version av utlänningsdatalagen enligt

våra förslag .................................................................... 249

Bilaga 3 Europaparlamentets och rådets förordning (EU)

2016/679 ....................................................................... 259

11

Vissa förkortningar

1995 års dataskyddsdirektiv Europaparlamentets och rådets direktiv 95/46/EG av den

24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

2016 års dataskyddsdirektiv Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av

personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF

a.a. anfört arbete a.prop. anförd proposition dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på

behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Vissa förkortningar Ds 2017:45

12

dir. direktiv Ds Departementsserien EU Europeiska unionen EU-domstolen Europeiska unionens domstol/ Europeiska gemenskapernas domstol Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna f./ff. följande sida/sidor FN Förenta nationerna HFD Högsta förvaltningsdomstolens

årsbok

NJA Nytt juridiskt arkiv OECD Organisationen för ekonomiskt samarbete och utveckling OSL Offentlighets- och sekretesslagen (2009:400) prop. regeringens proposition PuL Personuppgiftslagen (1998:204) RF Regeringsformen RÅ Regeringsrättens årsbok SOU Statens offentliga utredningar TF Tryckfrihetsförordningen

13

Sammanfattning

Anpassningar till EU:s dataskyddsförordning

EU:s dataskyddsreform innebär att en ny dataskyddsförordning1kommer att utgöra grunden för generell personuppgiftsbehandling inom EU från och med den 25 maj 2018. Reformen omfattar även ett nytt direktiv med särregler för den personuppgiftsbehandling som utförs av behöriga myndigheter för bl.a. brottsbekämpning, lagföring och straffverkställighet.2 Denna promemoria innehåller förslag till de författningsändringar som behövs i utlänningsdatalagen (2016:27) och utlänningsdataförordningen (2016:30) med anledning av dataskyddsförordningen.

Tillämpningsområdet

Utlänningsdatalagen reglerar den personuppgiftsbehandling som utförs av Migrationsverket, Polismyndigheten och utlandsmyndigheterna i vissa utpekade verksamheter inom utlännings- och medborgarskapslagstiftningen. Tillämpningsområdet omfattar för närvarande dock inte den personuppgiftsbehandling som utförs i Polismyndighetens brottsbekämpande verksamhet. För att anpassa lagen till det nya regelverket för personuppgiftsbehandling föreslår vi att lagen inte ska gälla vid sådan behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde. Vi föreslår

1 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Sammanfattning Ds 2017:45

14

också att det i utlänningsdatalagen ska klargöras att den lagen inte gäller när personuppgifter behandlas med stöd av lagen (2006:444) om passagerarregister. I övrigt ska lagens tillämpningsområde enligt vårt förslag kvarstå oförändrat. Dataskyddsförordningen ska tillämpas i Sverige som om den vore nationell rätt, men hindrar inte förekomsten av nationella registerförfattningar. Dessa kommer framöver dock endast att utgöra en komplettering till dataskyddsförordningen, vilket enligt vårt förslag ska klargöras i utlänningsdatalagen.

Grundläggande bestämmelser

Den rättsliga grunden för den personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde utgörs enligt vår bedömning av att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Till allra största delen föranleder dataskyddsförordningen inte någon förändring av utlänningsdatalagens ändamålsbestämmelser. Vi föreslår dock att den hänvisning till finalitetsprincipen som finns i lagens sekundära ändamålsbestämmelser ska knyta an till dataskyddsförordningens bestämmelser i denna del. Vi föreslår också att det i utlänningsdatalagen klargörs att personuppgifter som behandlas eller har behandlats för lagens primära ändamål ska få behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, förutsatt att de säkerhetsåtgärder som framgår av artikel 89.1 i dataskyddsförordningen vidtas.

Övriga materiella bestämmelser

Som vi nämnt ovan kommer utlänningsdatalagen framöver att utgöra en komplettering till dataskyddsförordningen. Det är således i förordningen som de grundläggande bestämmelserna om personuppgiftsbehandling kommer att finnas.

Till stora delar föranleder dataskyddsförordningen dock inga eller endast redaktionella ändringar av utlänningsdatalagen. Exempelvis kommer bestämmelserna om personuppgiftsansvar,

Ds 2017:45 Sammanfattning

15

direktåtkomst, avskiljande och gallring att kunna kvarstå oförändrade i materiellt hänseende. Vi föreslår dock att bestämmelserna om behandling av känsliga personuppgifter anpassas till dataskyddsförordningen på så sätt att definitionen av vilka kategorier av personuppgifter som ska anses vara känsliga överensstämmer med dataskyddsförordningens begrepp. Detta innebär att även uppgifter om sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person tillkommer. Förändringen ska emellertid inte innebära några hinder mot att – på samma sätt som för närvarande – behandla personuppgifter som finns i Migrationsverkets register över fingeravtryck och fotografier.

Utlänningsdatalagens nuvarande bestämmelse om personuppgiftsombud kommer att ersättas med dataskyddsförordningens bestämmelser om skyldighet att utse dataskyddsombud. Förordningen är tydligare vad gäller ombudets ställning och uppgifter.

När dataskyddsförordningen börjar tillämpas ska personuppgiftslagen (1998:204) upphävas.3 I enlighet med vad som tidigare gällt i förhållande till personuppgiftslagen föreslår vi att utlänningsdatalagen ska gälla i stället för den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen), som föreslås komplettera EU:s dataskyddsförordning på ett generellt plan i svensk rätt (se Dataskyddsutredningens betänkande [SOU 2017:39]). Det ska i utlänningsdatalagen särskilt anges vilka bestämmelser i dataskyddslagen som ska gälla inom tillämpningsområdet.

Genom hänvisningar till dataskyddslagens bestämmelser kommer stora delar av den tidigare regleringen för personuppgiftsbehandling att behållas. Det gäller bl.a. de aktuella myndigheternas rätt att behandla uppgifter om personnummer och samordningsnummer, begränsningen av den registrerades rätt till ett s.k. registerutdrag för uppgifter i löpande text eller minnesanteckningar samt rätten för myndigheterna att återanvända personuppgifter i arkiverade handlingar. Även de undantag som för närvarande finns från den registrerades rätt till information vid insamling av person-

3 Se kommittédirektiv till Dataskyddsutredningen (Dir. 2016:15 s. 6).

Sammanfattning Ds 2017:45

16

uppgifter samt från rätten till ett registerutdrag kommer på detta sätt att upprätthållas.

Dataskyddsförordningen innehåller bestämmelser som i vissa fall ger den registrerade rätt till information om en inträffad personuppgiftsincident. För att säkerställa att den registrerade inte genom sådan information får del av uppgifter som det råder sekretess för gentemot honom eller henne, föreslår vi att det införs ett undantag från denna rättighet. Undantaget ska gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. De undantag från dataskyddsförordningens bestämmelser om den registrerades rättigheter som vi föreslagit får – tillsammans med de undantag som finns i dataskyddsförordningen – till följd att de aktuella myndigheternas verksamhet kan fortgå även om den registrerade utnyttjar sina rättigheter enligt dataskyddsförordningen. Handläggning av enskilda ärenden behöver inte avstanna, bevarande av handlingar kommer att vara möjlig, personuppgifter i avslutade och arkiverade ärenden kan fortsätta behandlas och allmänhetens tillgång till allmänna handlingar inskränks inte.

Tillsyn och överklagande

Dataskyddsförordningen och förslaget till dataskyddslag kommer att förändra systemet för sanktioner vid otillåten personuppgiftsbehandling. Vi föreslår att dataskyddslagens bestämmelser om administrativa sanktionsavgifter mot myndigheter i tillämpliga delar ska gälla även på utlänningsdatalagens tillämpningsområde. Detsamma gäller för dataskyddslagens bestämmelser om tillsynsmyndighetens handläggning och beslut. Genom en hänvisning till dataskyddslagen ska det även klargöras att den rätt till skadestånd för registrerade som framgår av dataskyddsförordningen även gäller vid överträdelser av dataskyddslagens (i tillämpliga delar) och utlänningsdatalagens bestämmelser. Även dataskyddslagens överklagandebestämmelser kommer att gälla på utlänningsdatalagens tillämpningsområde.

17

1 Författningsförslag

1.1 Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs i fråga om utlänningsdatalagen (2016:27)

dels att 10 § ska upphävas,

dels att rubriken närmast före 7 § ska utgå,

dels att nuvarande 14 § ska betecknas 15 a §,

dels att 3, 5–8, 13, 15, 17, 18, 20 och 21 §§ ska ha följande lydelse,

dels att rubriken närmast före nuvarande 14 § ska sättas närmast före 15 a §,

dels att det ska införas fyra nya paragrafer, 3 a, 6 a, 13 a och 18 a §§, och närmast före 6, 6 a och 18 a §§ nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §

Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet.

Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige.

3 a §

Denna lag gäller inte vid sådan behandling av personuppgifter som

Författningsförslag Ds 2017:45

18

omfattas av brottsdatalagens (2018:xx) tillämpningsområde.

5 §

Denna lag gäller inte när personuppgifter behandlas med stöd av

1. lagen (2000:344) om Schengens informationssystem,

2. lagen ( 2006:444 ) om passagerarregister,

2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller

3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med

Eurodac-

uppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet

3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller

4. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med

Eurodac-

uppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet

Ds 2017:45 Författningsförslag

19

och rättvisa (omarbetning). och rättvisa (omarbetning).

Personuppgiftsbehandling enligt VIS-förordningen

6 §

När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VISförordningen), gäller bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VISförordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av

VIS-förordningen.

När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VISförordningen) gäller, om inte något annat följer av VISförordningen, följande.

1. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med VIS-förordningen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna

Författningsförslag Ds 2017:45

20

undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med VISförordningen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VISförordningen.

Förhållandet till annan lagstiftning

6 a §

Denna lag innehåller kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Ds 2017:45 Författningsförslag

21

7 §

Om inte något annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

Om inte något annat anges i 8 §, gäller denna lag i stället för lagen (2018:xx) med kompletterande bestämmelser till

EU:s dataskyddsförordning.

8 §1

När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § om grundläggande krav på behandling av personuppgifter,

4. 22 § om behandling av personnummer,

5. 23 och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m.,

10. 42 § om upplysningar till allmänheten om vissa behandlingar,

11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i lagen (2018:xx) med kompletterande bestämmelser till

EU:s dataskyddsförordning:

1. 1 kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten,

2. 3 kap. 6 § första stycket om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse,

3. 3 kap. 13 § om behandling av personnummer och samordningsnummer,

4. 4 kap. 1 § om användningsbegränsningar för arkiverade personuppgifter,

5. 5 kap. 1 § första stycket och 5 kap. 2 § om begränsningar av vissa rättigheter och skyldigheter,

6. 6 kap. 1–5 §§ om tillsynsmyndighetens handläggning och beslut,

7. 7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter,

1 Ändringen innebär bl.a. att andra och tredje stycket tas bort.

Författningsförslag Ds 2017:45

22

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.

8. 8 kap. 1 § om skadestånd, och

9. 8 kap. 2–4 och 6 §§ om överklagande.

Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen .

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

13 §

Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till

1. riksdagen eller regeringen,

2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller

3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att behandlingen är tillåten enligt artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679.

Ds 2017:45 Författningsförslag

23

13 a §

Personuppgifter som behandlas eller har behandlats enligt 11– 12 §§ får även behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679.

Första stycket gäller inte om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen.

15 §

Sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)får endast behandlas

Sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) får endast behandlas

1. för de ändamål som anges i 11 § 1–4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Vad som sägs i första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 a §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och

2. föreskrifter om gallring.

Författningsförslag Ds 2017:45

24

17 §

Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar

1. ras eller etniskt ursprung,

2. politiska åsikter,

3. religiös eller filosofisk övertygelse,

4. medlemskap i fackförening,

5. hälsa, eller

6. sexualliv.

Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter enligt 15 §.

Vad som sägs i första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 a §.

18 §

Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.

Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204)inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp.

Vid sökning i personuppgifter får uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp.

Begränsningar av vissa rättigheter och skyldigheter

18 a §

Bestämmelserna om den registrerades rätt att få information om en person-

Ds 2017:45 Författningsförslag

25

uppgiftsincident enligt artikel 34 i Europaparlamentets och rådets förordning (EU) 2016/679, gäller inte om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade.

20 §

Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.

Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 15 a § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.

Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5.

Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 15 a § andra stycket 1, 2 eller 5.

Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten.

21 §

Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i

Personuppgifter får föras över till tredjeland även utan den

Författningsförslag Ds 2017:45

26

8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).

registrerades samtycke om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).

Sådan överföring får ske även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i Europaparlamentets och rådets förordning (EU) 2016/679.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland.

1. Denna lag träder i kraft den 1 maj 2018 i fråga om 3 och 3 a §§ och i övrigt den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av de föreskrifterna.

Ds 2017:45 Författningsförslag

27

1.2 Förslag till förordning om ändring i utlänningsdataförordningen (2016:30)

Härigenom föreskrivs att 9 § utlänningsdataförordningen (2016:30) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 §

Polismyndighetens direktåtkomst ska begränsas till de personuppgifter som myndigheten behöver för de ändamål som anges i 11 § 1–4 och 14 § andra stycket 2 utlänningsdatalagen (2016:27).

Polismyndighetens direktåtkomst ska begränsas till de personuppgifter som myndigheten behöver för de ändamål som anges i 11 § 1–4 och 15 a § andra stycket 2 utlänningsdatalagen (2016:27).

29

2 Uppdraget och dess genomförande

2.1 Uppdraget

Mitt uppdrag är att lämna förslag på de författningsändringar som behövs för att komplettera EU:s dataskyddsförordning1 i utlänningsdatalagen (2016:27) och utlänningsdataförordningen (2016:30). Enligt uppdragsbeskrivningen ska jag belysa vilka konsekvenser de föreslagna ändringarna bedöms få. Om förslagen förväntas leda till kostnadsökningar för det allmänna, ska jag föreslå hur dessa ska finansieras.

2.2 Avgränsningar

Det ligger inte inom uppdraget att presentera en heltäckande redogörelse för dataskyddsförordningens bestämmelser eller för skillnaderna mellan det gamla och det nya regelverket för personuppgiftsbehandling. Eventuella behov av förändringar i utlänningsdatalagen som inte är en följd av dataskyddsförordningen kan på grund av den tidsmässiga aspekten inte heller hanteras inom ramen för vårt uppdrag.

Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) har vidare i uppdrag att lämna förslag till de författningsförändringar som krävs för att genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter

1 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Uppdraget och dess genomförande Ds 2017:45

30

för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Inom den utredningens uppdrag ligger även att analysera och beskriva 2016 års dataskyddsdirektivs tillämpningsområde. Dessa frågor behandlas således inte i denna promemoria.

2.3 Uppdragets genomförande

Utredningsarbetet har bedrivits på sedvanligt sätt, dock utan särskild expert- eller referensgrupp. I stället har samråd med Migrationsverket och Polismyndigheten skett kontinuerligt under utredningstiden. Vi har också samrått med Utredningen om 2016 års dataskyddsdirektiv och ingått i en informell samordningsgrupp med andra utredningar som haft i uppdrag att anpassa svensk rätt till EU:s dataskyddsreform.

2.4 Promemorians disposition

Promemorian är indelad i 22 kapitel.

I kapitel 1 finns författningsförslaget. Kapitel 2 behandlar uppdraget och dess genomförande. I kapitel 3 redogör vi för gällande internationell och nationell rätt på personuppgiftsområdet.

EU:s dataskyddsreform behandlas i kapitel 4. Därefter följer en bedömning av möjligheten att behålla eller införa nationella registerförfattningar (kapitel 5) och av vilken eller vilka av dataskyddsförordningens s.k. rättsliga grunder som ger stöd för den personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde (kapitel 6). I kapitel 7 behandlar vi utlänningsdatalagens syfte och tillämpningsområde. Kapitel 8 innehåller en bedömning av lagens ändamålsbestämmelser och behovet av att komplettera dessa. Sedan följer i kapitel 9 våra överväganden av lagens förhållande till annan lagstiftning och hur dess befintliga hänvisningar till personuppgiftslagen (1998:204) ska hanteras. I kapitel 10 behandlar vi personuppgiftsansvaret och i kapitel 11 bestämmelsen om personuppgiftsombud.

Vår bedömning av hur dataskyddsförordningens bestämmelser om behandling av känsliga personuppgifter påverkar utlännings-

Ds 2017:45 Uppdraget och dess genomförande

31

datalagen finns i kapitel 12. Kapitel 13 innehåller våra överväganden vad gäller tillgången till personuppgifter. Därefter redogör vi, i kapitel 14, för de viktigaste förändringarna dataskyddsförordningen innebär för de registrerades rättigheter. Där gör vi också en analys av möjligheterna och behovet av att begränsa de registrerades rättigheter i vissa fall. Därefter följer en bedömning av lagens bestämmelser om direktåtkomst och uppgiftsskyldighet (kapitel 15).

Våra överväganden vad gäller utlänningsdatalagens och utlänningsdataförordningens bestämmelser om tredjelandsöverföringar av personuppgifter finns i kapitel 16. I kapitel 17 behandlas vilka förändringar som krävs för att bevarande av personuppgifter fortsatt ska vara tillåtet inom utlänningsdatalagens tillämpningsområde. Kapitlet innehåller också vår bedömning vad gäller lagens bestämmelser om avskiljande och gallring. Föreskriftsrätten behandlas i kapitel 18, förändringar av överklagandebestämmelser i kapitel 19 och frågor om övergångs- och ikraftträdandebestämmelser i kapitel 20. Slutligen behandlas konsekvenserna av våra förslag i kapitel 21. I kapitel 22 finns en kortfattad författningskommentar till de författningsändringar som föreslås.

För att läsaren ska få en bättre överblick över hur våra förslag påverkar utlänningsdatalagens innehåll finns i bilaga 2 en sammanställning av hur den lagen kommer att se ut i sin helhet om våra förslag genomförs (konsoliderad version). Dataskyddsförordningen finns bifogad som bilaga 3.

33

3 Gällande rätt

3.1 FN

Förenta Nationerna (FN) antog år 1948 den allmänna förklaringen om de mänskliga rättigheterna, som inte är formellt bindande för medlemsstaterna. Vidare har det inom FN utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som trädde i kraft 1976. Sverige har anslutit sig till konventionen. I både den allmänna förklaringen och konventionen (artikel 12 respektive artikel 17) finns bestämmelser om rätten till skydd för enskildas privata sfär. Av artikel 29 i den allmänna förklaringen framgår vidare att en person vid utövandet av sina rättigheter och friheter endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN:s generalförsamling antog år 1990 riktlinjer om datoriserade register med personuppgifter, som innehåller de grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende sådana register.

3.2 OECD

OECD:s (Organisationen för ekonomiskt samarbete och utveckling) råd antog år 1980 riktlinjer i fråga om integritetsskyddet och personuppgiftsflödet över gränserna. Samtidigt utfärdades en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Riktlinjerna gäller för både privat och offentlig sektor, de ska uppfattas som minimiregler och de motsvarar i princip de bestämmelser som finns

Gällande rätt Ds 2017:45

34

i Europarådets dataskyddskonvention. Samtliga medlemsländer har åtagit sig att följa riktlinjerna.

3.3 Europarådet

3.3.1 Europakonventionen

Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som lag i Sverige.1 Av 2 kap. 19 § regeringsformen framgår också att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Enligt artikel 8 i Europakonventionen har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentliga myndigheter får inte inskränka denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd, förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter.

3.3.2 Dataskyddskonventionen

Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) trädde i kraft år 1985. Samtliga EU:s medlemsstater har ratificerat konventionen, som är bindande.

Konventionen innehåller grundläggande principer för dataskydd som de konventionsanslutna staterna ska beakta i sin nationella lagstiftning. Syftet med konventionen är att säkerställa rätten till personlig integritet i samband med automatiserad behandling av personuppgifter. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad data-

1 Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

Ds 2017:45 Gällande rätt

35

behandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.

Utöver dataskyddskonventionen har det inom Europarådet utarbetats flera icke bindande rekommendationer på dataskyddsområdet.

3.4 EU

3.4.1 Stadgan

Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) är en del av EU:s primärrätt och bindande för både EU:s institutioner och medlemsstaterna vid tillämpning av unionsrätten.2

Enligt artikel 7 i stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i stadgan framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Det framgår också att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har också rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. Enligt artikel 47 i stadgan har var och en vars unionsrättsligt garanterade fri- och rättigheter har kränkts rätt till ett effektivt rättsmedel inför en domstol.

3.4.2 Dataskyddsdirektivet och dataskyddsrambeslutet

Den allmänna regleringen om behandling av personuppgifter inom EU finns för närvarande i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Vi kommer fortsatt i denna promemoria att hänvisa till detta direktiv som 1995 års dataskyddsdirektiv.

2 Se artikel 61.1 i Lissabonfördraget och artikel 51 i stadgan.

Gällande rätt Ds 2017:45

36

Direktivets syfte är, enligt artikel 1.1, att garantera att medlemsstaterna skyddar fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Av artikel 1.2 framgår vidare att syftet är att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Behandling av personuppgifter på områden som faller eller tidigare föll utanför unionsrätten, till exempel allmän säkerhet och försvar samt statens verksamhet på straffrättens område, omfattas inte av 1995 års dataskyddsdirektiv. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är, enligt artikel 1.2 i beslutet, tillämpligt på personuppgiftsbehandling i form av överföring mellan medlemsstaterna i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Dataskyddsrambeslutet gäller dock inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet. Dataskyddsrambeslutet har genomförts i svensk rätt främst genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3.5 Svensk rätt

3.5.1 Regeringsformen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens

Ds 2017:45 Gällande rätt

37

grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Sverige har genomfört 1995 års dataskyddsdirektiv främst genom personuppgiftslagen (1998:204), förkortad PuL. Lagen trädde i kraft den 24 oktober 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som 1995 års dataskyddsdirektiv och innehåller – liksom direktivet – bestämmelser om bland annat personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar (eller informationshanteringsförfattningar3) som reglerar myndigheternas personuppgiftsbehandling.

Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191), som bland annat pekar ut Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bland annat i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

3.6 Registerförfattningar för utlännings- och medborgarskapslagstiftningen

För myndigheters behandling av personuppgifter finns, som vi nyss nämnt, en stor mängd särskilda registerförfattningar. Syftet med dessa författningar är att anpassa personuppgiftsregleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan verksamhetens

3 Jfr Informationshanteringsutredningens betänkande (SOU 2015:39 s. 967 ff.).

Gällande rätt Ds 2017:45

38

behov av effektivitet och den enskildes rätt till skydd för sin integritet.

Migrationsverkets, utlandsmyndigheternas, Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen reglerades tidigare av förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, som trädde i kraft den 1 oktober 2001.

Personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet sker till stora delar utan att den enskildes samtycke inhämtas. De personuppgifter som behandlades enligt den tidigare förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen omfattade vidare en mängd uppgifter om ett stort antal personer som – även om detta inte var syftet med behandlingen – kunde anses innebära övervakning eller kartläggning av den enskildes personliga förhållanden. Mot den bakgrunden ansåg regeringen att personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet åtminstone delvis innebär betydande intrång i den personliga integriteten och därmed faller inom det område som enligt 2 kap. 6 och 20 §§ RF måste regleras i lag (se avsnitt 3.5.1).

En översyn av regelverket resulterade i utlänningsdatalagen (2016:27) och utlänningsdataförordningen (2016:30), vilka trädde i kraft den 12 februari 2016. Utlänningsdatalagen med den tillhörande förordningen gäller vid behandling av personuppgifter i vissa angivna verksamheter enligt utlännings- och medborgarskapslagstiftningen hos Migrationsverket, utlandsmyndigheterna och Polismyndigheten. De gäller även i vissa fall när personuppgifter i dessa verksamheter vidarebehandlas för att lämnas ut till exempelvis riksdagen, regeringen eller till en annan myndighet eller en enskild med stöd av lag eller förordning. Utlänningsdatalagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till de bestämmelser i den lagen som ska gälla inom tillämpningsområdet. Regelverket är tänkt att vara flexibelt för att passa de olika myndigheternas verksamhet och för att möjliggöra utveckling och effektivisering av myndigheternas verksamhet och it-stöd. På grund av den snabba tekniska utvecklingen har målsättningen också

Ds 2017:45 Gällande rätt

39

varit att i så stor utsträckning som möjligt göra utlänningsdatalagen och utlänningsdataförordningen teknikneutrala.4

4 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 37).

41

4 Nya regelverk för personuppgiftsbehandling

4.1 EU:s dataskyddsreform

Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en förordning som ersätter 1995 års dataskyddsdirektiv1 och dels ett nytt direktiv med särregler för personuppgiftsbehandling i främst den brottsbekämpande sektorn.

4.1.1 Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den vedertagna förkortningen för förordningen är GDPR. I likhet med de flesta andra utredningar som nu ser eller har sett över svensk lagstiftning på detta område har vi dock valt att i vår promemoria som kortform för den nya rättsakten använda oss av dataskyddsförordningen.

Av skäl 13 till dataskyddsförordningen framgår att syftet med förordningen bl.a. är att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden.

1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

Nya regelverk för personuppgiftsbehandling Ds 2017:45

42

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta 1995 års dataskyddsdirektiv och utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Förordningens bestämmelser ska således tillämpas av enskilda, myndigheter och domstolar på samma sätt som om de vore nationella författningsbestämmelser. Även om dataskyddsförordningen är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag.

4.1.2 2016 års dataskyddsdirektiv

Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. I fortsättningen kommer vi i vår promemoria att kalla detta direktiv för 2016 års dataskyddsdirektiv. Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018.

Enligt artikel 1.1 i 2016 års dataskyddsdirektiv innehåller direktivet bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgiftsbehandling som utförs hos behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Av artikel 1.2 i direktivet framgår att syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det framgår också att syftet är att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som

Ds 2017:45 Nya regelverk för personuppgiftsbehandling

43

rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Av artikel 2.1.d i dataskyddsförordningen jämförd med artikel 1.1 i 2016 års dataskyddsdirektiv framgår att förordningen inte gäller för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde.

4.2 Två nya svenska regelverk för personuppgiftsbehandling

När dataskyddsförordningen börjar tillämpas ska personuppgiftslagen upphävas.2 Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) lämnat förslag till en ny lag; lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen). Som framgår av namnet ska denna lag komplettera EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Dataskyddsutredningen har även lämnat förslag till en förordning till dataskyddslagen, förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. I likhet med vad som gäller för personuppgiftslagen ska avvikande bestämmelser i annan lag eller förordning ha företräde framför bestämmelserna i dataskyddslagen.

Utöver denna generella reglering kommer kompletteringar till bestämmelserna i EU:s dataskyddsförordning att finnas i de sektorsspecifika registerförfattningar som i stor utsträckning reglerar svenska myndigheters personuppgiftsbehandling. Ett omfattande arbete pågår eller har nyligen pågått inom utredningsväsendet för att, i likhet med det uppdrag vi har fått, anpassa dessa sektorsspecifika författningar till det nya regelverket.

Den personuppgiftsbehandling som sker hos behöriga myndigheter i syfte att bl.a. förebygga, förhindra, utreda, avslöja eller lagföra brott samt verkställa straffrättsliga påföljder kommer dock att styras av 2016 års dataskyddsdirektiv. Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29) föreslagit att detta direktiv ska genomföras i svensk rätt

2 Se kommittédirektiv till Dataskyddsutredningen (Dir. 2016:15 s. 6).

Nya regelverk för personuppgiftsbehandling Ds 2017:45

44

genom en ny generellt tillämplig lag, kallad brottsdatalagen. Denna lag ska enligt utredningens förslag kompletteras av en förordning, kallad brottsdataförordningen.

Även inom brottsdatalagens tillämpningsområde finns det en mängd sektorsspecifika registerförfattningar. Det ligger inom Utredningen om 2016 års dataskyddsdirektivs uppdrag att analysera och bedöma i vilken utsträckning dessa registerförfattningar behöver förändras med hänsyn till 2016 års dataskyddsdirektivs förpliktelser och till den nya ramlagstiftning som brottsdatalagen kommer att utgöra.3

För många myndigheter – t.ex. Polismyndigheten och domstolarna – får EU:s dataskyddsreform effekten att personuppgiftsbehandlingen i vissa delar av verksamheten tillhör dataskyddsförordningens tillämpningsområde medan den i andra delar av verksamheten tillhör 2016 års dataskyddsdirektivs tillämpningsområde. Det avgörande för vilket av regelverken som är tillämpligt för en myndighets personuppgiftsbehandling kommer att vara dels syftet med behandlingen, dels vilken typ av myndighet som utför behandlingen. Mycket kort kan sägas att om syftet med behandlingen är att förebygga, förhindra, utreda, avslöja eller lagföra brott, att verkställa straffrättsliga påföljder eller att skydda mot, förebygga eller förhindra hot mot den allmänna säkerheten, kommer behandlingen att omfattas av brottsdatalagen och de särskilda registerförfattningar som finns inom dess tillämpningsområde. En förutsättning för detta är dock att behandlingen utförs av en sådan myndighet som är behörig enligt brottsdatalagen. All övrig personuppgiftsbehandling kommer att regleras av dataskyddsförordningen, den svenska dataskyddslagen och de särskilda registerförfattningar som kompletterar detta regelverk.

Som vi nämnt ovan (avsnitt 4.1.2) är det i denna del tillämpningsområdet för 2016 års dataskyddsdirektiv som avgör när dataskyddsförordningen ska tillämpas. Ledning för hur myndigheterna ska bedöma frågan om vilket regelverk som kommer att bli tillämpligt kan lämpligen hämtas ur Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29, kap. 7 och 8). Här finns en omfattande analys av brottsdatalagens

3 Se kommittédirektiv till Utredningen om 2016 års dataskyddsdirektiv (Dir. 2016:21 s. 9).

Ds 2017:45 Nya regelverk för personuppgiftsbehandling

45

tillämpningsområde och de gränsdragningsfrågor som kan uppstå vid myndigheters personuppgiftsbehandling.

47

5 Nationella registerförfattningar

5.1 Registerförfattningarnas förenlighet med dataskyddsförordningen

När dataskyddsförordningen börjar tillämpas kommer den att vara direkt tillämplig på all personuppgiftsbehandling som i medlemsstaterna utförs inom dess materiella och territoriella tillämpningsområde. Personuppgiftslagen kommer då att upphävas.1 Som vi nämnt i avsnitt 4.2 har Dataskyddsutredningen dock i sitt betänkande (SOU 2017:39) föreslagit att den nya dataskyddslagen ska komplettera dataskyddsförordningen i svensk rätt. Dataskyddslagen föreslås, i likhet med personuppgiftslagen, vara subsidiär i förhållande till bestämmelser om behandling av personuppgifter i andra författningar.

När det gäller personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse, som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse (se avsnitt 6.3) ger artikel 6.2 i dataskyddsförordningen medlemsstaterna möjlighet att behålla eller införa mer specifika bestämmelser, där bl.a. specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling närmare fastställs. Av skäl 10 till dataskyddsförordningen framgår vidare att möjligheten att specificera bestämmelserna för personuppgiftsbehandling också gäller känsliga personuppgifter.

Även artikel 6.3 andra stycket i dataskyddsförordningen ger medlemsstaterna möjlighet att specificera villkoren för personuppgiftsbehandling. Här anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Som exempel nämns de allmänna

1 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).

Nationella registerförfattningar Ds 2017:45

48

villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling. Även förfaranden för behandling nämns. Här ingår åtgärder för att tillförsäkra en laglig och rättvis behandling, t.ex. i de särskilda situationer som framgår av nionde kapitlet. Det kapitlet reglerar bl.a. förhållandet till yttrande- och informationsfriheten samt offentlighetsprincipen. Även medlemsstaternas rätt att närmare bestämma på vilka villkor nationella identifikationsnummer får behandlas framgår av detta kapitel. Det anges också i artikel 6.3 att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Av artikel 4.7 i dataskyddsförordningen framgår att vem som är personuppgiftsansvarig kan föreskrivas i den nationella rätten, om ändamålen och medlen för behandling fastställs av medlemstatens nationella rätt.

I artikel 6.3 andra stycket i dataskyddsförordningen anges förvisso att de särskilda bestämmelserna ska vara en del av ”den rättsliga grunden”. Dataskyddsutredningen (SOU 2017:39 s. 135) har vad gäller artikel 6 tolkat dataskyddsförordningen på så sätt att med den rättsliga grunden för personuppgiftsbehandling avses någon av de grunder för behandling som anges i artikel 6.1 (se kapitel 6). Den rättsliga grunden skulle med detta synsätt vara exempelvis den bestämmelse i nationell rätt där en myndighets uppgift av allmänt intresse eller dess myndighetsutövande uppdrag fastställs. I svensk rätt är det dock vanligare att denna ”rättsliga grund” inte innehåller bestämmelser om personuppgiftsbehandling. I stället återfinns dessa bestämmelser ofta i sektorsspecifika registerförfattningar. Vi anser att det måste vara möjligt att tolka dataskyddsförordningen så att den ger handlingsutrymme att följa de nationella lagstiftningstraditionerna på området. Exemplifieringen av frågor som enligt artikel 6.3 andra stycket kan fastställas i den nationella rätten måste därmed för svensk del kunna ses som en exemplifiering av de bestämmelser som kan förekomma i registerförfattningarna.

Ds 2017:45 Nationella registerförfattningar

49

5.2 Allmänna principer för behandling av personuppgifter

Dataskyddsutredningen gör i sitt betänkande (SOU 2017:39 s. 105) bedömningen att de svenska registerförfattningarna framför allt kommer att innehålla en precisering av de allmänna principer för personuppgiftsbehandling som framgår av artikel 5 i dataskyddsförordningen. Dessa principer motsvaras i stort av artikel 6 i 1995 års dataskyddsdirektiv, som införts i svensk rätt genom 9 § PuL. Artikel 5.1 i dataskyddsförordningen lyder i sin helhet som följer.

Artikel 5

1. Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

Nationella registerförfattningar Ds 2017:45

50

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

Det är således dessa ovan angivna principer som registerförfattningarna till stor del är menade att precisera.

5.3 Bedömning

Bedömning: Dataskyddsförordningen hindrar inte den typ av

nationell registerlagstiftning som utlänningsdatalagen utgör.

Dataskyddsförordningen hindrar inte heller att medlemsstaterna i registerförfattning inför mer restriktiva bestämmelser för myndigheternas personuppgiftsbehandling än vad som följer av förordningen eller utökar de nationella myndigheternas skyldigheter gentemot de registrerade.

Sammanfattningsvis anser vi att artikel 6.2 och 6.3 i dataskyddsförordningen ger medlemsstaterna möjlighet att i den nationella lagstiftningen närmare precisera hur personuppgifter får behandlas när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, som ett led i den personuppgiftsansvariges myndighetsutövning eller för att utföra en uppgift av allmänt intresse. Detta kan ske genom exempelvis den typ av registerlagstiftning som utlänningsdatalagen utgör. Medlemsstaterna har här enligt vår mening frihet att välja vilket område eller vilken verksamhet en registerförfattning ska reglera, så länge lagstiftningen omfattar sådant som ryms inom begreppen rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning.

Dataskyddsutredningen gör i sitt betänkande (SOU 2017:39 s. 105) bedömningen att registerförfattningarna framför allt kommer att innehålla en precisering av de allmänna principer för personuppgiftsbehandling som framgår av artikel 5 i dataskyddsförordningen. Det kan vidare nämnas att det är tillåtet för en medlemsstat, som genomför förtydliganden och begränsningar av dataskyddsförordningens bestämmelser genom den nationella rätten, att införliva delar av förordningen i nationell rätt. Detta

Ds 2017:45 Nationella registerförfattningar

51

framgår av skäl 8 till dataskyddsförordningen. Ett direkt återgivande av de bestämmelser som finns i dataskyddförordningen och som förvisso skulle ha gällt även utan ett sådant återgivande är därmed tillåtet i nationell rätt. Enligt skäl 8 kan syftet med detta bl.a. vara att göra de nationella bestämmelserna begripliga.

Dataskyddsförordningen innehåller inte något förbud mot att de personuppgiftsansvariga utökar skyddet för de personuppgifter som behandlas, går utöver sina skyldigheter vad gäller information till de registrerade eller liknande. Dataskyddsförordningen ger också, som framgår ovan, möjlighet till nationell specificering vad gäller myndigheternas behandling av personuppgifter. I artikel 1.2 i dataskyddsförordningen fastställs vidare att syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter. Mot den bakgrunden bedömer vi att nationell lagstiftning som skapar ett förstärkt skydd för sådana personuppgifter bör vara förenlig med dataskyddsförordningen. Medlemsstaterna bör således ha möjlighet att införa mer restriktiva bestämmelser för sina myndigheters personuppgiftsbehandling än vad som följer av dataskyddsförordningen. Det bör även vara möjligt för medlemsstaterna att utöka de nationella myndigheternas skyldigheter gentemot de registrerade.

53

6 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

Dataskyddsförordningen utgår, liksom 1995 års dataskyddsdirektiv, från att varje behandling av personuppgifter måste vila på en rättslig grund. Enligt artikel 6.1 i dataskyddsförordningen får personuppgifter endast behandlas om någon av de rättsliga grunder som räknas upp i artikeln föreligger. De rättsliga grunder som närmast kommer i fråga för den personuppgiftsbehandling som utförs i Migrationsverkets, utlandsmyndigheternas och Polismyndighetens verksamhet enligt utlännings- och medborgarskapslagstiftningen är enligt vår mening de som framgår av artikel 6.1 e i dataskyddsförordningen. Enligt denna bestämmelse är personuppgiftsbehandling tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Personuppgiftsbehandling är även tillåten om den är nödvändig för att fullgöra en rättslig förpliktelse som åligger den personuppgiftsansvarige. Detta framgår av artikel 6.1 c i dataskyddsförordningen.

Bestämmelserna i artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i 1995 års dataskyddsdirektiv, som har genomförts i svensk rätt genom 10 § PuL. Enligt den sistnämnda bestämmelsen får personuppgifter behandlas även utan den registrerades samtycke om behandlingen är nödvändig bl.a. för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet (punkten b), för att en arbetsuppgift av allmänt intresse ska kunna utföras (punkten d) eller för att den personuppgiftsansvarige ska kunna utföra en arbetsuppgift i samband med myndighetsutövning (punkten e).

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

54

Utöver att någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen måste finnas för att personuppgiftsbehandlingen ska vara laglig, finns i artikel 6.3 första stycket i förordningen ett uttryckligt krav på att grunden för personuppgiftsbehandlingen – dvs. den rättsliga förpliktelsen, myndighetsutövningen eller uppgiften av allmänt intresse – ska vara fastställd i enlighet med unionsrätten eller den nationella rätten.

Som framgår av ordalydelsen i artikel 6.1 c och e i dataskyddsförordningen innehåller dessa rättsliga grunder även ett nödvändighetsrekvisit. För att en myndighets personuppgiftsbehandling ska vara tillåten enligt artikel 6.1 e måste den vara nödvändig för att myndigheten ska kunna utföra den uppgift av allmänt intresse som den genom författning har tilldelats, alternativt nödvändig för att myndigheten ska kunna utföra den myndighetsutövning som den har anförtrotts. På samma sätt är en personuppgiftsbehandling laglig enligt artikel 6.1 c om den är nödvändig för att fullgöra en rättslig förpliktelse.

Dataskyddsutredningen konstaterar i sitt betänkande (SOU 2017:39 s. 105 f.) att det unionsrättsliga begreppet nödvändig inte har samma strikta innebörd som i svenska språket. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan behandling av personuppgifter, kan behandlingen ur ett unionsrättsligt perspektiv anses vara nödvändig och därmed tillåten enligt artikel 6 om den leder till effektivitetsvinster.1

Alla myndigheter utför en rad administrativa uppgifter som krävs för att myndigheten ska fungera, men som varken direkt eller indirekt kan sägas framgå av uppdraget. Dataskyddsutredningen konstaterar i sitt betänkande (a.a. s. 129) att en myndighet inte kan utföra sina fastställda uppgifter om den inte fungerar och att således även administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion därmed är rättsligt grundade i dataskyddsförordningens mening.

Utöver att personuppgiftsbehandlingen ska vara nödvändig för den rättsliga förpliktelsen, utförandet av uppgiften av allmänt intresse eller myndighetsutövningen, måste behandlingen

1 Se SOU 1997:39 s. 359, Dom Huber mot Tyskland, C-524/06, EU:C:2008:724 och dom Pharmacontinente mot Saúde e Higiene m.fl., C-683/13, EU:C:2014:2028.

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

55

naturligtvis även utföras i enlighet med de allmänna principer som framgår av artikel 5 i dataskyddsförordningen. Detta innebär bland annat att behandlingen måste vara skälig eller rimlig (korrekthet) i förhållande till den registrerade. Behovet av den konkreta behandlingen måste därmed alltid vägas emot den registrerades intresse av personlig integritet.

6.1 Dataskyddslagen

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att det i dataskyddslagen ska tas in en bestämmelse som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Dataskyddsutredningen har även föreslagit att dataskyddslagen ska innehålla en bestämmelse som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter endast om den sker enligt lag eller annan författning.

Vidare föreslår Dataskyddsutredningen att dataskyddslagen ska innehålla en bestämmelse som tydliggör att en rättslig förpliktelse utgör en rättslig grund för behandling av personuppgifter endast om förpliktelsen gäller enligt lag eller annan författning, följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

De nyss nämnda bestämmelserna ska, enligt Dataskyddsutredningens förslag, finnas i 2 kap. 3 och 4 §§ dataskyddslagen. Dataskyddsutredningen framhåller i sitt betänkande (SOU 2017:39 s. 112) att den rättsliga grunden inte nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag, men att den däremot måste vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Detta bör enligt vår mening innebära att även exempelvis förordningar som meddelats av regeringen, med stöd av den restkompetens som följer av regeringsformen, kan utgöra den rättsliga grunden för personuppgiftsbehandling. Detsamma bör gälla befogenheter som anges i annan föreskrift än lag eller förordning, förutsatt att föreskriften har meddelats i den ordning

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

56

som följer av regeringsformens bestämmelser om normgivningskompetens.

6.2 Myndighetsutövning, uppgift av allmänt intresse eller rättslig förpliktelse?

Vi kommer i detta avsnitt att kort redogöra för de av dataskyddsförordningens rättsliga grunder för personuppgiftsbehandling som vi anser är relevanta för den behandling som omfattas av utlänningsdatalagen. I vår redogörelse utgår vi i allt väsentligt från den analys av begreppen som Dataskyddsutredningen har gjort. För den som har behov av en mer utförlig redogörelse hänvisar vi till Dataskyddsutredningens betänkande i denna del.2

6.2.1 Uppgift av allmänt intresse

Som framgår av artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen samt 2 kap. 4 § förslaget till dataskyddslag, är personuppgiftsbehandling laglig om den är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.

Dataskyddsförordningen skiljer sig från 1995 års dataskyddsdirektiv på så sätt att en myndighet inte längre kommer att kunna grunda sin personuppgiftsbehandling på en intresseavvägning mellan myndighetens berättigade intresse och den registrerades intressen eller grundläggande rättigheter och friheter. Den bestämmelse i dataskyddsförordningen som reglerar personuppgiftsbehandling efter en sådan intresseavvägning, artikel 6.1 f, gäller nämligen inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Även myndigheternas utrymme för att grunda personuppgiftsbehandlingen på samtycke från den registrerade kan antas minska genom dataskyddsförordningen. I skäl 43 till förordningen anges att samtycke inte

2SOU 2017:39 kapitel 8.

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

57

bör utgöra giltig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Dataskyddsutredningen anser att mycket talar för att begreppet uppgift av allmänt intresse har fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft i svensk rätt.3 Dataskyddsutredningen gör vidare bedömningen att begreppet uppgift av allmänt intresse rent språkligt kan antas avse något som är av intresse för eller berör många människor på ett bredare plan. Av skäl 45 till dataskyddsförordningen följer också att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Dataskyddsutredningen gör vidare bedömningen att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse.4

6.2.2 Myndighetsutövning

Enligt artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen samt 2 kap. 4 § förslaget till dataskyddslag, är personuppgiftsbehandling laglig om den är nödvändig som ett led i myndighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning.

Dataskyddsutredningen anser att man bör kunna utgå från att det som i Sverige brukar anses vara myndighetsutövning även faller under motsvarande unionsrättsliga begrepp.5 Myndighetsutövning definieras i svensk rätt ofta som ”utövning av befogenhet att bestämma om förmån, rättighet, skyldighet, disciplinär bestraffning eller annat jämförbart förhållande”. Definitionen härstammar från 3 § i 1971 års förvaltningslag.6

3 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 123). 4 A.a. s. 124. 5 A.a. s. 119, med hänvisning till Datalagskommitténs betänkande (SOU 1997:39 s. 365). 6 Holmberg m.fl Grundlagarna, Zeteo, kommentar till RF 12:4 och prop. 1971:30 s. 333

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

58

Begreppet myndighetsutövning förekommer också i bl.a. skadeståndsrättsliga regler. I förarbetena till 3 kap. 2 § skadeståndslagen (1972:207) anges att myndighetsutövning avser beslut eller åtgärder som är ett uttryck för det allmännas rätt att utöva makt över medborgarna. Karaktäristiskt är att den enskilde står i ett beroendeförhållande till myndigheten, som bestämmer över den enskildes rättigheter och skyldigheter på ett sätt som inte förekommer i privaträttsliga sammanhang.7

Myndighetsutövningen är således ytterst ett uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Till myndighetsutövning hör först och främst sådan offentlig verksamhet, varigenom myndigheterna ensidigt bestämmer om enskildas skyldigheter eller om ingrepp i enskildas frihet eller egendom. Hit hör alltså beslut som innebär ålägganden att göra eller underlåta något eller som avser ingrepp i personlig frihet eller egendom, men även rent faktiska åtgärder som innebär sådana ingrepp, vare sig de grundas på formella beslut eller inte. Så långt kan begreppet myndighetsutövning sägas sammanfalla med begreppet offentlig maktutövning. Men även åtskilliga gynnande beslut faller in under begreppet myndighetsutövning, exempelvis beslut om sociala förmåner, statsbidrag och liknande. Den enskilde står här i ett beroendeförhållande till det allmänna, som ensamt har möjlighet att tillmötesgå hans eller hennes anspråk och därigenom i viss mening kan sägas utöva makt mot honom eller henne. Till myndighetsutövning bör vidare hänföras vissa beslut, vilka till skillnad från de hittills nämnda inte innehåller direkta handlingsmönster utan har indirekta rättsverkningar gentemot den enskilde, t.ex. registreringsbeslut och beslut om utfärdande av legitimationshandlingar samt beslut i samband med obligatorisk kontrollverksamhet.

Utanför begreppet myndighetsutövning faller råd, upplysningar och andra icke bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervisning eller sjukvård). Till myndighetsutövning räknas inte heller sådan

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

59

verksamhet som stat eller kommun utövar i privaträttsliga former. Gränsdragningen mellan offentligrättsliga och privaträttsliga regler är sålunda av stor vikt när det gäller att bestämma begreppet myndighetsutövning.8

6.2.3 Rättslig förpliktelse

Enligt artikel 6.1 c och artikel 6.3 första stycket i dataskyddsförordningen samt 2 kap. 3 § förslaget till dataskyddslag är personuppgiftsbehandling laglig om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.

Dataskyddsutredningen gör bedömningen att det faktum att den rättsliga förpliktelsen måste ha en legal grund inte innebär att förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt.9

Dataskyddsutredningen konstaterar att även domstolar och statliga myndigheter vid sidan av sina uppgifter och uppdrag kan sägas ha rättsliga förpliktelser och att det inte finns något i artikel 6.1 c i dataskyddsförordningen som begränsar tillämpningen till den privata sektorn. Domstolar och myndigheter har också andra författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, exempelvis när det gäller personaladministration.10Datainspektionen har vidare ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i personuppgiftslagen och som motsvaras av dataskyddsförordningens begrepp rättslig förpliktelse.11

8 Lundell/Strömberg, Allmän förvaltningsrätt, 26 uppl., s. 20–21. 9 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 113 f). 10 A.a. s. 116 f, jfr även SOU 1997:39 s. 363. 11 Datainspektionens rapport 2005:3 Övervakning i arbetslivet – Kontroll av de anställdas Internet och e-postanvändning m.m. s. 15.

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

60

6.3 Den rättsliga grunden finns i artikel 6.1 c och e i dataskyddsförordningen

6.3.1 Myndigheternas uppdrag på utlännings- och medborgarskapsområdet

Utlänningsdatalagen gäller för personuppgiftsbehandling i viss verksamhet som Migrationsverket, utlandsmyndigheterna och Polismyndigheten utför enligt utlännings- och medborgarskapslagstiftningen. Det närmare tillämpningsområdet framgår av 26 §§utlänningsdatalagen och behandlas i kapitel 7. För att kunna ta ställning till vilken eller vilka av dataskyddsförordningens rättsliga grunder som utgör det rättsliga stödet för myndigheternas personuppgiftsbehandling inom utlännings- och medborgarskapsområdet finns det enligt vår mening emellertid behov av att översiktligt redogöra för de uppgifter myndigheterna utför inom detta område.

Migrationsverket är – enligt 1 § första stycket förordningen (2007:996) med instruktion för Migrationsverket – förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asylsökande, anvisningar till kommuner av nyanlända, återvändande, medborgarskap och återvandring. Verket ska vidare, enligt bestämmelsens andra stycke, fullgöra de uppgifter som myndigheten har enligt utlännings- och medborgarskapslagstiftningen, lagstiftningen om mottagande av asylsökande m.fl., lagstiftningen om mottagande av vissa nyanlända invandrare för bosättning samt andra författningar.

Med utlandsmyndigheterna menas beskickningar, delegationer vid internationella organisationer och karriärkonsulat. Detta framgår av 1 kap. 2 § förordningen (2014:115) med instruktion för utrikesrepresentationen. Enligt 3 kap. 9 § samma förordning ska beskickningar och konsulat handlägga migrationsärenden enligt EU:s förordningar och enligt utlänningslagstiftningen. Av den sistnämnda bestämmelsen framgår också att beskickningar och konsulat ska biträda Migrationsverket, Polismyndigheten och Säkerhetspolisen i ärenden enligt utlänningslagstiftningen. Sådant biträde kan till exempel bestå i att hjälpa Migrationsverket att kontrollera att de uppgifter som en asylsökande har lämnat i sin ansökan är korrekta eller att kontrollera om en handling som en

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

61

utlänning åberopar är äkta.12 Utlandsmyndigheterna ska vidare, enligt 2 kap. 15 § utlänningsförordningen (2006:97), ta emot ansökningar om främlingspass från utlänningar som inte befinner sig i Sverige. Av 4 kap. 20 § utlänningsförordningen följer att en ansökan om uppehållstillstånd ges in till och utreds av en svensk beskickning eller ett svenskt konsulat om den sökande inte befinner sig i Sverige. Motsvarande regler finns för ansökningar om arbetstillstånd i 5 kap. 8 § utlänningsförordningen. Migrationsverket får vidare ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar. Även Regeringskansliet (Utrikesdepartementet) får ge en svensk beskickning eller ett svenskt konsulat rätt att bevilja nationella viseringar inom departementets ansvarsområde. Detta framgår av 3 kap. 12 § utlänningsförordningen.

Av 9 kap. 1 § utlänningslagen (2005:716) framgår att Polismyndigheten ansvarar för kontroll av personer enligt kodexen om Schengengränserna. Myndigheten genomför även inre utlänningskontroll med stöd av 9 kap. 9 § utlänningslagen.13 Polismyndigheten får vidare, enligt 8 kap. 17 § utlänningslagen, i vissa fall besluta om avvisning. Myndigheten verkställer också sina egna beslut om avvisning och i vissa fall även Migrationsverkets beslut om utvisning och avvisning (12 kap. 14 § utlänningslagen). Polismyndigheten får även besluta om förvar eller uppsikt av utlänningar enligt 10 kap.1213 §§utlänningslagen.

6.3.2 Bedömning

Bedömning: Den personuppgiftsbehandling som Migrations-

verket, utlandsmyndigheterna och Polismyndigheten utför inom utlänningsdatalagens tillämpningsområde har en sådan rättslig grund som avses i artikel 6.1 c och e i dataskyddsförordningen.

12 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 27). 13 Jfr. artikel 21 i Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna).

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

62

Kravet på att det ska finnas en rättslig grund för personuppgiftsbehandlingen är i sak inte något nytt för dataskyddsförordningen. Om behandlingen inte utförs med samtycke av den registrerade måste behandlingen även enligt nuvarande lagstiftning vara nödvändig för vissa syften för att vara tillåten. Dessa syften framgår av 10 § PuL, där punkterna b, d och e motsvarar de rättsliga grunder som framgår av artikel 6.1 c och e i dataskyddsförordningen (rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning).

Med mycket få undantag utförs den personuppgiftsbehandling som är nödvändig för att Migrationsverket, utlandsmyndigheterna och Polismyndigheten ska kunna sköta sina uppgifter enligt utlännings- och medborgarskapslagstiftningen utan den registrerades uttryckliga samtycke.14 Enligt vår mening borde man därmed kunna utgå från att lagstiftaren vid utlänningsdatalagens tillkomst bedömde att den personuppgiftsbehandling som sker med stöd av den lagen har rättsligt stöd i 10 § PuL, och därmed i de rättsliga grunder som nu återfinns i artikel 6.1 c och e i dataskyddsförordningen. Trots detta anser vi att det finns anledning att göra en analys av vilken eller vilka av dataskyddsförordningens rättsliga grunder som utgör stödet för den personuppgiftsbehandling som sker inom utlänningsdatalagens tillämpningsområde.

Som framgår av avsnitt 6.3.1 är Migrationsverkets, utlandsmyndigheternas och Polismyndighetens uppdrag inom utlännings- och medborgarskapsområdet fastställda genom lag eller annan författning. I större delen av verksamheten står den enskilde i ett uppenbart beroendeförhållande till myndigheterna, som har makt att bestämma över den enskildes rättigheter och ibland även att göra ingrepp i hans eller hennes frihet. Denna verksamhet motsvarar därmed den definition av myndighetsutövning som framgår av avsnitt 6.2.2. Som uppenbara exempel kan nämnas Migrationsverkets handläggning av och beslut i ärenden om uppehålls- och arbetstillstånd, statusförklaring och medborgarskap samt motsvarande verksamhet hos utlandsmyndigheterna vad gäller nationella viseringar. Även Polismyndighetens verkställighet av beslut om avvisning eller utvisning och om förvar eller uppsikt är enligt vår mening ett självklart uttryck för myndighetsutövning.

14 Se förarbetena till utlänningsdatalagen (prop. 20015/16:65, s. 37).

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

63

Ibland kan dock gränsen för vad som utgör myndighetsutövning vara svårare att dra. Som ett exempel kan nämnas att Migrationsverkets ansvar för mottagandet av asylsökande och andra utlänningar bl.a. innebär att de sökande registreras samt ges möjlighet att bo på en förläggning och till sysselsättning. Denna verksamhet utgör inget tvång mot den enskilde, men resulterar ändå i ett antal beslut som påverkar hans eller hennes liv. Det ligger enligt vår mening därmed nära till hands att betrakta verksamheten som myndighetsutövning. När det gäller den hjälp Migrationsverket bistår den enskilde med i återvändandeärenden anser vi dock att bedömningen inte är lika lätt att göra. Återvändandet är förvisso frivilligt, men utgör regelmässigt ett resultat av ett avslagsbeslut som meddelats i verkets myndighetsutövning. Om Migrationsverket gör bedömningen att tvång kommer att behövas för att verkställa beslutet får verket vidare enligt 12 kap. 14 § utlänningslagen lämna över ärendet till Polismyndigheten, som har rätt att använda tvångsmedel vid verkställigheten.

Även för vissa delar av utlandsmyndigheternas verksamhet kan det finnas anledning att fundera över vad som utgör myndighetsutövning. När en utlandsmyndighet endast tar emot en ansökan om främlingspass för att därefter vidarebefordra den till handläggande myndighet innefattar detta enligt vår mening inte myndighetsutövning. För de ansökningar om uppehålls- och arbetstillstånd som utlandsmyndigheten ska utreda anser vi inte att slutsatsen är lika självklar, eftersom ärendets handläggning kan påverka utgången. Man skulle också kunna diskutera om det biträde myndigheten ger till övriga myndigheter i form av exempelvis kontroll av faktauppgifter eller äkthetskontroll av handlingar utgör myndighetsutövning eller inte.

Det finns enligt vår mening emellertid inte någon anledning att låsa fast sig vid vilka delar av myndigheternas verksamhet som utgör myndighetsutövning. Anledningen till detta är följande.

Det övergripande målet för migrationspolitiken är bl.a. att säkerställa en långsiktigt hållbar migrationspolitik som inom ramen för den reglerade invandringen värnar asylrätten, underlättar rörlighet över gränser och främjar en behovsstyrd arbetskrafts-

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

64

invandring.15 Migrationspolitiken kommer till uttryck genom den svenska utlännings- och medborgarskapslagstiftningen. De uppgifter som framgår av denna lagstiftning genomförs av främst Migrationsverket, utlandsmyndigheterna och Polismyndigheten. Mot den bakgrunden anser vi att hela den verksamhet myndigheterna har anförtrotts på utlännings- och medborgarskapsområdet utgör en uppgift av allmänt intresse i dataskyddsförordningens mening. Detta gäller oavsett om stora delar av verksamheten även utgör myndighetsutövning mot enskilda.

Den personuppgiftsbehandling som sker för att myndigheterna på ett rättsäkert sätt ska kunna genomföra de uppgifter de har anförtrotts, måste enligt vår mening vidare anses vara nödvändig som ett led i myndigheternas myndighetsutövning och/eller för att utföra uppgiften av allmänt intresse. Det rättsliga stödet för den personuppgiftsbehandling som Migrationsverket, utlandsmyndigheterna och Polismyndigheten utför för att fullgöra sina skyldigheter enligt utlännings- och medborgarskapslagstiftningen står enligt vår mening således att finna i artikel 6.1 e i dataskyddsförordningen.

Under handläggningen av ett ärende vidtar myndigheterna en rad utredningsåtgärder av olika slag. De flesta utförs av myndigheten själv med hjälp av egen personal. Andra, exempelvis DNA-analyser och medicinska åldersbedömningar i Migrationsverkets ärenden om uppehållstillstånd, utförs av externa aktörer. DNA-analyser, som under vissa förutsättningar erbjuds i ärenden om uppehållstillstånd på grund av familjeanknytning, får utföras endast om den sökande har gett sitt skriftliga samtycke (13 kap. 15 § utlänningslagen). En medicinsk åldersbedömning ska vid behov erbjudas en sökande som uppger att han eller hon är ett ensamkommande barn. Inte heller denna åtgärd får utföras utan sökandens skriftliga samtycke (13 kap.17 och 18 §§utlänningslagen). Av 4 kap. 21 d § utlänningsförordningen framgår att åldersbedömningarna utförs av Rättsmedicinalverket och att Migrationsverkets underrättelse till Rättsmedicinalverket om att en sådan bedömning ska utföras ska innehålla vissa personuppgifter gällande den sökande, såsom namn, kön och ärendenummer.

15 Se betänkande från Utredningen om migrationsmottagandet 2015 (SOU 2017:12 s. 41) med hänvisning till prop. 2009/10:1 UO081 och prop. 2016/17:01, UO08.

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

65

Av förarbetena till utlänningslagens bestämmelser om åldersbedömningar (prop. 2016/17:121 s. 22 f.) framgår att en samtyckeslösning valts dels för att tillgodose asylprocedurdirektivets16 krav och dels för att regleringen inte ska stå i strid med förbudet mot påtvingade kroppsliga ingrepp i 2 kap. 6 § regeringsformen. Det är enligt vår mening mycket angeläget att särskilja bestämmelser om hur en myndighets verksamhet ska utföras och bestämmelser om den personuppgiftsbehandling som är nödvändig för att genomföra denna verksamhet. Vi bedömer att den rättsliga grunden för behandlingen står att finna i artikel 6.1 e i dataskyddsförordningen även när det gäller åldersbedömningar och DNAanalyser, eftersom behandlingen är nödvändig för att utföra den uppgift av allmänt intresse som anförtrotts Migrationsverket inom ramen för utlänningslagstiftningen. Det är alltså inte fråga om att samtycke krävs för behandling av personuppgifter med anledning av att åldersbedömningar eller DNA-analyser genomförs med den enskildes samtycke. Varken lagstiftningens utformning eller dess förarbeten ger stöd för att detta skulle ha varit lagstiftarens avsikt.

De svenska registerförfattningarnas primära ändamålsbestämmelser anses vidare allmänt kunna innefatta även utlämnande av personuppgifter till annan, så länge detta sker för myndighetens eget behov.17 Detta medför att den personuppgiftsbehandling som utförs av Migrationsverket vid en underrättelse till Rättsmedicinalverket om att en åldersbedömning ska ske, utförs i enlighet med den primära ändamålsbestämmelsen i 11 § 1 utlänningsdatalagen (handläggning av ärenden i verksamhet som rör utlänningars inresa i Sverige).18Utlänningsförordningens bestämmelser om vilka personuppgifter som ska finnas med i en sådan underrättelse utgör den sekretessbrytande bestämmelse som möjliggör utlämnandet.

16 Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (omarbetning). 17 Se bl.a. 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 261), förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 38), förarbetena till tullbrottsdatalagen (prop. 2016/17:91 s. 94 f.) och Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 699 f. 18 Även om Migrationsverkets underrättelse skulle innehålla känsliga personuppgifter är behandlingen tillåten enligt utlänningsdatalagens bestämmelser, eftersom känsliga personuppgifter får behandlas för handläggning av ärenden enligt 15 § första stycket 1 utlänningsdatalagen (se vidare avsnitt 12.1.3).

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

66

Av 13 § utlänningsdatalagen framgår att det inom lagens tillämpningsområde även är tillåtet att i vissa fall behandla personuppgifter om det är nödvändigt för att tillhandahålla information till bl.a. riksdagen, regeringen, annan myndighet eller enskild. En förutsättning för att uppgifter ska få lämnas ut till annan myndighet eller enskild är att uppgifterna lämnas med stöd av lag eller förordning. 13 § utlänningsdatalagen utgör en sekundär ändamålsbestämmelse, som vi behandlar närmare i kapitel 8. Möjligheten att behandla personuppgifter på detta sätt har emellertid relevans när det gäller att fastställa den rättsliga grunden för den behandling som sker inom utlänningsdatalagens tillämpningsområde.

Ett utlämnande av personuppgifter till enskild med stöd av lag eller förordning innefattar t.ex. sådant utlämnade av uppgifter som sker med stöd av tryckfrihetsförordningen. Dataskyddsförordningens bestämmelser om skydd för personuppgifter hindrar inte att en myndighets allmänna handlingar lämnas ut i enlighet med bestämmelser i den nationella lagstiftningen som tillgodoser allmänhetens rätt att få tillgång till allmänna handlingar, såsom den svenska offentlighetsprincipen. Detta framgår av artikel 86 i dataskyddsförordningen.

Vidare har Datainspektionen tidigare gjort bedömningen att en myndighets skyldighet enligt offentlighetsprincipen utgör en rättslig skyldighet. Rättslig skyldighet är 1995 års dataskyddsdirektivs och personuppgiftslagens motsvarighet till dataskyddsförordningens begrepp rättslig förpliktelse. Mot bakgrund av att myndigheters skyldighet enligt offentlighetsprincipen är en lagreglerad förpliktelse anser vi inte att det finns anledning att göra någon annan bedömning. Den personuppgiftsbehandling som utförs när myndigheterna lämnar ut uppgifter från den löpande verksamheten i enlighet med tryckfrihetsförordningen, utgör således en sådan rättslig förpliktelse som avses i artikel 6.1 c i dataskyddsförordningen.

Ett utlämnande av uppgifter enligt tryckfrihetsförordningen utgör enligt vår mening även en sådan uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Myndigheternas skyldighet att lämna ut handlingar är reglerad i lag och den insyn i myndigheternas verksamhet som offentlighetsprincipen bidrar till måste anses vara av intresse för allmänheten.

Ds 2017:45 Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet

67

Samma resonemang bör enligt vår mening kunna föras när det gäller annat utlämnande av uppgifter som är reglerat i lag eller förordning. Om lagstiftaren har ansett att en skyldighet att lämna ut uppgifter är av sådan vikt att den ska författningsregleras anser vi att det får förutsättas att det handlar om en sådan uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Enligt vår uppfattning bör det faktum att skyldigheten är författningsreglerad också innebära att den utgör en rättslig förpliktelse enligt artikel 6.1 c i förordningen.

Slutligen kan det övervägas om det i utlänningsdatalagen ska tas in en hänvisning till 2 kap. 3 och 4 §§ dataskyddslagen. Det som talar för att en sådan hänvisning bör göras är att det i annat fall skulle kunna uppstå föreställningar om att innehållet i dessa bestämmelser inte är tillämpligt för den personuppgiftsbehandling som sker med stöd av utlänningsdatalagen. Dataskyddslagens krav på rättslig grund för behandlingen är dock endast ett införlivande av en direkt tillämplig bestämmelse i dataskyddsförordningen. Den får således enligt vår mening ses som en upplysningsbestämmelse utan egen rättsverkan. Vi kommer också att föreslå att utlänningsdatalagen ska innehålla en upplysning om att denna lag innehåller kompletterande bestämmelser till dataskyddsförordningen (se avsnitt 9.2). Mot den bakgrunden anser vi att det i utlänningsdatalagen inte behöver eller bör tas in en hänvisning till 2 kap. 3 och 4 §§ dataskyddslagen.

Det faktum att personuppgiftsbehandlingen inom utlänningsdatalagens område – såväl inom ramen för den löpande verksamheten som vid utlämnande av uppgifter som omfattas av lagen – vilar på flera av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen, innebär naturligtvis inte att personuppgifter får behandlas på vilket sätt som helst i denna verksamhet. Dataskyddsförordningens allmänna principer för personuppgiftsbehandling måste alltid följas (se avsnitt 5.2) och i enlighet med det nödvändighetsrekvisit som finns i artikel 6.1 c och e måste frågan om den enskilda personuppgiften är nödvändig att behandla för utförandet av den aktuella verksamheten avgöras för varje enskild behandling. En annan sak är att vissa kategorier av personuppgifter alltid kommer att vara nödvändiga att behandla för att vissa delar av verksamheten ska kunna utföras rättsäkert. Som exempel kan nämnas att personuppgifter som på ett tillräckligt säkert sätt

Rättslig grund för personuppgiftsbehandlingen inom tillämpningsområdet Ds 2017:45

68

identifierar den person ett ärende berör alltid kommer att vara nödvändiga att registrera i det enskilda ärendet.

69

7 Syfte och tillämpningsområde

7.1 Lagens syfte

Bedömning: Dataskyddsförordningen föranleder ingen ändring

av utlänningsdatalagens inledande syftesbestämmelse.

Enligt 1 § utlänningsdatalagen är syftet med lagen att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen. Syftet är också att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens syftesbestämmelse har enligt vår mening ingen självständig rättslig betydelse, eftersom utlänningsdatalagens tillämpningsområdet beskrivs i bl.a. lagens 2 och 3 §§.

Vid tillkomsten av utlänningsdatalagen gjorde regeringen emellertid bedömningen att lagens dubbla syfte borde komma till tydligt uttryck.1 Mot den bakgrunden och med hänsyn till att dataskyddsförordningen enligt vår mening inte föranleder någon ändring av syftesbestämmelsen anser vi att denna bör finnas kvar i sin nuvarande lydelse.

1 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 38).

Syfte och tillämpningsområde Ds 2017:45

70

7.2 Verksamhet som omfattas av tillämpningsområdet

7.2.1 Migrationsverkets och utlandsmyndigheternas verksamhet

Utlänningsdatalagen gäller vid viss personuppgiftsbehandling i Migrationsverkets och utlandsmyndigheternas verksamhet. Den verksamhet hos dessa myndigheter som omfattas av utlänningsdatalagen regleras uttömmande i lagens 2 § och rör

1. utlänningars inresa i Sverige, i en stat som ingår i Europeiska

unionen, i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet eller i Schweiz,

2. utlänningars vistelse eller arbete i Sverige och utresa eller

avlägsnande från Sverige,

3. statusförklaring,

4. mottagande av asylsökande och andra utlänningar,

5. bistånd och stöd till utlänningar,

6. svenskt medborgarskap,

7. statlig ersättning för kostnader för utlänningar,

8. bosättning av utlänningar, eller

9. utfärdande av resehandlingar.

I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 4042) görs följande förtydliganden gällande det tillämpningsområde som kommer till uttryck i 2 §.

Med utlänningars inresa, vistelse och arbete (punkt 1 och 2) avses Migrationsverkets verksamhet enligt utlänningslagen (2005:716) och utlänningsförordningen (2006:97), dvs. verksamhet som rör visering, uppehålls- och arbetstillstånd, avvisning eller utvisning, kontroll samt verkställighet av beslut. Även utlandsmyndigheternas biträde vid utredning i Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (2014:115) med instruktion för utrikesrepresentationen avses. Detsamma gäller Migrationsverkets behandling av personuppgifter i ärenden enligt lagen (1991:572) om särskild utlänningskontroll.

Ds 2017:45 Syfte och tillämpningsområde

71

Med utresa eller avlägsnande från Sverige (punkt 2) avses såväl frivillig utresa som utresa efter tvångsverkställighet. I detta begrepp ingår även frågor om förvar och uppsikt.

Verksamhet som rör statusförklaring (punkt 3) avser Migrationsverkets behandling av personuppgifter i anledning av beslut om eller återkallelse av statusförklaring enligt 4 kap. 3–3 c §§ respektive 5 b och 5 c §§utlänningslagen.

Verksamheten mottagande av asylsökande och andra utlänningar (punkt 4) omfattar Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl., med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar faller också under denna punkt.

Verksamhet som avser bistånd och stöd till utlänningar (punkt 5) innefattar Migrationsverkets verksamhet med ekonomiskt bistånd enligt lagen om mottagande av asylsökande m.fl.. Hit hör även Migrationsverkets verksamhet enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet. Den personuppgiftsbehandling hos Migrationsverket som föranleds av bidragsbrottslagen (2007:612) och lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen omfattas också.

Verksamhet som rör svenskt medborgarskap (punkt 6) omfattar Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen (2001:82) om svenskt medborgarskap och medborgarskapsförordningen (2001:218).

Under delmomentet statlig ersättning för kostnader för utlänningar (punkt 7) faller bl.a. Migrationsverkets personuppgiftsbehandling i samband med handläggning enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl..

Syfte och tillämpningsområde Ds 2017:45

72

I verksamhet som rör bosättning av utlänningar (punkt 8) ingår Migrationsverkets ansvar för bosättning av vissa utlänningar enligt lagen om mottagande av asylsökande m.fl. Även verkets verksamhet enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare avses.

Verksamhet som rör utfärdande av resehandlingar (punkt 9) är avsedd att omfatta ärenden om främlingspass och andra resehandlingar.

7.2.2 Polismyndighetens verksamhet

Utlänningsdatalagen är enligt 3 § tillämplig på den personuppgiftsbehandling som utförs av Polismyndigheten i verksamhet som rör utlänningars inresa och vistelse i Sverige samt utresa eller avlägsnande från Sverige. En förutsättning för detta är dock att verksamheten inte utgör brottsbekämpande verksamhet. Den personuppgiftsbehandling som utförs i den sistnämnda verksamheten regleras i stället genom polisdatalagen (2010:361).

Även Polismyndighetens verksamhet i frågor om förvar och uppsikt inkluderas i den verksamhet som rör utlänningars utresa och avlägsnande.2 Av förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 33) framgår vidare att den verksamhet hos Polismyndigheten som kan omfattas av tillämpningsområdet i 3 § utlänningsdatalagen bl.a består av registrering i den s.k. U-boken, i personefterlysningsregistret och i fingeravtrycks- och signalementsregistret.

U-boken innehåller information om de personer som i Sverige fått lagakraftvunna avvisnings- och utvisningsbeslut med återreseförbud meddelade mot sig. I personefterlysningsregistret registreras utlänningar som Polismyndigheten beslutat att efterlysa för att de inte varit tillgängliga när ett beslut om avvisning eller utvisning ska verkställas. I Polismyndighetens fingeravtrycks- eller signalementsregister får uppgifter behandlas om bl.a. personer som har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

2 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 43).

Ds 2017:45 Syfte och tillämpningsområde

73

7.2.3 Avgränsning mot direktivsstyrd verksamhet

EU:s dataskyddsreform kommer att innebära förändringar i det svenska regelverket för personuppgiftsbehandling (se kapitel 4). Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29) föreslagit att den nya brottsdatalagen ska vara tillämplig vid behandling av personuppgifter som behöriga myndigheter utför för vissa syften. Dessa syften är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Även behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet kommer enligt förslaget att omfattas av brottsdatalagen. Utifrån Utredningen om 2016 års dataskyddsdirektivs beskrivning i dess delbetänkande (SOU 2017:29 s. 20), är det rimligt att anta att det även fortsättningsvis kommer att finnas en registerförfattning för Polismyndigheten. Registerförfattningen kommer dock i så fall att innehålla kompletterande bestämmelser till brottsdatalagen.

Utlänningsdatalagen omfattar den behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige samt utresa eller avlägsnande från Sverige. Därmed aktualiseras frågan om Polismyndighetens personuppgiftsbehandling i ärenden om förvar respektive vid utlänningskontroll faller under brottsdatalagens eller dataskyddsförordningens tillämpningsområde.

Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (a.a. s. 192 f.) gjort bedömningen att brottsdatalagen som huvudregel inte är tillämplig när det gäller personuppgiftsbehandling beträffande någon som har placerats i häkte för annat ändamål än för anhållande, häktning eller verkställighet eller ändring av påföljd. Resonemanget borde enligt vår mening kunna tjäna som ledning även för Polismyndigheten när det gäller den personuppgiftsbehandling som utförs i de förvarsärenden där Polismyndigheten är handläggande myndighet.

När det gäller gränskontroll har Utredningen om 2016 års dataskyddsdirektiv sammanfattningsvis gjort följande bedömning (a.a. s. 199 och 202 f.). Gränskontroll kan inte generellt hänföras till brottsbekämpning eller ordningshållning. Det går dock inte heller att säga att den alltid ligger utanför brottsdatalagens tillämpningsområde. Det krävs därför en bedömning av syftet med

Syfte och tillämpningsområde Ds 2017:45

74

behandlingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas. Utgångspunkten bör vara att det är först när det i kontrollverksamheten finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande och brottsdatalagen blir tillämplig.

Migrationsverket och utlandsmyndigheterna har inte något uttryckligt brottsbekämpande uppdrag (jfr avsnitt 6.3.1). Enligt 6 § bidragsbrottslagen har Migrationsverket emellertid en skyldighet att anmäla till Polismyndigheten eller Åklagarmyndigheten om det kan misstänkas att ett brott enligt den lagen har begåtts. Den personuppgiftsbehandling som utförs av verket i samband med en sådan anmälan faller inom utlänningsdatalagens tillämpningsområde (se avsnitt 7.2.1). Samtidigt är syftet med behandlingen att gärningen ska kunna utredas och lagföras. Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (a.a. s. 185–186) dock gjort bedömningen att om de myndigheter som har skyldighet att anmäla misstanke om brott varken har ett brottsbekämpande uppdrag eller annars har anförtrotts myndighetsutövning på det området är de inte behöriga myndigheter i brottsdatalagens mening. De ska därför inte tillämpa den lagen. Den personuppgiftsbehandling Migrationsverket utför i denna del bör därmed även fortsättningsvis omfattas av utlänningsdatalagens tillämpningsområde. Även vad gäller de övriga verksamheter hos Migrationsverket som omfattas av utlänningsdatalagen gör vi bedömningen att de inte utförs för att bekämpa brott eller för något annat av de syften som faller under brottsdatalagens tillämpningsområde. Inte heller utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen utförs enligt vår mening i sådant syfte.

7.2.4 Bedömning

Förslag: Utlänningsdatalagens bestämmelse om att lagen inte

gäller vid behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet ska utgå. I stället ska tillämpningsområdet avgränsas på så sätt att lagen inte ska gälla

Ds 2017:45 Syfte och tillämpningsområde

75

vid sådan behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde.

Bedömning: Dataskyddsförordningen föranleder ingen ändring

vad gäller vilka delar av Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamheter som ska omfattas av utlänningsdatalagens tillämpningsområde.

Medlemsstaternas har, enligt artikel 6.2 i dataskyddsförordningen, möjlighet att utarbeta eller behålla registerförfattningar. Inom ramen för denna möjlighet bör medlemsstaterna kunna bestämma tillämpningsområdet för registerförfattningarna på ett sätt som är lämpligt, så länge förordningens allmänna principer för behandling av personuppgifter följs (se avsnitt 5.3).

De verksamheter hos Migrationsverket och utlandsmyndigheterna som omfattas av 2 § utlänningsdatalagen är väl definierade i förarbetena. Dataskyddsförordningen föranleder ingen ändring av tillämpningsområdet i denna del. Utlänningsdatalagen bör därför även framöver gälla vid personuppgiftsbehandling i de verksamheter hos Migrationsverket och utlandsmyndigheterna som anges i 2 § utlänningsdatalagen.

Som framgår i föregående avsnitt gäller utlänningsdatalagen inte för Polismyndighetens brottsbekämpande verksamhet, där i stället polisdatalagen gäller. EU:s dataskyddsreform kommer emellertid att innebära att den generellt tillämpliga brottsdatalagen – kompletterad av en eventuell registerförfattning för polisens verksamhet – kommer att gälla för den personuppgiftsbehandling som utförs i polismyndighetens brottsbekämpande verksamhet. Tillämpningsområdet för brottsdatalagen är dessutom annorlunda beskrivet än det nuvarande ”brottsbekämpande verksamhet” som används i 1 kap. 2 § polisdatalagen och 3 § utlänningsdatalagen. Detta innebär enligt vår mening att utlänningsdatalagens tillämpningsområde måste avgränsas på ett annat sätt än i dag.

Mot den bakgrunden föreslår vi att den del av nuvarande 3 § utlänningsdatalagen som klargör att lagen inte gäller för den brottsbekämpande verksamheten hos Polismyndigheten ska utgå. I stället bör förhållandet mellan utlänningsdatalagen och brottsdatalagen regleras i en ny paragraf i anslutning till nuvarande 2 och 3 §§. Av den nya bestämmelsen bör framgå att utlänningsdatalagen inte

Syfte och tillämpningsområde Ds 2017:45

76

gäller vid sådan behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde. Förändringen är främst avsedd att ersätta den befintliga avgränsningen mot Polismyndighetens brottsbekämpande verksamhet med en skrivning som på ett bättre sätt åskådliggör det nya regelverket för personuppgiftsbehandling. Bestämmelsen skulle dock även fungera som en avgränsning mot brottsdatalagens tillämpningsområde om någon verksamhet hos Migrationsverket eller utlandsmyndigheterna i framtiden – pga. ny praxis eller nya arbetsuppgifter – skulle anses falla under brottsdatalagens tillämpningsområde.

7.3 Avgränsningar för tillämpningsområdet

7.3.1 Lagen om Schengens informationssystem, Viseringskodexen och Eurodac-förordningen

Bedömning: Dataskyddsförordningen föranleder ingen ändring

vad gäller avgränsningen av utlänningsdatalagens tillämpningsområde mot lagen (2000:344) om Schengens informationssystem, Europaparlamentets och rådets förordning (EG) nr 810/2009 (viseringskodex) eller Europaparlamentets och rådets förordning (EU) nr 603/2013 (Eurodac-förordningen).

För viss personuppgiftsbehandling som myndigheterna utför på utlännings- och medborgarskapsområdet finns regler i annan lagstiftning eller i direkt tillämpliga EU-förordningar. För att undvika dubbelreglering och se till att det inte införs reglering som står i strid med dessa EU-förordningar har det i 5 § utlänningsdatalagen gjorts undantag från tillämpningsområdet för personuppgiftsbehandling som sker med stöd av vissa andra regelverk.3Enligt bestämmelsen gäller utlänningsdatalagen inte när personuppgifter behandlas med stöd av

1. lagen (2000:344) om Schengens informationssystem,

3 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 4344).

Ds 2017:45 Syfte och tillämpningsområde

77

2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller

3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Enligt 1 § lagen (2000:344) om Schengens informationssystem (punkt 1) ska Polismyndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i Schengens informationssystem (förkortat SIS). I SISregistret kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att en viss åtgärd ska vidtas när dessa påträffas. SIS innehåller bland annat uppgifter om personer som är efterlysta och begärda utlämnade, en ”spärrlista” över utlänningar som ska nekas tillträde till Schengenområdet på grund av utvisningsbeslut eller avvisningsbeslut med förbud att återresa samt uppgifter om försvunna personer.

Den s.k. viseringskodexen (punkt 2) reglerar handläggningen av viseringsansökningar och den s.k. Eurodac-förordningen (punkt 3) behandlar regler om jämförande av fingeravtryck från bl.a. asylsökande.

Som framgår av avsnitt 5.3 anser vi att medlemsstaterna har möjlighet att bestämma tillämpningsområdet för de särskilda registerförfattningar som kompletterar dataskyddsförordningen. I detta ingår naturligtvis även att avgränsa tillämpningsområdet på det sätt som gjorts i 5 § utlänningsdatalagen. Mot den bakgrunden

Syfte och tillämpningsområde Ds 2017:45

78

anser vi att den nuvarande avgränsningen av utlänningsdatalagens tillämpningsområde som kommer till uttryck i 5 § bör finnas kvar.

7.3.2 Lagen om passagerarregister

Gällande rätt

Europeiska unionens råd antog den 29 april 2004 direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare, det s.k. API-direktivet.4 I direktivet regleras flygtransportörers5 skyldighet att översända förhandsinformation om passagerare (API-uppgifter)6 till behöriga nationella myndigheter. Syftet med direktivet är att förbättra gränskontrollerna och att bekämpa olaglig invandring. Direktivet utgör också ett led i kampen mot terrorismen.7

API-direktivets bestämmelser om transportörers uppgiftsskyldighet har i Sverige genomförts genom bestämmelserna i 9 kap. 3 a–f §§ utlänningslagen (2005:716). Av dessa bestämmelser framgår att det är Polismyndigheten som är behörig att ta emot API-uppgifterna från transportörerna. Av 19 kap.5 a8 §§utlänningslagen framgår vidare att transportörer kan vara skyldiga att betala en särskild avgift om de inte har fullgjort sin uppgiftsskyldighet. Därutöver finns en särskild registerförfattning – lagen (2006:444) om passagerarregister – som reglerar hur Polismyndigheten får behandla de API-uppgifter som transportörerna har fört över till myndigheten. Denna lag innehåller bl.a. bestämmelser om ändamålet med behandlingen, utlämnande av uppgifter, direktåtkomst, rättelse och skadestånd.

Bedömning

Förslag:Utlänningsdatalagen ska inte gälla när personuppgifter

behandlas med stöd av lagen (2006:444) om passagerarregister.

4 EUT L 261 6.8.2004, s. 24, Celex 32004L0082. 5 I API-direktivet definieras transportör som en fysisk eller juridisk person som bedriver yrkesmässig persontrafik luftvägen. 6 Advance Passenger Information. 7 Se artikel 1 i direktivet samt skäl 2 till detsamma.

Ds 2017:45 Syfte och tillämpningsområde

79

Som framgår i föregående avsnitt utförs behandlingen av personuppgifter enligt lagen om passagerarregister delvis i brottsbekämpande syfte. Sådan behandling faller under 2016 års dataskyddsdirektivs och brottsdatalagens tillämpningsområde. Eftersom syftet även är att förbättra gränskontrollerna anser vi dock att personuppgiftsbehandlingen enligt lagen om passagerarregister i vissa delar också faller under dataskyddsförordningens tillämpningsområde.

Lagen om passagerarregister utgör en specialreglering för en viss typ av personuppgifter. Vi gör därmed bedömningen att den gäller före utlänningsdatalagen (lex specialis). Det rör sig emellertid om en reglering inom utlänningsrättens område. Av den anledningen kan det, enligt de ställningstaganden som gjorts i tidigare förarbeten (se avsnitt 7.3.1), finnas anledning att i utlänningsdatalagen klargöra förhållandet mellan de båda lagarna. Mot den bakgrunden föreslår vi att det i utlänningsdatalagen ska tas in en bestämmelse som klargör att den lagen inte gäller för personuppgiftsbehandling som utförs med stöd av lagen om passagerarregister. I enlighet med befintlig systematik bör denna bestämmelse föras in som en ny punkt i 5 §, som reglerar de övriga situationer där utlänningsdatalagens bestämmelser inte gäller.

7.3.3 VIS-förordningen

Gällande rätt

Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) reglerar EU:s gemensamma informationssystem för viseringar. Av artikel 33.3 och artikel 38.2 i VIS-förordningen framgår att den registrerades rätt till skadestånd, korrigering (som motsvarar rättelse) och radering ska regleras i medlemsstaternas nationella rätt.

Enligt artikel 33.1 i VIS-förordningen ska varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling eller av något annat handlade som är oförenligt med bestämmelserna i förordningen ha rätt till ersättning av den medlemsstat som är ansvarig för den uppkomna skadan.

Syfte och tillämpningsområde Ds 2017:45

80

Skadeståndsanspråk mot en medlemsstat för sådana skador ska, enligt artikel 33.3, regleras av svarandemedlemsstatens nationella bestämmelser.

Av artikel 38.2 i VIS-förordningen framgår att var och en får begära att oriktiga uppgifter om honom eller henne korrigeras och att uppgifter som har registerats på olagligt sätt raderas. Korrigering och radering ska utföras utan dröjsmål av den ansvariga medlemsstaten, i enlighet med dess lagar och andra författningar.

För att uppfylla VIS-förordningens krav på nationell reglering finns i 6 § utlänningsdatalagen en bestämmelse som innebär att 28 och 48 §§ PuL om rättelse respektive skadestånd gäller när personuppgifter behandlas med stöd av VIS-förordningen, om inte något annat följer av den förordningen. I övrigt är utlänningsdatalagen inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. Skälet till detta är – liksom för viseringskodexen och Eurodac-förordningen – att undvika dubbelreglering och se till att utlänningsdatalagen inte reglerar personuppgiftsbehandling i strid med det unionsrättsliga regelverket.8

Som framgår av artikel 33.1 i VIS-förordningen är förordningens krets av skadeståndsberättigade vidare än personuppgiftslagens. Personuppgiftslagens bestämmelse omfattar endast skadestånd till den registrerade, medan även andra personer och medlemsstater kan ha rätt till skadestånd enligt VIS-förordningen. Av förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 45) framgår att regeringen har gjort bedömningen att ett krav på ersättning som framställs av någon som inte är registrerad omfattas av de generella reglerna i skadeståndslagen (1972:207).

När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas.9 Den generella regleringen för personuppgiftsbehandling kommer då att finnas i dataskyddsförordningen och inte i nationell rätt.

Den registrerades rätt till rättelse och radering av personuppgifter regleras i artikel 16 och 17 i dataskyddsförordningen. Bestämmelser om den registrerades rätt till skadestånd finns i artikel 82 i förordningen och innebär att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av

8 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 4344). 9 Se kommittédirektiv till Dataskyddsutredningen (Dir. 2016:15 s. 6).

Ds 2017:45 Syfte och tillämpningsområde

81

förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Bestämmelsen reglerar även bl.a. solidariskt ansvar och regressrätt mellan de ansvariga (se vidare avsnitt 14.8.2).

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att dataskyddslagen ska innehålla en bestämmelse som innebär att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Att så är fallet följer redan av skäl 146 till dataskyddsförordningen, där det förtydligas att behandling som strider mot dataskyddsförordningen även omfattar behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Den föreslagna bestämmelsen i dataskyddslagen är således av klargörande karaktär.10

Bedömning

Förslag: När personuppgifter behandlas med stöd av VIS-

förordningen ska följande gälla.

1. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med VISförordningen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med VIS-förordningen orsakat. Ersättningsskyldigheten kan i den utsträckning det

10 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 302 f.).

Syfte och tillämpningsområde Ds 2017:45

82

är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. I övrigt ska utlänningsdatalagen även fortsättningsvis inte vara tillämplig när personuppgifter behandlas med stöd av VISförordningen.

Utlänningsdatalagen är för närvarande inte tillämplig på den personuppgiftsbehandling som sker med stöd av VIS-förordningen. Dataskyddsförordningen föranleder ingen ändring av detta förhållande, som därmed bör kvarstå oförändrat.

Eftersom personuppgiftslagen kommer att upphävas måste emellertid hänvisningen till den lagens bestämmelser utgå. Frågan är då hur VIS-förordningens krav på en nationell reglering av rätten till rättelse, radering och skadestånd ska hanteras.

Som vi nämnt i föregående avsnitt kommer det när dataskyddsförordningen börjar tillämpas inte att finnas några generellt tillämpliga bestämmelser om rättelse och radering i svensk lagstiftning. Den föreslagna skadeståndsbestämmelsen i dataskyddslagen utgör vidare endast ett förtydligande av hur dataskyddsförordningens bestämmelser om skadestånd ska tolkas.

I brist på nationella bestämmelser att hänvisa till vad gäller rätten till rättelse, radering och skadestånd föreslår vi att det i utlänningsdatalagen införs en reglering, motsvarande den som för närvarande finns i 28 och 48 §§ PuL, som endast gäller för personuppgiftsbehandling enligt VIS-förordningen. En sådan särreglering passar förvisso mindre bra in i utlänningsdatalagens systematik. Det får emellertid ses som en enkel och tillfällig lösning i väntan på en översyn av VIS-förordningen. Alternativet vore att i utlänningsdatalagen föreskriva att dataskyddsförordningens bestämmelser om rättelse, radering och skadestånd gäller vid personuppgiftsbehandling som sker enligt VIS-förordningen. Mot bakgrund av att det av VIS-förordningen framgår att dessa frågor ska regleras i medlemsstaternas nationella rätt förordar vi dock inte denna lösning.

Vi föreslår således att det av utlänningsdatalagen ska framgå att när personuppgifter behandlas med stöd av VIS-förordningen gäller följande.

Ds 2017:45 Syfte och tillämpningsområde

83

1. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med VISförordningen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med VIS-förordningen orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

I övrigt bör utlänningsdatalagen, liksom i dag, inte vara tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. På samma sätt som i dag bör vidare ett krav på ersättning enligt VISförordningen som framställs av någon som inte är registrerad omfattas av de generella reglerna i skadeståndslagen (1972:207).11

7.4 Automatiserad behandling och manuella register

Bedömning: Dataskyddsförordningen föranleder ingen ändring

av utlänningsdatalagens bestämmelse om att lagen endast gäller för sådan personuppgiftsbehandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

11 Jfr förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 45).

Syfte och tillämpningsområde Ds 2017:45

84

Utlänningsdatalagen är, enligt 4 §, endast tillämplig på personuppgiftsbehandling som är ”helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier”. Avgränsningen av utlänningsdatalagens tillämpningsområde motsvarar i denna del därmed personuppgiftslagens tillämpningsområde så som det beskrivs i 5 §.

Dataskyddsförordningens materiella tillämpningsområde framgår av artikel 2.1 och beskrivs som ”behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Tillämpningsområdet för 2016 års dataskyddsdirektiv beskrivs på liknande sätt i artikel 2.2. Dataskyddsförordningens tillämpningsområde är därmed något annorlunda beskrivet än utlänningsdatalagens.

Av dataskyddsförordningens skäl 15, där förordningens tillämpningsområde berörs, framgår att ”skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av deras personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register”. I skälen används således begreppet automatiserad i stället för på automatisk väg. De två uttrycken kan därmed inte gärna uppfattas som annat än synonyma. Vi bedömer därmed att det inte finns någon begreppsskillnad mellan förordningens på automatisk väg respektive utlänningsdatalagensautomatiserad.

Begreppet automatiserad har använts i personuppgiftslagen under lång tid och är väl inarbetat även i de svenska registerförfattningarna.12 Vi anser att det inte finns någon risk för att utlänningsdatalagens tillämpningsområde misstolkas om begreppet får kvarstå. Mot den bakgrunden anser vi att begreppet automatiserad bör finnas kvar i utlänningsdatalagen.

Av artikel 4.6 i dataskyddsförordningen framgår att med register i förordningens mening avses ”en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på

Ds 2017:45 Syfte och tillämpningsområde

85

grundval av funktionella eller geografiska förhållanden”. Samma definition finns i artikel 3.6 i 2016 års dataskyddsdirektiv. Någon saklig skillnad mellan dataskyddsförordningens register och utlänningsdatalagens ”strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” finns enligt vår uppfattning inte, eftersom den avslutande bisatsen i dataskyddsförordningens definition inte ändrar avgränsningen av definitionen i sak.

Trots de något olika uttrycken i dataskyddsförordningen respektive utlänningsdatalagen gör vi bedömningen att förordningens materiella tillämpningsområde i denna del stämmer överens med utlänningsdatalagens nuvarande tillämpningsområde.

Vid införandet av personuppgiftslagen gjordes bedömningen att begreppet register är otidsenligt (prop. 1997/98:44 s. 39). Mot den bakgrunden valde lagstiftaren att inte använda begreppet register. I stället användes i personuppgiftslagen den längre beskrivning av begreppet register som nu också används i utlänningsdatalagen.

När dataskyddsförordningen börjar tillämpas kommer de svenska registerförfattningarna att utgöra en komplettering till förordningen. Man skulle därför kunna argumentera för att begreppet register bör användas även i utlänningsdatalagen. Detta skulle kunna undanröja risken för missförstånd och skilda tolkningar av begreppet. Definitionen av register i artikel 4.6 i dataskyddsförordningen innehåller vidare, som vi pekat på ovan, ytterligare beskrivningar av begreppet än ”tillgänglighet enligt särskilda kriterier”. En användning av samma begrepp i utlänningsdatalagen skulle innebära att man inte tappar delar av definitionen.

Utredningen om 2016 års dataskyddsdirektiv har dock i sitt betänkande (SOU 2017:29) föreslagit att uttrycket ”strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” ska användas i brottsdatalagen i stället för begreppet register. Detsamma gäller för det nyligen lämnade förslaget till en omarbetad domstolsdatalag.13 Det är enligt vår mening värdefullt att, så långt det är möjligt, använda samma begrepp i alla de svenska författningar som rör personuppgiftsbehandling. Det uttryck som föreslagits för bl.a. brottsdatalagen är dessutom väl inarbetat i svensk rätt genom bl.a.

Syfte och tillämpningsområde Ds 2017:45

86

personuppgiftslagen och ett flertal registerförfattningar. Mot den bakgrunden föreslår vi att utlänningsdatalagens tillämpningsområde ska vara oförändrat även i denna del.

87

8 Ändamålsbestämmelser

8.1 Primära ändamålsbestämmelser

8.1.1 Rättslig reglering

Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta kallas för ändamålsbegränsning och det senare ledet benämns ofta finalitetsprincipen

(

se avsnitt 8.4). Motsvarande bestämmelse finns i artikel 6.1 b i

1995 års dataskyddsdirektiv och har införts i svensk rätt genom 9 § första stycket c och d PuL. Utlänningsdatalagen hänvisar till personuppgiftslagens bestämmelser genom 8 § första stycket 3.

Registerförfattningarnas ändamålsbestämmelser brukar delas upp i primära och sekundära ändamål. Bestämmelserna om primära ändamål tillgodoser den berörda myndighetens eget behov av att behandla personuppgifter. Bestämmelser om sekundära ändamål reglerar i vilken utsträckning uppgifter som samlats in för myndighetens egen verksamhet får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov.1

Utlänningsdatalagens primära ändamålsbestämmelser finns i 11 och 12 §§. Enligt 11 § får Migrationsverket, Polismyndigheten och utlandsmyndigheterna behandla personuppgifter om det behövs för

1. handläggning av ärenden eller en myndighets biträde i sådana

ärenden i verksamhet som avses i 2 och 3 §§,

1 Se 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 261).

Ändamålsbestämmelser Ds 2017:45

88

2. kontroll av utlänning i samband med inresa och utresa samt

kontroll under vistelsen i Sverige,

3. utförande av arbetsuppgifter som gäller mottagande och

bosättning av asylsökande och andra utlänningar,

4. framställning av statistik,

5. utförande av testverksamhet, eller

6. fullgörande av en rättslig skyldighet att registrera eller på annat

sätt dokumentera en personuppgift.

Enligt 12 § utlänningsdatalagen får Migrationsverket därutöver också behandla personuppgifter om det behövs för återsökning av avgöranden, rättsutredningar och annan rättslig information eller om det behövs för återsökning av information som rör förhållanden i andra länder.

Av förarbetena till utlänningsdatalagen (SOU 2015:73 s. 266 och prop. 2015/16:65 s. 57) framgår att utlänningsdatalagens primära ändamålsbestämmelser är uttömmande.

8.1.2 Tidigare förarbeten

Regeringen konstaterade i förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 60 ff.) att lagrådet i tidigare lagstiftningsärenden har framfört att en ändamålsbestämmelse som tar sikte på en myndighets planering, uppföljning och utvärdering av verksamheten är obehövlig. Lagrådet ansåg att sådan verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Mot den bakgrunden har det för utlänningsdatalagen inte föreslagits någon särskild reglering som innebär att personuppgiftsbehandling för tillsyn, kontroll, uppföljning eller planering av verksamheten är tillåten. Därutöver angav regeringen i förarbetena sammanfattningsvis följande angående innebörden av utlänningsdatalagens primära ändamålsbestämmelser.

Ds 2017:45 Ändamålsbestämmelser

89

Handläggning av ärenden m.m.

Begreppet handläggning bör ges en vid tolkning och innefatta alla moment som kan bli aktuella vid handläggningen av ett ärende. Till exempel bör ändamålet omfatta Migrationsverkets behandling av personuppgifter i samband med mottagande, registrering och beredning av ärenden, förordnande av offentligt biträde, kommunikation med den sökande, kommunikation med andra tjänstemän inom samma myndighet med anledning av ärendet samt upprättande och meddelande av beslut.

Ändamålet bör även omfatta Polismyndighetens personuppgiftsbehandling i kontroll- och verkställighetsärenden. Till sådan verksamhet hör till exempel att Polismyndigheten på elektronisk väg får tips om var personer som ska utvisas befinner sig eller att myndigheten själv använder sig av automatiserad behandling i syfte att identifiera och hitta personer vars beslut om avlägsnande Polismyndigheten ska verkställa. Även den personuppgiftsbehandling som utförs i samband med Polismyndighetens verkställande av Migrationsverkets beslut om förvar bör falla under detta ändamål. Ändamålet bör slutligen ge stöd för utlandsmyndigheternas personuppgiftsbehandling i den medverkan till utredning i Migrationsverkets, Polismyndighetens och Säkerhetspolisens handläggning av utlännings- och medborgarskapsärenden som sker med stöd av förordningen (2014:115) med instruktion för utrikesrepresentationen. Ändamålet bör vidare tolkas så att det ger stöd för att personuppgifter som samlats in för ett visst ärende behandlas i ett senare ärende som rör samma person eller i ett ärende som rör en annan person men där den registrerade förekommer som exempelvis anhörig.

Kontroll av utlänningar

Polismyndigheten har behov av att utföra personuppgiftsbehandling i samband med yttre gränskontroll och inre utlänningskontroll. Migrationsverket kan också medverka vid sådan kontrollverksamhet. När den kontroll som Polismyndigheten bedriver inte har brottsbekämpande syfte, är ändamålet att kontrollera den inresandes identitet och att kontrollera att han eller hon uppfyller de formella och materiella kraven enligt utlänningslagen för rätt till

Ändamålsbestämmelser Ds 2017:45

90

inresa och vistelse i Sverige. I sådana fall regleras personuppgiftsbehandlingen av utlänningsdatalagen.

Mottagande och bosättning

Särskilda bestämmelser om Migrationsverkets ansvar vid mottagande och bosättning av asylsökande och andra utlänningar finns bl.a. i lagen (1994:137) om mottagande av asylsökande m.fl. Ändamålet möjliggör personuppgiftsbehandling hos Migrationsverket som avser ombesörjandet av boende och sysselsättning för asylsökande och andra utlänningar, men som inte direkt utförs inom ramen för ett enskilt ärende. Som exempel kan nämnas myndighetens kontakter med arbetsgivare och andra myndigheter för att ordna praktikplats åt en asylsökande. Inom ramen för det nu föreslagna ändamålet faller också myndighetens arbete med att ta emot kvotflyktingar, bl.a. vad gäller praktiskt arbete med mottagande och bosättning. Det torde mycket sällan bli aktuellt för Polismyndigheten eller utlandsmyndigheterna att behandla personuppgifter för det nu föreslagna ändamålet. Lagstiftningen är dock utformad för att inte lägga hinder i vägen för nödvändig personuppgiftsbehandling om sådant behov skulle uppkomma.

Statistik och testverksamhet

Som exempel på denna typ av verksamhet nämns Migrationsverkets skyldighet att, enligt förordningen (2007:996) med instruktion för Migrationsverket, föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Migrationsverket framställer även statistik till externa mottagare såsom riksdagen, Regeringskansliet, fackförbund, Eurostat och UNHCR. Myndigheterna har också ofta behov av att kunna använda personuppgifter i testverksamhet, t.ex. för att kontrollera att it-systemen fungerar på ett effektivt och rättssäkert sätt eller vid introducerandet av ny teknisk utrustning eller datasystem.

Det kan visserligen hävdas att behandling av personuppgifter för att framställa statistik och bedriva testverksamhet många gånger måste anses ha ett sådant samband med verksamheten i övrigt att den inte skulle behöva regleras i en särskild ändamålsbestämmelse.

Ds 2017:45 Ändamålsbestämmelser

91

Genom att framställning av statistik särskilt omnämns i ändamålsbestämmelsen klargörs emellertid att personuppgifter får behandlas för statistikändamål oavsett om det handlar om att tillgodose den egna myndighetens behov eller om att framställa statistik för att kunna lämna över den till andra myndigheter.

Skyldighet att registrera eller dokumentera personuppgifter

Viss personuppgiftsbehandling är nödvändig utan att den kan sägas direkt röra den konkreta kärnverksamheten enligt utlännings- och medborgarskapslagstiftningen. Exempelvis kan personuppgifter som har lämnats in till myndigheterna utan att ha samband med ett ärende utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Sådana handlingar ska, enligt 5 kap. 1 § OSL, diarieföras så snart som möjligt. I förvaltningslagen (1986:223) finns vissa regler om anteckningsskyldighet, parts rätt att ta del av det som tillförts ärendet och kommunikationsplikt. Även dessa bestämmelser kan innebära att personuppgifter måste behandlas. Med anledning av den uttömmande regleringen av utlänningsdatalagens primära ändamål behövs det en ändamålsbestämmelse som tar sikte på myndigheternas skyldighet att registrera och på annat sätt dokumentera personuppgifter som kommer in till myndigheterna.

Migrationsverkets återsökning av avgöranden m.m.

För Migrationsverket är tillgången till aktuell rättspraxis och uppdaterad information om länder nödvändig för att myndigheten ska kunna fatta korrekta beslut i enlighet med gällande praxis och i övrigt bedriva verksamheten så effektivt och rättssäkert som möjligt. I rättsfallssamlingar är identiteten på en person oftast oväsentlig för informationsvärdet. Däremot kan det vara nödvändigt att behandla titlar på domar från exempelvis EUdomstolen och Europadomstolen även om de innehåller ett namn på en person.

Ändamålsbestämmelser Ds 2017:45

92

8.2 Sekundära ändamålsbestämmelser

8.2.1 Rättslig reglering

Utlänningsdatalagens sekundära ändamål anges i 13 §. Enligt bestämmelsens första stycke får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas när det är nödvändigt för att tillhandahålla information till

1. riksdagen eller regeringen,

2. en annan myndighet eller en enskild, om uppgifterna lämnas

med stöd av lag eller förordning, eller

3. en utländsk myndighet, ett EU-organ eller en mellanfolklig

organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

De sekundära ändamål som anges i 13 § första stycket utlänningsdatalagen är emellertid inte uttömmande. Enligt 13 § andra stycket utlänningsdatalagen får personuppgifter som behandlas för de primära ändamålen (11 och 12 §§) i ett enskilt fall även behandlas för att tillhandahålla information för något annat ändamål än de som uttryckligen anges i 13 § första stycket. En förutsättning för detta är att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Den nya behandlingen måste således stå i överensstämmelse med finalitetsprincipen så som den beskrivs i 9 § första stycket d PuL för att vara tillåten.2 Enligt vad som framgår av 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 266) förefaller bestämmelsens ordalydelse ”i ett enskilt fall” syfta på att det är bedömningen av en behandlings förenlighet med det ursprungliga ändamålet som ska göras i det enskilda fallet. Begränsningen till ”ett enskilt fall” förefaller således inte avse en särskild restriktivitet vad gäller själva användandet av möjligheten att lämna ut uppgifter.

2 Jfr förarbetena till utlänningsdatalagen (SOU 2015:73 s. 266 och 443) samt (prop. 2015/16:65 s. 68).

Ds 2017:45 Ändamålsbestämmelser

93

8.2.2 Tidigare förarbeten

Vad gäller utlänningsdatalagens sekundära ändamålsbestämmelser framgår av förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 68 ff.) följande.

Information till riksdagen, regeringen, annan myndighet eller enskild

Det finns en rad olika författningar som föreskriver en uppgiftsskyldighet för myndigheterna. För det första är myndigheterna i vissa fall skyldiga att lämna ut uppgifter till vissa utpekade myndigheter. Till exempel har Försäkringskassan och Pensionsmyndigheten, enligt 17 kap. 3 § utlänningslagen, rätt att ta del av uppgifter om enskilda hos Migrationsverket. Ett annat exempel är att Migrationsverket ska lämna vissa uppgifter till Centrala studiestödsnämnden enligt 30 § förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiftsskyldighet följer av lag eller förordning.

Myndigheter är vidare i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är till exempel enligt reglerna i 2 kap. tryckfrihetsförordningen skyldig att lämna ut personuppgifter som finns i allmänna handlingar, om inte sekretess gäller för uppgifterna. Enligt 6 kap. 5 § OSL ska en myndighet därutöver på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelser om sekretess eller av hänsyn till arbetets behöriga gång.

Vidare finns det ett antal författningar med bestämmelser som medför att uppgifter får lämnas ut. Bestämmelserna innebär således inte – till skillnad från de ovan beskrivna – en uppgiftsskyldighet, utan enbart att utlämnande är tillåtet. Ett exempel på en sådan bestämmelse är 10 kap. 15 § OSL, enligt vilken sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen. Vidare finns i 10 kap. 27 § samma lag en generalklausul som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet om det

Ändamålsbestämmelser Ds 2017:45

94

är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.

Myndigheterna lämnar inte enbart ut uppgifter för att tillgodose andras behov. En myndighet kan även lämna ut uppgifter på eget initiativ, till exempel för att kunna utföra en uppgift i den egna verksamheten. Det kan till exempel ske med stöd av 10 kap. 2 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Ett annat exempel är 10 kap. 18 § samma lag, som anger att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiften behövs där för förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat rättsligt förfarande vid myndighet mot någon rörande hans eller hennes deltagande i verksamheten vid den myndighet där uppgiften förekommer.

När bestämmelser om uppgiftslämnande har införts i lagstiftningen får det förutsättas att det gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut.

Information till utländska myndigheter och organ

När det gäller EU-samarbetet är mycket av den personuppgiftshantering som sker reglerad i särskilda förordningar, som gäller som svensk lag. Den aktuella bestämmelsen möjliggör att nödvändigt uppgiftslämnande kan ske i det fall sådana särskilda bestämmelser saknas. Detsamma gäller för uppgiftlämnande som sker med stöd av förpliktelser i konventioner eller av riksdagen godkända avtal med främmande stat eller mellanfolkliga organisationer.

Om sekretess gäller för uppgiften får den, enligt 8 kap. 3 § OSL, inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande sker i enlighet med särskild föreskrift i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt

Ds 2017:45 Ändamålsbestämmelser

95

med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

8.3 Ett uttryckligt angivet och tydligt ändamål

Av artikel 6.3 andra stycket i dataskyddsförordningen framgår att den nationella rätten kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen och att dessa bestämmelser kan innehålla bland annat de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål samt ändamålsbegränsningar (se avsnitt 5.1). Detta ger enligt vår mening stöd för förekomsten av både primära och sekundära ändamålsbestämmelser i nationella registerförfattningar.

Ändamålet med personuppgiftsbehandlingen måste vara uttryckligt angivet och tillräckligt tydligt. Detta framgår av de allmänna principer som gäller enligt artikel 5.1 b i dataskyddsförordningen och skäl 39 till förordningen. Om ändamålen med personuppgiftsbehandlingen inte har en viss grad av precision är det vidare svårt att bedöma om behandlingen uppfyller den princip om uppgiftsminimering som framgår av artikel 5.1 c i dataskyddsförordningen. Enligt denna princip ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål som de samlades in för. En bedömning av om en uppgift är nödvändig för ett visst ändamål eller hur relevant uppgiften är för ändamålet, är svår att göra om ändamålet inte är tillräckligt tydligt angivet.3

8.4 Finalitetsprincipen

Som framgår av avsnitt 8.2.1 får de aktuella myndigheterna, enligt 13 § andra stycket utlänningsdatalagen, i vissa fall behandla personuppgifter för att tillhandahålla information om detta inte strider mot finalitetsprincipen. Finalitetsprincipen kommer till uttryck i artikel 6.1 b i 1995 års dataskyddsdirektiv och har införts i svensk

3 Jfr Socialdatautredningens betänkande (SOU 1999:109 s. 156).

Ändamålsbestämmelser Ds 2017:45

96

rätt genom 9 § d PuL. I dataskyddsförordningen återfinns den i artikel 5.1 b och artikel 6.4.

Enligt artikel 5.1 b i dataskyddsförordningen ska – som vi tidigare nämnt – personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Av bestämmelsen framgår också att personuppgifterna inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Det framgår emellertid även att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenliga med de ursprungliga ändamålen.

Nytt för dataskyddsförordningen är att det – av artikel 6.4 – framgår vilka faktorer som kan vara av betydelse för att fastställa om en personuppgiftsbehandling för andra ändamål är förenlig med det ändamål som uppgifterna samlades in för. De faktorer som anges i artikel 6.4 a–e är i sin helhet följande.

a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats

in och ändamålen med den avsedda ytterligare behandlingen.

b) Det sammanhang inom vilket personuppgifterna har samlats in,

särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c) Personuppgifternas art, särskilt huruvida särskilda kategorier av

personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d) Eventuella konsekvenser för registrerade av den planerade fortsatta

behandlingen.

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa

kryptering eller pseudonymisering.

Av skäl 50 till dataskyddsförordningen framgår dock också att om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som ”förenlig och laglig”. Tillåtligheten av en vidarebehandling kan således säkerställas genom nationell lagstiftning som reglerar när

Ds 2017:45 Ändamålsbestämmelser

97

sådan vidarebehandling ska vara tillåten (jfr artikel 6.3 andra stycket i dataskyddsförordningen och avsnitt 8.3). En sådan nationell reglering ersätter således, enligt vår mening, den prövning som annars ska göras enligt artikel 5.1 b och 6.4 i dataskyddsförordningen av om ändamålet är förenlighet med det ursprungliga.

8.5 Precisering av rättslig grund eller ändamålsbestämmelser?

Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 241 ff.) gjort bedömningen att tillåtna rättsliga grunder för behandling och ändamålsbestämmelser ibland har blandats samman.4 Detta kan enligt den utredningen leda till att tillämparen förväxlar rättslig grund med ändamål och godtar ett i författning angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål. Som ett exempel nämns bestämmelsen i 2 kap. 7 § polisdatalagen (2010:361). Här anges att Polismyndigheten får behandla personuppgifter för att utföra vissa av sina arbetsuppgifter, t.ex. om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. Utredningen om 2016 års dataskyddsdirektiv ifrågasätter om sådana bestämmelser utgör ändamålsbestämmelser eller om de i stället bör betraktas som en precisering av den rättsliga grunden.

Man kan ställa sig frågan om de ändamålsbestämmelser som finns i 1113 §§utlänningsdatalagen snarare utgör en precisering av den rättsliga grund som myndigheternas rätt till personuppgiftsbehandling inom utlänningsdatalagens tillämpningsområde vilar på. Den myndighetsutövning eller uppgift av allmänt intresse (jfr artikel 6.1 e i dataskyddsförordningen) som har anförtrotts myndigheterna genom utlännings- och medborgarskapslagstiftningen och som framgår av 2 och 3 §§utlänningsdatalagen kan ytterligare brytas ner till de primära ändamål som anges i 11 och 12 §§utlänningsdatalagen. På samma sätt bör det utlämnande som sker i enlighet 13 § utlänningsdatalagen utgöra en uppgift av allmänt intresse eller en rättslig förpliktelse (jfr artikel 6.1 c och e i dataskyddsförordningen).

4 Se även Informationshanteringsutredningens slutbetänkande (SOU 2015:39).

Ändamålsbestämmelser Ds 2017:45

98

Den verksamhet som myndigheterna har ålagts att utföra är emellertid tydligt avgränsad genom utlännings- och medborgarskapslagstiftningen. Detta får enligt vår mening till följd att den rättsliga grunden och de ändamål som personuppgifter behandlas för ligger varandra nära. Vi anser därför att det inte finns något principiellt hinder mot att behålla de ändamål för behandling som nu finns i utlänningsdatalagen.

8.6 Bedömning

Förslag: Personuppgifter som har behandlats enligt de primära

ändamålsbestämmelserna ska i ett enskilt fall få behandlas för att tillhandahålla information under förutsättning att behandlingen är tillåten enligt artiklarna 5.1 b och 6.4 i dataskyddsförordningen.

Bedömning: Dataskyddsförordningen föranleder ingen ändring

vad gäller förekomsten av ändamålsbestämmelser i utlänningsdatalagen. Det är inte heller nödvändigt att ytterligare precisera de befintliga ändamålen för behandling.

8.6.1 Ändamålen för behandling bör uttryckligen anges

Vi anser att de tillåtna ändamålen för personuppgiftsbehandling även fortsättningsvis bör framgå av utlänningsdatalagen. Skälen för detta är följande.

Enligt utlänningsdatalagens primära ändamålsbestämmelser (11– 12 §§) får personuppgifter behandlas om det behövs för ett antal där uppräknade arbetsuppgifter. Den personuppgiftsbehandling som myndigheterna utför inom utlänningsdatalagens tillämpningsområde utgörs dock till den allra största delen av traditionell ärendehandläggning. Även den behandling av personuppgifter som är tillåten hos Migrationsverket för att återsöka avgöranden, rättsutredningar, annan rättslig information eller information som rör förhållanden i andra länder sker enligt vår mening till stor del för att ärendehandläggningen ska bli så rättssäker och effektiv som möjligt. För ärendehandläggningen finns både materiella och

Ds 2017:45 Ändamålsbestämmelser

99

processuella förvaltningsrättsliga regler som styr vilka personuppgifter som ska registreras i ärendet. Denna verksamhet är därmed tydligt avgränsad vad gäller behandlingen av personuppgifter.5 På detta sätt skiljer sig verksamheten från t.ex. de brottsbekämpande myndigheternas verksamhet, där mer övergripande ändamål riskerar att leda till att personuppgifter behandlas i strid med kraven på ändamålsbegränsning och uppgiftsminimering (artikel 5.1 b och c). Vi anser att detsamma gäller för den behandling av personuppgifter som utförs för att fullgöra en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift, eftersom behandlingen av personuppgifter enligt denna ändamålsbestämmelse förutsätts vara föreskriven i författning.

Vår uppfattning är att det inte heller vad gäller Polismyndighetens och Migrationsverkets verksamhet vid yttre gränskontroll och inre utlänningskontroll finns anledning att utmönstra utlänningsdatalagens ändamålsbestämmelser. Syftet med sådan verksamhet är att kontrollera den inresandes identitet och att han eller hon har rätt att resa in och vistas i Sverige. Det rör sig således även här om ett relativt avgränsat uppdrag. Skulle brottsmisstanke uppstå i samband med denna verksamhet kommer personuppgiftsbehandlingen i stället att ske med stöd av brottsdatalagen (se avsnitt 7.2.3).6

Som framförs i förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 63 f.) har framställning av statistik respektive utförande av testverksamhet oftast en naturlig koppling till den operativa verksamheten. Det har inte heller kommit fram något som tyder på att det finns anledning att befara att myndigheterna vid sådan verksamhet kommer att behandla personuppgifter på ett sätt som inte är förenligt med principerna om ändamålsbegränsning och uppgiftsminimering.

Även de sekundära ändamål för personuppgiftsbehandling som är angivna i 13 § första stycket utlänningsdatalagen är avgränsade genom att vidarebehandling i de allra flesta fall endast är tillåten om det är föreskrivet, t.ex. i författning eller enligt en internationell

5 Jfr Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 703. 6 Se även Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29 s. 199 och 202 f

)

.

Ändamålsbestämmelser Ds 2017:45

100

konvention. Möjligheten att, enligt bestämmelsens andra stycke, behandla personuppgifter för ytterligare ändamål om det inte strider mot finalitetsprincipen är vidare begränsad till situationer där information ska tillhandahållas.

Vi anser också att en lagreglering av personuppgiftsbehandlingens ändamål ger en tydlighet för både de registrerade och de tjänstemän vid myndigheterna som ska behandla personuppgifterna. Eftersom utlänningsdatalagens primära ändamålsbestämmelser dessutom är avsedda att vara uttömmande kommer det inte att vara upp till enskilda tjänstemän att bedöma om en behandling är förenlig med dataskyddsförordningens bestämmelser. Detta utgör enligt vår mening i sig ett skydd för de registrerades integritet.

Enligt artikel 5.1 b i dataskyddsförordningen måste ändamålen med personuppgiftsbehandlingen vara uttryckligt angivna. För det fall det i utlänningsdatalagen inte anges för vilka ändamål personuppgifter får behandlas måste ändamålet för varje behandling framgå på något annat sätt. Vad gäller handläggningen av specifika ärenden torde ändamålet med behandlingen förvisso framgå av sammanhanget, t.ex. prövning av saken X efter ansökan av Y. Även vad gäller yttre och inre gränskontroll torde det framgå av sammanhanget att syftet med denna är att kontrollera den aktuella personen på det sätt som krävs för att exempelvis fastställa om han eller hon har rätt att resa in eller vistas i Sverige. Det kan dock inte uteslutas att det för vissa av de övriga arbetsuppgifter som omfattas av utlänningsdatalagens primära ändamålsbestämmelser (se avsnitt 8.1.1) skulle krävas en dokumentation av ändamålet med personuppgiftsbehandlingen, t.ex. ett angivande av vad det specifika syftet är med att söka bland avgjorda ärenden eller med en specifik statistiksammanställning. En sådan ordning skulle enligt vår mening utgöra en större administrativ belastning för myndigheterna än den nuvarande.

8.6.2 Tillräckligt tydliga och specifika ändamål

Frågan är då om det finns anledning att se över ändamålsbestämmelsernas utformning eller om de redan nu är så specifikt

Ds 2017:45 Ändamålsbestämmelser

101

och uttryckligt angivna som kan krävas (jfr artikel 5.1 b i dataskyddsförordningen)

Som framgår ovan innehåller 1995 års dataskyddsdirektiv samma reglering om ändamålet för personuppgiftsbehandling som dataskyddsförordningen. Utlänningsdatalagens nuvarande ändamålsbestämmelser har således bedömts utifrån samma krav som nu återfinns i dataskyddsförordningen. Detta innebär att lagstiftaren i och med införandet av utlänningsdatalagen måste ha bedömt att de ändamål som anges i lagen är så uttryckligt angivna och tydliga som krävs enligt unionsrätten.

Utlänningsdatalagens primära ändamålsbestämmelse rymmer vidare en mängd olika arbetsuppgifter, som är av mycket skild karaktär (se avsnitt 8.1.2). Mot bakgrund av den diversifierade verksamhet som omfattas av bestämmelserna i 11 och 12 §§ måste de ändamålsbestämmelser som är avsedda att träffa i stort sett hela denna verksamhet enligt vår mening ha en vid formulering. Vi anser därför att utlänningsdatalagens primära ändamålsbestämmelser är så specifika och tydliga som kan krävas i denna verksamhet. Enligt vår uppfattning vore det vidare olämpligt att i ett försök att skapa tydlighet bryta ner de arbetsuppgifter som framgår av bestämmelserna om primära ändamål i ytterligare delmoment. Detta skulle enligt vår mening i stället riskera att göra lagstiftningen ofullständig och skapa förvirring gällande tillåtligheten av de arbetsuppgifter som inte nämns.

Det får dock inte glömmas bort att personuppgiftsbehandlingen måste behövas respektive vara nödvändig för att vara tillåten. Frågan om huruvida behandlingen av en viss personuppgift är adekvat, relevant och inte för omfattande i ett enskilt ärende eller för en enskild arbetsuppgift (jfr artikel 5.1 c i dataskyddsförordningen) får enligt vår mening bedömas utifrån det enskilda ärendets eller arbetsuppgiftens karaktär. I detta sammanhang kan dock anmärkas att innebörden av begreppen behövs respektive nödvändig i allt väsentligt torde vara densamma. Av förarbetena till utlänningsdatalagen framgår att avsikten med båda begreppen är att betona att behandling av personuppgifter inte får ske slentrianmässigt. Det framgår också att man valt att använda sig av två olika

Ändamålsbestämmelser Ds 2017:45

102

begrepp främst för att anpassa terminologin i de primära respektive sekundära ändamålsbestämmelserna till polisdatalagen (2010:361).7

Enligt utlänningsdatalagens sekundära ändamålsbestämmelse får personuppgifter som samlats in för att de behövs för de primära ändamålen även behandlas om det behövs för att fullgöra uppgiftslämnande, dels till riksdagen eller regeringen och dels om det är föreskrivet. Enligt artikel 6.3 i dataskyddsförordningen är det möjligt att i nationell rätt reglera för vilka ändamål uppgifter får lämnas ut. Som framgår av tidigare förarbeten till utlänningsdatalagen (prop. 2015/16:65 s. 69) får det också förutsättas att det vid den aktuella lagstiftningens tillkomst har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet.

Vi anser att utlänningsdatalagens sekundära ändamålsbestämmelse medverkar till att ge en heltäckande bild av vilken personuppgiftsbehandling som är tillåten inom utlänningsdatalagens tillämpningsområde. Bestämmelsen innebär också att det inte råder några tvivel om att det utlämnande av personuppgifter som sker med stöd av exempelvis författning, internationella konventioner eller avtal som ingåtts med främmande stat är tillåtet även enligt dataskyddsförordningen.

Sammantaget gör vi bedömningen att de ändamål för behandling som uttryckligen anges i utlänningsdatalagen är så tydligt angivna och specifika att någon förändring inte behöver eller bör göras.

8.6.3 Uppgifter som har behandlats enligt brottsdatalagen

Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 292) gjort bedömningen att dataskyddsförordningen – och inte brottsdatalagen – är tillämplig när sådana behöriga myndigheter som avses i brottsdatalagen behandlar personuppgifter för att tillhandahålla dessa till andra myndigheter, om ändamålet med behandlingen ligger utanför brottsdatalagens tillämpningsområde. Som ett exempel kan nämnas när Polismyndigheten enligt tryckfrihetsförordningen lämnar ut handlingar som behandlas i gränskontrollverksamhet i syfte att bekämpa brott

7 Se prop. 2015:16:65 s. 58 ff.

Ds 2017:45 Ändamålsbestämmelser

103

(jfr 11 § 2 utlänningsdatalagen). Personuppgifterna har då primärt behandlats med stöd av brottsdatalagen och Polismyndighetens registerförfattning. Utlämnandet av uppgifterna ska dock bedömas utifrån dataskyddsförordningens bestämmelser.

Enligt vad vi erfarit vid samråd med Utredningen om 2016 års dataskyddsdirektiv kommer den utredningen att ge förslag på en reglering av vilken prövning som ska göras innan personuppgifter, som behandlas med stöd av brottsdatalagen, får behandlas för ändamål utanför den lagens tillämpningsområde. Vi kommer därmed inte att behandla den frågan i vår promemoria.

8.6.4 Hänvisningen till finalitetsprincipen

Den hänvisning till finalitetsprincipen som finns i 13 § andra stycket utlänningsdatalagen tillkom som en ventil, eftersom det inte går att förutse alla de fall då uppgifter bör kunna lämnas ut.8Dataskyddsförordningen innebär enligt vår bedömning inte någon förändring vad gäller behovet av en sådan bestämmelse. Vi anser dock att det finns anledning att se över hur hänvisningen till finalitetsprincipen ska utformas. Anledningen till detta är att innebörden av finalitetsprincipen har definierats ytterligare i dataskyddsförordningen; av artikel 6.4 framgår vilka faktorer som kan vara av betydelse för att fastställa om en personuppgiftsbehandling för andra ändamål är förenlig med det ändamål som uppgifterna samlades in för.

Genom en hänvisning i 13 § andra stycket utlänningsdatalagen till artikel 5.1 b och 6.4 i dataskyddsförordningen skulle det enligt vår mening stå klart för tillämparen att den nya behandlingen ska bedömas utifrån finalitetsprincipen i dataskyddsförordningens mening. För det fall bestämmelsen kvarstår i sin nuvarande lydelse anser vi att detta inte framstår som lika självklart. Vi föreslår därför att det av utlänningsdatalagen ska framgå att personuppgifter som har behandlats enligt de primära ändamålsbestämmelserna i ett enskilt fall även får behandlas för att tillhandahålla information för något annat ändamål än de som anges i 13 § första stycket, under

8 Se 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 266).

Ändamålsbestämmelser Ds 2017:45

104

förutsättning att behandlingen är tillåten enligt artiklarna 5.1 b och 6.4 i dataskyddsförordningen.

105

9 Förhållandet till annan lagstiftning

9.1 Förhållandet till personuppgiftslagen

Förslag:Utlänningsdatalagens bestämmelse om hur lagen

förhåller sig till personuppgiftslagen ska upphävas och samtliga hänvisningar till personuppgiftslagen utgå.

Enligt 7 § utlänningsdatalagen gäller den lagen i stället för personuppgiftslagen, om inte annat anges i 8 §. Den senare bestämmelsen innehåller i sin tur hänvisningar till de bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.

När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas.1Utlänningsdatalagens bestämmelse om hur lagen förhåller sig till personuppgiftslagen måste därmed upphävas och samtliga hänvisningar till personuppgiftslagen utgå. I avsnitt 9.4 redogör vi för innehållet i utlänningsdatalagens befintliga hänvisningar till personuppgiftslagen och gör en bedömning av om dessa ska ersättas.

9.2 Förhållandet till dataskyddsförordningen

Förslag: Det ska framgå av utlänningsdatalagen att lagen

innehåller kompletterande bestämmelser till EU:s dataskyddsförordning.

1 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).

Förhållandet till annan lagstiftning Ds 2017:45

106

Bedömning: Hänvisningarna till personuppgiftslagen bör inte

generellt ersättas med hänvisningar till motsvarande bestämmelser i dataskyddsförordningen.

När dataskyddsförordningen börjar tillämpas kommer den att vara direkt tillämplig på all personuppgiftsbehandling som sker inom dess materiella och territoriella tillämpningsområde i medlemsstaterna. Det är också i dataskyddsförordningen som de grundläggande bestämmelserna för personuppgiftsbehandling kommer att finnas. Dessa bestämmelser gäller på utlänningsdatalagens tillämpningsområde oberoende av om förhållandet till förordningen regleras i utlänningsdatalagen. För att uppmärksamma förhållandet mellan dataskyddsförordningen och utlänningsdatalagen och för att underlätta för tillämparen anser vi dock att det bör införas en upplysningsbestämmelse i utlänningsdatalagen som klargör att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen.

Innehållet i flera av personuppgiftslagens bestämmelser kommer framöver att återfinnas i dataskyddsförordningen (se avsnitt 9.4.). Det kan därmed ligga nära till hands att ersätta utlänningsdatalagens hänvisningar till personuppgiftslagen med hänvisningar till dataskyddsförordningens motsvarande bestämmelser. Hänvisningar endast till vissa av förordningens bestämmelser – som dessutom är förhållandevis komplexa – riskerar dock enligt vår mening att skapa otydlighet för tillämparen. Det finns även en risk för missuppfattningen att de bestämmelser i dataskyddsförordningen som utlänningsdatalagen inte hänvisar till inte är tillämpliga. Vi anser generellt sett därför att hänvisningarna till personuppgiftslagen inte bör ersättas med hänvisningar till motsvarande bestämmelser i dataskyddsförordningen.

Hänvisningsteknik

Vi föreslår i vår promemoria emellertid att vissa bestämmelser i utlänningsdatalagen ska innehålla hänvisningar till bestämmelser i dataskyddsförordningen, t.ex. när det finns möjlighet och anledning att göra undantag från dataskyddsförordningens

Ds 2017:45 Förhållandet till annan lagstiftning

107

bestämmelser (se bl.a. kapitel 14). Sådana hänvisningar kan vara antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 80 f.) gjort bedömningen att den föreslagna dataskyddslagens hänvisningar till dataskyddsförordningen ska vara dynamiska. Undantaget är en bestämmelse som rör behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde. Vi anser att även utlänningsdatalagens hänvisningar till dataskyddsförordningen bör omfatta eventuella framtida ändringar av dataskyddsförordningen och således vara dynamiska. Skälen till detta är följande.

I vårt förslag till 13 a § utlänningsdatalagen finns en hänvisning till artikel 89.1 i dataskyddsförordningen. Hänvisningen har föreslagits för att klargöra att sådana säkerhetsåtgärder som framgår av den senare bestämmelsen krävs för att bl.a. behandling för arkivändamål ska vara tillåten. Eftersom sådana säkerhetsåtgärder är ett krav som framgår av dataskyddsförordningen bör hänvisningen enligt vår mening gälla även för det fall förordningen ändras i denna del.

Den föreslagna ändringen av 15 § utlänningsdatalagen hänvisar till den definition av begreppet känsliga personuppgifter som finns i dataskyddsförordningen. Hänvisningen föreslås bl.a. för att anpassa utlänningsdatalagen till dataskyddsförordningens terminologi. Det ter sig enligt vår mening därmed naturligt att en eventuell ändring av dataskyddsförordningens begrepp får genomslag även i utlänningsdatalagen. Detsamma gäller för den ändring vi föreslagit i 13 § andra stycket utlänningsdatalagen, som knyter an till dataskyddsförordningens definition av finalitetsprincipen. Även vad gäller vårt förslag till ändring av 21 § andra stycket utlänningsdatalagen gör sig detta resonemang gällande. Denna bestämmelse klargör att vissa tredjelandsöverföringar av personuppgifter får ske även om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder enligt dataskyddsförordningens bestämmelser.

Slutligen innehåller den föreslagna 18 a § utlänningsdatalagen undantag från den registrerades rätt att enligt dataskydds-

Förhållandet till annan lagstiftning Ds 2017:45

108

förordningen få information om en personuppgiftsincident. Vi anser att undantaget bör gälla även om det genomförs mindre ändringar i dataskyddsförordningen. Skulle större ändringar genomföras kan valet av en dynamisk hänvisning dock innebära att en översyn av den svenska regleringen behöver göras.

9.3 Förhållandet till dataskyddslagen

Förslag:Utlänningsdatalagen ska inom sitt tillämpningsområde

gälla i stället för den föreslagna dataskyddslagen.

Det ska i utlänningsdatalagen särskilt anges vilka bestämmelser i dataskyddslagen som ska gälla på utlänningsdatalagens tillämpningsområde.

Dataskyddslagen kommer enligt Dataskyddsutredningens föreslag att innehålla de författningsbestämmelser som på ett generellt plan kompletterar dataskyddsförordningen.2 Dataskyddsutredningen föreslår att dataskyddslagen, i likhet med personuppgiftslagen, ska vara subsidiär i förhållande till bestämmelser om behandling av personuppgifter i andra författningar.

Liksom vad som för närvarande gäller i förhållande till personuppgiftslagen, anser vi att utlänningsdatalagen helt ska ersätta dataskyddslagen inom sitt tillämpningsområde. På detta sätt blir regleringen tydlig och bestämmelserna i utlänningsdatalagen måste inte först jämföras med bestämmelserna i dataskyddslagen för att det ska kunna fastställas vilka bestämmelser som är tillämpliga i ett enskilt fall.3 Vi föreslår därför att det i utlänningsdatalagen ska införas en bestämmelse som reglerar att den lagen gäller i stället för dataskyddslagen, om inte annat anges. Det ska i samband med den bestämmelsen hänvisas till de bestämmelser i dataskyddslagen som ska gälla på utlänningsdatalagens tillämpningsområde.

2 Se Dataskyddsutredningens betänkande (SOU 2017:39). 3 Jfr förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 46 f.).

Ds 2017:45 Förhållandet till annan lagstiftning

109

9.4 Befintliga hänvisningar till personuppgiftslagen och hänvisningar till dataskyddslagen

9.4.1 Definitioner

I 8 § första stycket 1 utlänningsdatalagen finns en hänvisning till 3 § PuL, som behandlar definitioner. När dataskyddsförordningen börjar tillämpas kommer de definitioner som är aktuella för utlänningsdatalagen att finnas i artikel 4 i förordningen. Mot bakgrund av vårt ställningstagande om hänvisningar till enskilda bestämmelser i dataskyddsförordningen anser vi att någon hänvisning till förordningens bestämmelse inte bör göras i denna del.

9.4.2 Förhållandet till offentlighetsprincipen

I 8 § första stycket 2 utlänningsdatalagen finns en hänvisning till 8 § PuL. Första stycket i den sistnämnda bestämmelsen behandlar förhållandet till offentlighetsprincipen. Vad gäller andra stycket, som bl.a. behandlar arkivering, finns våra överväganden i kapitel 17.

När dataskyddsförordningen börjar tillämpas kommer förhållandet mellan offentlighetsprincipen och regelverket för personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde att regleras direkt av artikel 86 i förordningen. I denna artikel anges att personuppgifter i allmänna handlingar som förvaras av en myndighet, ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller organet omfattas av. Det anges vidare att syftet är att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 130) gjort bedömningen att artikel 86 i dataskyddsförordningen innebär att den svenska offentlighetsprincipen har företräde framför dataskyddsförordningen avseende bl.a. handlingar som förvaras hos myndigheter och andra offentliga organ. Frågan om offentlighetsprincipens förhållande till regelverket kring

Förhållandet till annan lagstiftning Ds 2017:45

110

personuppgiftsbehandling regleras därmed fullt ut genom dataskyddsförordningen. Mot bakgrund av vårt tidigare ställningstagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelse inte bör göras i denna del.

9.4.3 Grundläggande krav på behandling av personuppgifter

I 8 § första stycket 3 utlänningsdatalagen finns en hänvisning till 9 § PuL, vars första stycke behandlar grundläggande krav på behandling av personuppgifter. Vad gäller andra, tredje och fjärde stycket, som bl.a. behandlar arkivering, finns våra överväganden i kapitel 17.

Artikel 5 i dataskyddsförordningen innehåller de grundläggande principer för behandling av personuppgifter som kommer att gälla när förordningen börjar tillämpas (se vidare avsnitt 5.2). Mot bakgrund av vårt tidigare ställningstagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelse inte bör göras i denna del.

9.4.4 Behandling av personnummer och samordningsnummer

Förslag: Uppgifter om personnummer eller samordnings-

nummer ska även fortsättningsvis få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regleringen ska genomföras genom en hänvisning i utlänningsdatalagen till den föreslagna 3 kap. 13 § dataskyddslagen.

I 8 § första stycket 4 utlänningsdatalagen finns en hänvisning till 22 § PuL. Enligt den bestämmelsen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Ds 2017:45 Förhållandet till annan lagstiftning

111

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att 3 kap. 13 § dataskyddslagen ska innehålla en bestämmelse som till sin lydelse helt motsvarar 22 § PuL. Vi föreslår att det i utlänningsdatalagen införs en hänvisning till dataskyddslagens bestämmelse i denna del. På så sätt behålls den reglering av användandet av personnummer och samordningsnummer som tidigare ansetts vara ändamålsenlig inom utlänningsdatalagens tillämpningsområde.

9.4.5 Information till den registrerade och rättelse

I 8 § första stycket 5 och 6 utlänningsdatalagen finns hänvisningar till 23 och 25–28 §§ PuL. Dessa bestämmelser reglerar information till den registrerade och den registrerades rätt till rättelse, blockering och utplåning av personuppgifter. I kapitel 14 redogör vi för vad som kommer att gälla i dessa frågor när dataskyddsförordningen börjar tillämpas. Där finns även våra överväganden av vilka hänvisningar som bör göras till dataskyddslagen i denna del.

9.4.6 Säkerhet vid behandlingen

I 8 § första stycket 7 utlänningsdatalagen finns en hänvisning till 30 §, 31 § och 32 § första stycket PuL. Dessa bestämmelser reglerar hur ett personuppgiftsbiträde får behandla personuppgifter, den personuppgiftsansvariges ansvar för att lämpliga skyddsåtgärder vidtas och tillsynsmyndighetens rätt att besluta om säkerhetsåtgärder. Innehållet i 30 och 31 §§ PuL återfinns i delar av artikel 28 och 32 i förordningen. Tillsynsmyndighetens befogenheter regleras i artikel 58 i dataskyddsförordningen. Mot bakgrund av vårt tidigare ställningstagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelser inte bör göras i denna del.

9.4.7 Överföring till tredje land

I 8 § första stycket 8 utlänningsdatalagen finns en hänvisning till 33–35 §§ PuL, som gäller överföring av personuppgifter till tredje land. Våra överväganden i denna del finns i kapitel 16.

Förhållandet till annan lagstiftning Ds 2017:45

112

9.4.8 Personuppgiftsombud och förhandskontroll

I 8 § första stycket 9 utlänningsdatalagen finns hänvisningar till 38– 41 §§ PuL. Dessa bestämmelser reglerar vilka arbetsuppgifter ett personuppgiftsombud har samt en rätt för regeringen att meddela föreskrifter om att vissa behandlingar av personuppgifter ska anmälas för förhandskontroll till tillsynmyndigheten.

I kapitel 11 redogör vi för vårt förslag om hur utlänningsdatalagens bestämmelser om personuppgiftsombud bör förändras med anledning av dataskyddsförordningen.

I artikel 55–58 i dataskyddsförordningen finns bestämmelser om tillsynsmyndigheternas behörighet, uppgifter och befogenheter. Här finns bl.a. – i artikel 36 samt 58.3 a och d – bestämmelser om förhandssamråd och förhandstillstånd, som är dataskyddsförordningens motsvarighet till personuppgiftslagens bestämmelser om förhandskontroll. Mot bakgrund av vårt tidigare ställningstagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelser inte bör göras i denna del. Upplysningsvis kan sägas att möjligheten att med stöd av artikel 36.5 i dataskyddsförordningen införa nationella bestämmelser om krav på förhandstillstånd av tillsynsmyndigheten för vissa behandlingar, inte har utnyttjats i det förslag till dataskyddslag som finns i Dataskyddsutredningens betänkande (SOU 2017:39 s. 243 ff.).

9.4.9 Upplysningar till allmänheten om vissa behandlingar

Enligt huvudregeln i personuppgiftslagen (36 § första stycket) ska behandling av personuppgifter som är helt eller delvis automatiserad anmälas till tillsynsmyndigheten. Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till tillsynsmyndigheten, görs dock undantag från skyldigheten att anmäla personuppgiftsbehandlingen (37 § PuL). Personuppgiftsombudet ska, enligt 39 § PuL, föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattas av anmälningsskyldigheten i 36 § PuL om ombudet inte hade funnits.

I 8 § första stycket 10 utlänningsdatalagen finns en hänvisning till 42 § PuL. Av den sistnämnda bestämmelsen framgår i korthet att den personuppgiftsansvarige, till var och en som begär det, ska

Ds 2017:45 Förhållandet till annan lagstiftning

113

lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan till tillsynsmyndigheten enligt 36 § första stycket PuL skulle ha omfattat. Undantag görs för sekretessbelagda uppgifter eller uppgift om vilka säkerhetsåtgärder som har vidtagits.

Det finns ingen motsvarighet till 42 § PuL i dataskyddsförordningen. Enligt Dataskyddsutredningens förslag kommer inte heller dataskyddslagen att innehålla någon liknande bestämmelse.4

I detta sammanhang kan dock nämnas att det, när dataskyddsförordningen börjar tillämpas, kommer att vara den personuppgiftsansvarige som ska föra en förteckning över den personuppgiftsbehandling som utförs under dess ansvar. Detta framgår av artikel 30 i förordningen. Vi gör bedömningen att ett register som förs i enlighet med artikel 30 i förordningen måste anses vara upprättat i enlighet med 2 kap. 7 § TF; antingen som en färdigställd administrativ handling enligt första stycket eller som ett register enligt andra stycket 1. Allmänheten kommer därmed att ha rätt att få ut dess offentliga innehåll med stöd av tryckfrihetsförordningen. Vi gör därmed bedömningen att dataskyddsförordningen i praktiken inte kommer att innebära någon större förändring vad gäller allmänhetens tillgång till information om myndigheters personuppgiftsbehandling.

9.4.10 Tillsynsmyndighetens handläggning och beslut

Förslag: Dataskyddslagens bestämmelser om tillsyns-

myndighetens handläggning och beslut ska gälla även på utlänningsdatalagens tillämpningsområde. Regleringen ska genomföras genom en hänvisning i utlänningsdatalagen till de föreslagna bestämmelserna i 6 kap. 1–5 §§ dataskyddslagen.

I 8 § första stycket 11 utlänningsdatalagen finns hänvisningar till 43 och 44 §§, 45 § första stycket och 47 § PuL. Här regleras

4 Se Dataskyddsutredningens betänkande (SOU 2017:39).

Förhållandet till annan lagstiftning Ds 2017:45

114

tillsynsmyndighetens befogenheter att vidta åtgärder mot de personuppgiftsansvariga.

Tillsynsmyndighetens behörighet, uppgifter och befogenheter regleras utförligt i artikel 55–59 i dataskyddsförordningen. Enligt dessa bestämmelser har tillsynsmyndigheten bl.a. befogenhet att behandla klagomål från registrerade, utfärda varningar och reprimander mot personuppgiftsansvariga, rikta förelägganden mot personuppgiftsansvariga samt besluta om begränsning av eller förbud mot en viss behandling. Tillsynsmyndigheten har enligt artikel 83 i dataskyddsförordningen även rätt att påföra de personuppgiftsansvariga administrativa sanktionsavgifter. Våra överväganden vad gäller sanktionsavgifter finns i avsnitt 9.4.14. Mot bakgrund av vårt tidigare ställningstagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelser om tillsynsmyndighetens befogenheter m.m. inte bör göras.

Enligt det förslag som finns i Dataskyddsutredningens betänkande (SOU 2017:39) kommer dataskyddslagen dock att innehålla vissa kompletterande bestämmelser om tillsynsmyndighetens handläggning och beslut. Dessa finns enligt förslaget i 6 kap. dataskyddslagen. I de följande avsnitten kommer vi att redogöra för dessa bestämmelser och för varje bestämmelse göra en bedömning av om den bör gälla även på utlänningsdatalagens tillämpningsområde.

Tillsynsmyndighetens befogenheter

Av förslaget till 6 kap. 1 § dataskyddslagen framgår att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. De aktuella bestämmelserna i dataskyddsförordningen handlar om tillsynsmyndighetens utredningsbefogenheter, korrigerande befogenheter och befogenheter att utfärda tillstånd och ge råd.

Som framgår av ordalydelsen i 6 kap. 1 § dataskyddslagen ska tillsynsmyndighetens befogenheter gälla oavsett om de kompletterande nationella bestämmelserna finns i dataskyddslagen eller i sektorsspecifika registerförfattningar. Dataskydds-

Ds 2017:45 Förhållandet till annan lagstiftning

115

utredningen uttalar i sitt betänkande (SOU 2017:39 s. 311) att det krävs att tillsynsmyndigheten kan vidta samma åtgärder vid sin tillsyn över efterlevnaden av de nationella bestämmelser som kompletterar förordningen, för att dataskyddsförordningens intentioner ska få genomslag.

Det finns enligt vår mening inte några bärande skäl mot att tillsynen över den personuppgiftsbehandling som sker inom utlänningsdatalagens tillämpningsområde sker på samma sätt som för övriga myndigheter. Mot den bakgrunden föreslår vi att det tas in en hänvisning till 6 kap. 1 § dataskyddslagen i utlänningsdatalagen. På detta sätt kommer dataskyddsförordningens bestämmelser om tillsynsmyndighetens utredningsbefogenheter, korrigerande befogenheter samt befogenheter att utfärda tillstånd och ge råd, att gälla även för den tillsyn som sker över myndigheternas tillämpning av dataskyddslagens (i tillämpliga delar) och utlänningsdatalagens bestämmelser.

Ansökan hos förvaltningsrätten

Enligt förslaget till 6 kap. 2 § första stycket dataskyddslagen gäller följande. Om tillsynsmyndigheten vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas. Artikel 58.2 i förordningen reglerar tillsynsmyndighetens korrigerande befogenheter, så som att förelägga en personuppgiftsansvarig att radera personuppgifter eller att förbjuda en personuppgiftsansvarig att behandla personuppgifter.

Enligt förslaget framgår det av 6 kap. 2 § andra stycket dataskyddslagen att tillsynsmyndighetens ansökan i dessa fall ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut. I den föreslagna 8 kap. 6 § dataskyddslagen klargörs att denna typ av beslut kan överklagas (se avsnitt 19.4) och av 6 kap. 2 § tredje stycket dataskyddslagen framgår att det krävs prövningstillstånd vid överklagande till kammarrätten.

Förhållandet till annan lagstiftning Ds 2017:45

116

Dataskyddsutredningen redogör i sitt betänkande (SOU 2017:39 s. 318 f.) för innebörden av 6 kap. 2 § dataskyddslagen på följande sätt.

Om det finns skäl att ifrågasätta om en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen är giltig, till exempel om ett kommissionsbeslut är förenligt med förordningen och fördragen, kan det vara olämpligt att tillsynsmyndigheten själv fattar beslut om åtgärder enligt artikel 58.2 i dataskyddsförordningen, såsom att den personuppgiftsansvarige ska föreläggas att radera personuppgifter eller att behandling av personuppgifter ska förbjudas. I en sådan situation bör tillsynsmyndigheten i stället kunna ansöka hos allmän förvaltningsdomstol om att åtgärden ska beslutas. Om domstolen i ett sådant mål delar tillsynsmyndighetens tvivel angående giltigheten av den unionsrättsakt som förhindrar eller kräver att åtgärden vidtas, kan domstolen begära ett förhandsavgörande från EU-domstolen och därigenom få rättsaktens giltighet prövad innan något beslut om åtgärden fattas./…/ Denna typ av ansökningsförfarande hos domstol finns redan på ett flertal tillsynsområden, bland annat i 47 § PUL, och skulle därmed inte i sig utgöra något främmande element i svensk processrätt. På detta sätt kan således förordningens krav på rättsmedel för tillsynsmyndigheten uppfyllas, utan att något nytt processuellt institut behöver tillskapas.

De situationer som bestämmelsen i 6 kap. 2 § dataskyddslagen avser att träffa bör rimligen vara sällsynt förekommande. Enligt vår mening finns det dock inte anledning att ha en annan reglering för den tillsyn som sker på utlänningsdatalagens tillämpningsområde. Det bör därför enligt vår mening införas en hänvisning i utlänningsdatalagen till 6 kap. 2 § dataskyddslagen.

Kommunicering och delgivning

Av den föreslagna 6 kap. 3 § dataskyddslagen framgår att innan tillsynsmyndigheten fattar ett beslut enligt artikel 58.2 i dataskyddsförordningen (se under föregående rubrik), ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet. Undantag görs om det är uppenbart obehövligt. Om saken är brådskande får tillsynsmyndigheten dock, i avvaktan på yttrandet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskyddsförordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.

Ds 2017:45 Förhållandet till annan lagstiftning

117

Enligt den föreslagna 6 kap. 4 § dataskyddslagen ska ett beslut enligt 6 kap. 3 § delges, om det inte är uppenbart obehövligt. Delgivning enligt 3437 §§delgivningslagen (2010:1932) får användas bara om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan. Paragraferna i delgivningslagen avser vissa typer av stämningsmannadelgivning, som innebär att handlingen överlämnas till en annan person än delgivningsmottagaren.

Bestämmelser om kommunicering och delgivning finns i 46 § PuL, som gäller i samband med att tillsynsmyndigheten beslutar om vite. Dessa bestämmelser motsvarar de föreslagna bestämmelserna i 6 kap. 3 och 4 §§ dataskyddslagen. Personuppgiftslagens bestämmelser om vite gäller inte på utlänningsdatalagens tillämpningsområde (se 8 § tredje stycket utlänningsdatalagen) och det har därmed inte funnits någon anledning att ta in en hänvisning till 46 § PuL i utlänningsdatalagen.

Enligt artikel 83.5 e och 85.6 i dataskyddsförordningen ska den personuppgiftsansvarige påföras administrativa sanktionsavgifter om denne inte rättar sig efter ett föreläggande som meddelats av tillsynsmyndigheten. Detta innebär att de administrativa sanktionsavgifterna i vissa delar får samma effekt som ett vite. Mot bakgrund av att underlåtenheten att följa ett föreläggande kan leda till att administrativa sanktionsavgifter tas ut har Dataskyddsutredningen gjort bedömningen att de processuella skyddsåtgärder som nu kringgärdar tillsynsmyndighetens vitesförelägganden bör gälla för alla beslut som myndigheten kan meddela med stöd av artikel 58.2 i dataskyddsförordningen. Mottagaren av tillsynsmyndighetens föreläggande bör därmed som huvudregel, precis som enligt 46 § PuL, både få möjlighet att yttra sig över materialet i ärendet och få del av föreläggandet på något av de sätt som föreskrivs i delgivningslagen (se SOU 2017:39 s. 313 f.).

Administrativa sanktionsavgifter ska enligt vårt förslag få riktas även mot de myndigheter som behandlar personuppgifter inom utlänningsdatalagens tillämpningsområde (se avsnitt 9.4.14). För det fall tillsynsmyndigheten beslutar om ett föreläggande gentemot någon av de myndigheter som omfattas av utlänningsdatalagen finns det enligt vår mening inte anledning att ha ett annat förfarande än det som kommer att gälla för andra myndigheter. Vi anser därför att en hänvisning till 6 kap. 3 och 4 §§ dataskyddslagen

Förhållandet till annan lagstiftning Ds 2017:45

118

bör tas in i utlänningsdatalagen. Det faktum att de typer av stämningsmannadelgivning som regleras i 3437 §§delgivningslagen inte kommer att bli aktuella för dessa myndigheter föranleder enligt vår mening inte i sig någon särreglering.

Besked angående handläggningen av ett klagomål

Av den föreslagna 6 kap. 5 § dataskyddslagen framgår att om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked. Sådant besked eller beslut ska meddelas inom två veckor från den dag då begäran om besked kom in till tillsynsmyndigheten. Om tillsynsmyndigheten har avslagit en begäran om besked, får den registrerade ge in en ny begäran om besked i ärendet tidigast tre månader efter det att myndighetens beslut meddelades.

Av Dataskyddsutredningens betänkande (SOU 2017:39 s. 305 ff.) framgår att förslaget till 6 kap. 5 § dataskyddslagen har införts för att uppfylla det krav på effektivt rättsmedel som garanteras genom dataskyddsförordningen. Som vi framfört i tidigare avsnitt anser vi att det inte finns anledning att ha ett annat förfarande för den tillsyn som sker på utlänningsdatalagens tillämpningsområde än det som kommer att gälla vid tillsyn över andra myndigheter. Vi anser därför att en hänvisning till 6 kap. 5 § dataskyddslagen bör tas in i utlänningsdatalagen.

9.4.11 Skadestånd

I 8 § första stycket 12 utlänningsdatalagen finns hänvisningar till 48 § PuL, som gäller den registrerades rätt till skadestånd. I avsnitt 14.8 finns en redogörelse för vad som kommer att gälla i denna fråga när dataskyddsförordningen börjar tillämpas. Där finns även våra överväganden av vilka hänvisningar som ska göras till dataskyddslagen i denna del.

Ds 2017:45 Förhållandet till annan lagstiftning

119

9.4.12 Överklagande

I 8 § första stycket 13 utlänningsdatalagen finns en hänvisning till 51 §, 52 § första stycket och 53 § PuL, som reglerar rätten att överklaga beslut. Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit nya, generellt tillämpliga, överklagandebestämmelser i dataskyddslagen. I avsnitt 19.4 finns våra överväganden kring vilka hänvisningar som bör göras till dataskyddslagen i denna del.

9.4.13 Förhållandet till tryck- och yttrandefriheten

Förslag: Bestämmelserna i dataskyddsförordningen, utlännings-

datalagen och dataskyddslagen ska inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Regleringen ska genomföras genom en hänvisning i utlänningsdatalagen till den föreslagna bestämmelsen i 1 kap. 4 § dataskyddslagen.

Av artikel 85.1 i dataskyddsförordningen följer att medlemsstaterna i lag ska förena rätten till integritet i enlighet med förordningen med bl.a. yttrande- och informationsfriheten. Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att det av 1 kap. 4 § första stycket dataskyddslagen ska framgå att bestämmelserna i den lagen och i dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelsen motsvarar den reglering som för närvarande finns i 7 § första stycket PuL, som innebär att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Det finns för närvarande inte någon hänvisning i utlänningsdatalagen till den sistnämnda bestämmelsen.

Dataskyddsutredningen har föreslagit att dataskyddslagen ska vara subsidiär till bestämmelser som rör behandling av personuppgifter i annan lag eller författning (1 kap. 3 § dataskyddslagen).

Förhållandet till annan lagstiftning Ds 2017:45

120

Denna reglering innebär att tryckfrihetsförordningen gäller före dataskyddslagen, något som dessutom följer redan av allmänna rättsliga principer om att bestämmelser i vanlig lag inte tar över bestämmelser i grundlag (lex superior). Hur tryck- och yttrandefrihetsgrundlagarnas bestämmelser förhåller sig till dataskyddsförordningens bestämmelser är emellertid inte lika självklart. Mot den bakgrunden föreslår vi att det i utlänningsdatalagen görs en hänvisning till den föreslagnas 1 kap. 4 § första stycket dataskyddslagen. Hänvisningen ska förstås så att även utlänningsdatalagens bestämmelser får ge vika för bestämmelserna om tryck- och yttrandefrihet. Bestämmelsens andra stycke, som gäller personuppgifter som behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande är enligt vår mening inte relevanta för verksamhet inom utlänningsdatalagens tillämpningsområde.

9.4.14 Sanktionsavgifter

Förslag: Dataskyddslagens bestämmelser om administrativa

sanktionsavgifter ska, med undantag för den bestämmelse som gäller överträdelser mot artikel 10 i dataskyddsförordningen, gälla även på utlänningsdatalagens tillämpningsområde. Regleringen ska genomföras genom en hänvisning i utlänningsdatalagen till de föreslagna bestämmelserna i 7 kap. 1, 3 och 4 §§ dataskyddslagen.

Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra de personuppgiftsansvariga administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Av artikel 83.7 framgår att varje medlemsstat får fastställa regler för om och i vilken utsträckning administrativa sanktonsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

Dataskyddsutredningen föreslår i sitt betänkande (SOU 2017:39) att 7 kap. 1–4 §§ dataskyddslagen ska innehålla bestämmelser om administrativa sanktionsavgifter. Enligt den föreslagna 7 kap. 1 § första stycket dataskyddslagen får sanktionsavgifter tas ut även av myndigheter vid överträdelser som avses i

Ds 2017:45 Förhållandet till annan lagstiftning

121

artikel 83.4–6 i dataskyddsförordningen, varvid artikel 83.1–3 i förordningen ska tillämpas. De sistnämnda leden reglerar principerna för påförande av sanktionsavgifter. Enligt den föreslagna 7 kap. 1 § andra stycket dataskyddslagen ska avgiften bestämmas till högst 10 000 000 kr vid överträdelser som avses i artikel 83.4 i dataskyddsförordningen och annars till högst 20 000 000 kr.

I den föreslagna 7 kap. 2 § dataskyddslagen anges att sanktionsavgift får tas ut vid överträdelser av artikel 10 i dataskyddsförordningen. Bestämmelsen reglerar även avgiftens storlek i sådana fall. Administrativa sanktionsavgifter får vidare, enligt den föreslagna 7 kap. 3 § dataskyddslagen, inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § dataskyddslagen inom fem år från den dag då överträdelsen ägde rum (se avsnitt 9.4.10 under rubriken Kommunicering och delgivning). Enligt 7 kap. 4 § dataskyddslagen ska sanktionsavgifter som beslutats enligt dataskyddsförordningen eller dataskyddslagen tillfalla staten.

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 288 ff.) gjort bedömningen att övervägande skäl talar för att administrativa sanktionsavgifter ska kunna påföras statliga och kommunala myndigheter. Som grund för bedömningen framhöll Dataskyddsutredningen bl.a. den omfattning av känsliga personuppgifter som hanteras av myndigheter, att enskildas intresse av skydd för den personliga integriteten väger lika tungt vid behandling av personuppgifter i det allmännas verksamhet som i den privata sektorn och att behovet av avskräckande sanktioner inte är mindre när det gäller myndigheternas personuppgiftsbehandling.

För den personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde anser vi även i detta fall att det inte finns anledning att ha ett annat förfarande för tillsyn än det som kommer att gälla för andra myndigheter (jfr avsnitt 9.4.10). Vi anser därför att en hänvisning till 7 kap. 1, 3 och 4 §§ dataskyddslagen bör tas in i utlänningsdatalagen.

Bestämmelsen i 7 kap. 2 § dataskyddslagen behandlar överträdelser av artikel 10 i dataskyddsförordningen, enligt vilken behandling av personuppgifter som rör bl.a. fällande domar i brottmål endast får utföras under kontroll av myndighet. Eftersom

Förhållandet till annan lagstiftning Ds 2017:45

122

myndigheter således inte kan göra sig skyldiga till överträdelser av artikel 10 i dataskyddsförordningen bör det enligt vår mening inte göras någon hänvisning till 7 kap. 2 § dataskyddslagen.

Dataskyddslagens föreslagna bestämmelser om sanktionsavgifter gäller endast överträdelser av de bestämmelser i dataskyddsförordningen som anges i artikel 83.4–6 i förordningen. Vad gäller nationella bestämmelser anges i artikel 83.5 d att endast sådana bestämmelser som antagits enligt kapitel IX i förordningen kan föranleda sanktionsavgifter. Det gäller bland annat rätten att behandla uppgifter om nationella identifikationsnummer (artikel 87) och rätten att behandla personuppgifter i anställningsförhållanden (artikel 88). Detta innebär enligt vår mening motsatsvis att överträdelser av andra nationella bestämmelser än sådana som införts med stöd av kapitel IX inte träffas av dataskyddsförordningens bestämmelser om sanktionsavgifter. Eventuellt skulle dock överträdelser av nationella bestämmelser som utgör ett förtydligande av dataskyddsförordningens bestämmelser kunna ses som en överträdelse av förordningens bestämmelser och därmed kunna föranleda sanktionsavgift.

Som vi anfört ovan anser vi att tillsynsmyndigheten bör tillämpa samma förfarande vid tillsyn mot de myndigheter som omfattas av utlänningsdatalagens tillämpningsområde som mot andra myndigheter. Det finns enligt vår mening emellertid inte anledning att utöka tillsynsmyndighetens möjligheter att besluta om sanktionsavgifter för dessa myndigheter.

123

10 Personuppgiftsansvaret

Bedömning: Dataskyddsförordningen föranleder ingen ändring

av utlänningsdatalagens bestämmelse om personuppgiftsansvaret.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Enligt samma artikel finns också en möjlighet att i nationell lagstiftning föreskriva vem som är personuppgiftsansvarig för en viss personuppgiftsbehandling. En förutsättning för detta är att ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt. Även i skäl 45 till dataskyddsförordningen framhålls att vem som är personuppgiftsansvarig kan fastställas i den nationella rätten.

Definitionen av personuppgiftsansvaret i dataskyddsförordningen innebär ingen förändring gentemot tidigare regelverk. Artikel 4.7 i dataskyddsförordningen motsvaras av artikel 2 d i 1995 års dataskyddsdirektiv.

Inom utlänningsdatalagens tillämpningsområde har den svenska lagstiftaren utnyttjat möjligheten att i nationell registerlagstiftning peka ut vem som är personuppgiftsansvarig. Enligt 9 § utlänningsdatalagen är Migrationsverket, Polismyndigheten och en utlandsmyndighet var och en personuppgiftsansvariga för den behandling av personuppgifter som myndigheten utför. Migrationsverket är dock personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.

I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 55– 56) görs följande bedömning. Huvudregeln bör vara att den som

Personuppgiftsansvaret Ds 2017:45

124

utför själva behandlingen också har personuppgiftsansvaret. Således bör Migrationsverket och Polismyndigheten även fortsättningsvis vara personuppgiftsansvariga för den behandling som respektive myndighet utför. När det gäller den personuppgiftsbehandling som sker vid utlandsmyndigheterna finns det skäl som talar både för och emot att Migrationsverket ska vara personuppgiftsansvarigt för denna behandling. Regeringen anser dock att det tyngsta argumentet för detta är att verket redan tidigare hade detta ansvar och att denna ordning bedöms ha fungerat tillfredsställande.1Anledningen till att verkets personuppgiftsansvar har begränsats till utlandsmyndigheternas automatiserade behandling är att det är denna behandling som Migrationsverket har möjlighet att utöva kontroll över.

Frågan om personuppgiftsansvaret för den personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde har således behandlats genom överväganden i tidigare förarbeten. Dataskyddsförordningen föranleder inte någon ändring av den rådande ordningen, eftersom möjligheten att i bl.a. registerförfattning utpeka vem som är personuppgiftsansvarig kvarstår. Vi föreslår därför inte någon ändring av utlänningsdatalagen i denna del.

1 Se 2 § första stycket förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

125

11 Dataskyddsombud

11.1 1995 års dataskyddsdirektiv, personuppgiftslagen och utlänningsdatalagen

I artikel 18.2 i 1995 års dataskyddsdirektiv finns bestämmelserna om det nuvarande personuppgiftsombudets (i direktivet benämnt uppgiftsskyddsombudets) arbetsuppgifter. För det fall ett personuppgiftsombud utses får medlemsstaterna föreskriva att automatiserade behandlingar inte behöver anmälas till tillsynsmyndigheten. Enligt bestämmelsen ska ett personuppgiftsombud på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av direktivet. Ombudet ska också föra ett register över de behandlingar som utförs av den registeransvarige. Syftet är att säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av personuppgiftsbehandling. Enligt artikel 20.2 i 1995 års dataskyddsdirektiv kan personuppgiftsombudet även göra en anmälan till tillsynsmyndigheten om förhandskontroll av personuppgiftsbehandlingar som kan innebära särskilda risker.

Enligt 10 § första stycket utlänningsdatalagen ska Migrationsverket och Polismyndigheten var och en utse ett eller flera personuppgiftsombud. För utlandsmyndigheterna är det för närvarande frivilligt att avgöra om de vill ha ett personuppgiftsombud eller inte.1 Av 10 § andra stycket utlänningsdatalagen framgår att den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas.

De bestämmelser i 1995 års dataskyddsdirektiv som gäller personuppgiftsombud har genomförts i svensk rätt genom 38–40 §§ PuL.

1 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 57).

Dataskyddsombud Ds 2017:45

126

Utlänningsdatalagen hänvisar, i 8 § första stycket 9, till dessa bestämmelser.

Enligt 38 § PuL gäller följande. Personuppgiftsombudet ska ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Ombudet ska också påpeka eventuella brister för den personuppgiftsansvarige. Med personuppgiftsombudets ansvar följer enligt personuppgiftslagen även en skyldighet att göra en anmälan till tillsynsmyndigheten om ombudet har anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och inte vidtar rättelse efter påpekande. Även i övrigt ska personuppgiftsombudet samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas.

Personuppgiftsombudet ska, enligt 39 § PuL, föra en förteckning över vissa av de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet till tillsynsmyndigheten om ombudet inte hade funnits.

Slutligen ska personuppgiftsombudet, enligt 40 § PuL, hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

11.2 Dataskyddsförordningen

11.2.1 Myndigheter ska utse dataskyddsombud

Enligt artikel 37.1 a i dataskyddsförordningen ska myndigheter som utför personuppgiftsbehandling ”under alla omständigheter” utse ett dataskyddsombud.2 Termen dataskyddsombud definieras inte i förordningen. I artikel 37–39 i förordningen beskrivs dock bl.a. dataskyddsombudets uppgifter och förhållande till den personuppgiftsansvarige. Utifrån dessa bestämmelser kan man dra slutsatsen att dataskyddsombudet motsvarar det som i 1995 års dataskyddsdirektiv benämns uppgiftsskyddsombud och som i personuppgiftslagen kallas personuppgiftsombud.

2 Endast den personuppgiftsbehandling som sker som en del av domstolarnas dömande verksamhet är undantagen från denna skyldighet.

Ds 2017:45 Dataskyddsombud

127

11.2.2 Dataskyddsombudets ställning, uppgifter m.m.

Dataskyddsombudet beskrivs i skäl 97 till dataskyddförordningen som ”en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden”. Artikel 37 i förordningen innehåller diverse bestämmelser om dataskyddsombudet. Ombudet ska utses på grundval av yrkesmässiga kvalifikationer och bl.a. ha sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som förordningen ålägger ett dataskyddsombud (37.5). Det anges vidare att dataskyddsombudet antingen kan vara en anställd eller utföra uppgiften på grund av tjänsteavtal (37.6). Dataskyddsombudets kontaktuppgifter ska offentliggöras och meddelas till tillsynsmyndigheten (37.7). Vidare framgår att ett enda dataskyddsombud får utnämnas för flera personuppgiftsansvariga myndigheter, med hänsyn till organisationsstruktur och storlek (37.3). Det finns ingen ledning i dataskyddsförordningens skäl om hur bestämmelsen om gemensamt dataskyddsombud ska tolkas. Det man kan sluta sig till är enligt vår mening endast det som framgår av bestämmelsen; de myndigheter som vill utse ett gemensamt dataskyddsombud måste göra en bedömning av om detta är lämpligt utifrån samtliga inblandade myndigheters organisationsstruktur och storlek.

I artikel 38 redogörs bl.a. för dataskyddsombudets självständiga ställning gentemot den personuppgiftsansvarige. Som exempel kan nämnas följande. Den personuppgiftsansvarige ska se till att dataskyddsombudet har tillgång till de uppgifter och resurser som krävs för att fullgöra uppdraget och upprätthålla sin sakkunskap (38.2). Vidare ska den personuppgiftsansvarige säkerställa att ombudet inte tar emot instruktioner om hur han eller hon ska utföra sina uppgifter. Ombudet får inte heller avsättas eller bli föremål för sanktioner för att ha utfört sina uppgifter (38.3). Dataskyddsombudet får fullgöra andra uppgifter och uppdrag, men den personuppgiftsansvarige ska se till att dessa inte leder till en intressekonflikt (38.6).

Av artikel 38.5 i dataskyddsförordningen framgår att dataskyddsombudet vid genomförande av sina uppgifter ska vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt. Mot den bakgrunden har Dataskyddsutredningen i sitt betänkande (SOU 2017:39)

Dataskyddsombud Ds 2017:45

128

föreslagit att det i 1 kap. 6 § första stycket dataskyddslagen ska regleras att den som fullgör uppgift som dataskyddsombud inte obehörigen får röja eller utnyttja det som han eller hon då har fått veta om enskilds personliga och ekonomiska förhållanden. Enligt andra stycket i samma bestämmelse ska det enligt utredningens förslag framgå att offentlighets- och sekretesslagen tillämpas i det allmännas verksamhet i stället för första stycket.

Enligt 2 kap. 1 § första stycket OSL är det förbjudet för myndigheter att röja eller utnyttja en uppgift som det råder sekretess för. Det samma gäller enligt andra stycket för personer som fått kännedom om uppgiften genom att han eller hon för det allmännas räkning deltagit i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund. Dataskyddsutredningen har gjort bedömningen att en myndighets dataskyddsombud i allmänhet får anses delta i verksamheten på ett sådant sätt som avses i 2 kap. 1 § andra stycket OSL och att han eller hon därmed omfattas av den sekretess som gäller för den aktuella myndigheten.3

Artikel 39.1 i dataskyddsförordningen reglerar dataskyddsombudets uppgifter. Dessa ska enligt bestämmelsen åtminstone vara följande.

a) Informera och ge råd till den personuppgiftsansvarige, person-

uppgiftsbiträdet och de anställda om deras skyldigheter enligt dataskyddsförordningen och andra dataskyddsbestämmelser.

b) Övervaka efterlevnaden av dataskyddsförordningen och andra data-

skyddsbestämmelser samt efterlevnaden av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter. Detta inbegriper ansvarstilldelning, information till och utbildning av personal.

c) På begäran ge råd vad gäller sådana konsekvensbedömningar avseende

dataskydd som enligt artikel 35 ska göras om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Dataskyddsombudet ska också övervaka genomförandet av en sådan konsekvensbedömning.

d) Samarbete med tillsynsmyndigheten.

3 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 262 ).

Ds 2017:45 Dataskyddsombud

129

e) Vara kontaktpunkt för tillsynsmyndigheten i frågor som rör person-

uppgiftsbehandling. I detta ingår det förhandssamråd som enligt artikel 36 ska genomföras med tillsynsmyndigheten om en konsekvensbedömning enligt artikel 35 visar att behandlingen utan vidtagna åtgärder leder till en hög risk. Vid behov ska samråd även ske i alla andra frågor.

Därtill får den registrerade, enligt artikel 38.4 i dataskyddsförordningen, kontakta dataskyddsombudet när det gäller alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt förordningen.

11.3 Bedömning

Förslag:Utlänningsdatalagens bestämmelser om person-

uppgiftsombud ska upphävas.

Bedömning: Någon hänvisning till dataskyddsförordningens

bestämmelser om dataskyddsombud bör inte göras i utlänningsdatalagen.

11.3.1 Dataskyddsombudet – ”internrevisor” med något utökat uppdrag

Dataskyddsförordningens reglering är mer utförlig än 1995 års dataskyddsdirektivs och personuppgiftslagens reglering vad gäller dataskyddsombudets kvalifikationer och arbetsuppgifter. Även förhållandet till den personuppgiftsansvarige och dennes skyldigheter gentemot ombudet beskrivs mer detaljerat i förordningen. Frågan är emellertid om detta innebär någon skillnad i sak vad gäller de uppgifter ett dataskyddsombud förväntas utföra.

Enligt personuppgiftslagen ska personuppgiftsombudet se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Han eller hon ska också påpeka eventuella brister i behandlingen för den personuppgiftsansvarige. Personuppgiftslagens beskrivning av ombudets arbetsuppgifter är således inte speciellt konkret, vilket naturligtvis öppnar för tolkningar av vad ombudet egentligen ska göra och hur

Dataskyddsombud Ds 2017:45

130

detta ska gå till. Vi kan dock inte se annat än att det i uppgiften att ”se till att personuppgifter behandlas lagligt och korrekt” samt ”påpeka eventuella brister för den personuppgiftsansvarige” bör ingå många av de uppgifter som ett dataskyddsombud uttryckligen åläggs enligt dataskyddsförordningen. Som exempel kan nämnas att informera och ge råd till både den personuppgiftsansvarige och de anställda gällande dataskyddsbestämmelser, att övervaka hur dessa bestämmelser följs och att medverka i arbetet kring konsekvensbedömningar avseende dataskydd.

Vidare bör en person som ska övervaka personuppgiftsbehandlingen på det sätt som beskrivs i personuppgiftslagen enligt vår mening ha de kvalifikationer (t.ex. sakkunskap inom rättsområdet) som beskrivs i dataskyddsförordningen för att klara av att genomföra uppdraget på ett tillfredsställande sätt.

I personuppgiftslagen föreskrivs att ombudet ska samråda med tillsynsmyndigheten vid tveksamheter. I dataskyddsförordningen föreskrivs i stället att ombudet ska samråda och samarbeta med tillsynsmyndigheten och vara dess kontaktpunkt. Detta innebär eventuellt att ombudets arbetsuppgifter utökas något genom dataskyddsförordningen. Enligt vår uppfattning lär det utökade ansvaret i sådant fall i huvudsak aktualiseras om Datainspektionen söker kontakt med antingen ombudet eller den personuppgiftsansvarige.

Av personuppgiftslagen framgår att personuppgiftsombudet självständigt ska utföra sina uppgifter. Dataskyddsförordningen är mycket mer detaljerad i denna del, främst vad gäller den personuppgiftsansvariges skyldigheter gentemot ombudet. Den personuppgiftsansvarige ska t.ex. se till att ombudet får tillräckliga resurser och inte tar emot instruktioner samt se till att det inte uppstår intressekonflikter med andra uppdrag. Som vi ser det förtydligar dataskyddsförordningens bestämmelser i denna del att det är den personuppgiftsansvarige som ska se till att ombudets självständighet upprätthålls. Vidare specificeras vad som utmärker ett självständigt ombud. Många av de krav som ställs på den personuppgiftsansvarige i denna del ter sig enligt vår mening dock som relativt självklara åtgärder för att upprätthålla ombudets självständighet.

Vissa av de uppgifter personuppgiftsombudet haft enligt personuppgiftslagen försvinner när dataskyddsförordningen börjar

Ds 2017:45 Dataskyddsombud

131

tillämpas. Dataskyddsombudet kommer inte att ha skyldighet att göra en anmälan till tillsynsmyndigheten vid misstanke om att den personuppgiftsansvarige bryter mot dataskyddsbestämmelserna. Inte heller kommer ombudet längre att vara skyldigt att föra en förteckning över vissa av den personuppgiftsansvariges behandlingar. Denna skyldighet kommer i stället att, enligt artikel 30 i dataskyddsförordningen, åligga den personuppgiftsansvarige.

Slutligen beskrivs dataskyddsombudets skyldighet gentemot de registrerade på ett något annorlunda sätt i dataskyddsförordningen. Enligt personuppgiftslagen ska ombudet hjälpa de registrerade att få rättelse. Enligt dataskyddsförordningen (artikel 38.4) ”får den registrerade kontakta dataskyddsombudet” när det gäller frågor kring behandling av dennes personuppgifter eller rörande dennes rättigheter. Ordvalet gör att det kan diskuteras om dataskyddsombudets skyldigheter att vara de registrerade behjälpliga är lika långtgående som tidigare.

Med hänsyn till ovanstående gör vi bedömningen att dataskyddsombudets uppgifter enligt dataskyddsförordningen främst innebär ett uppdrag som ”internrevisor” för den personuppgiftsansvariges behandlingar. Uppdraget kan te sig något utökat jämfört med tidigare reglering. Beroende på hur uppdraget har utförts tidigare kan dataskyddsförordningen innebära vissa förändringar i ombudets uppgifter. Enligt vår bedömning bör det emellertid inte röra sig om några omfattande sådana. Det som främst kommer att orsaka merarbete jämfört med i dag är troligtvis i stället det faktum att det införs helt ny och relativt komplicerad lagstiftning på området.

11.3.2 Skyldigheten att utse dataskyddsombud och ombudets uppgifter framgår av dataskyddsförordningen

Skyldigheten för myndigheter att utse ett dataskyddsombud kommer när dataskyddsförordningen börjar tillämpas att framgå direkt av förordningen. Förordningen ger förvisso en viss möjlighet att återge dess bestämmelser i nationell lagstiftning, t.ex. i syfte att göra de nationella bestämmelserna begripliga (se avsnitt 5.3). Enligt vår mening bör dock möjligheten att återge dataskyddsförordningens bestämmelser användas med försiktighet, eftersom det snarare kan skapa oklarheter för tillämparen om ett

Dataskyddsombud Ds 2017:45

132

återgivande görs av vissa bestämmelser men inte av andra. Vad gäller skyldigheten att utse dataskyddsombud är förordningens bestämmelse dessutom klar och tydlig till sin innebörd. Enligt vårt förslag kommer det vidare uttryckligen att framgå av utlänningsdatalagen att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Mot den bakgrunden anser vi att förordningens bestämmelser om skyldigheten att utse dataskyddsombud inte bör tas in i utlänningsdatalagen. Vi föreslår därför att 10 § första stycket utlänningsdatalagen, som reglerar skyldigheten att utse personuppgiftsombud, ska utgå. I enlighet med den bedömning vi tidigare gjort (se bl.a. avsnitt 9.2) bör inte heller någon hänvisning till dataskyddsförordningens bestämmelser göras i denna del.

Enligt nuvarande 10 § andra stycket utlänningsdatalagen ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas. Den personuppgiftsansvariges anmälningsskyldighet framgår dock redan av artikel 37.7 i dataskyddsförordningen. Bestämmelsen i utlänningsdatalagen bör enligt vår mening därför upphävas.

Även hänvisningen i 8 § 9 utlänningsdatalagen till 38–40 §§ PuL om personuppgiftsombud måste utgå. Personuppgiftslagen kommer att upphävas4 och bestämmelser om dataskyddsombudets uppgifter finns i artikel 38.4 och artikel 39 i dataskyddsförordningen. Av de skäl som framgår ovan anser vi att det inte bör införas några hänvisningar till bestämmelserna i dataskyddsförordningen i denna del.

Det faktum att det – direkt med stöd av dataskyddsförordningen – kommer att vara obligatoriskt för myndigheter att utse ett dataskyddsombud innebär en förändring för utlandsmyndigheterna, som för närvarande själva får bedöma om ett personuppgiftsombud ska utses eller inte. Vi vill i detta sammanhang nämna möjligheten att enligt artikel 37.3 i dataskyddsförordningen utnämna ett gemensamt dataskyddsombud för flera myndigheter. Detta skulle kunna vara en lösning för de utlandsmyndigheter som anser att skyldigheten att utse ett dataskyddsombud blir betungande, exempelvis på grund av myndighetens storlek. Ett sådant beslut måste dock enligt vår

4 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).

Ds 2017:45 Dataskyddsombud

133

mening föregås av en lämplighetsbedömning utifrån organisationsstruktur och myndigheternas storlek. Att göra en sådan bedömning ligger inte inom vårt uppdrag. Vi vill också påminna om att ett tjänsteavtal måste tecknas med ombudet om dataskyddsombudet inte är anställd inom den egna myndigheten (se artikel 37.6).

För stora myndigheter kan det finnas behov av att utse mer än ett dataskyddsombud. I dataskyddsförordningen benämns dataskyddsombudet emellertid endast som ett dataskyddsombud, dvs. i singular. Även i 1995 års dataskyddsdirektiv och personuppgiftslagen omnämns ombudet endast i singular, vilket inte har ansetts utgöra hinder mot att i utlänningsdatalagen och i andra myndigheters registerförfattningar föreskriva en möjlighet att utse flera ombud.5 Syftet med dataskyddsförordningen är vidare att skydda fysiska personer när deras personuppgifter behandlas (artikel 1). Förekomsten av flera än ett dataskyddsombud i en stor organisation innebär en förstärkning av detta skydd och ligger således enligt vår mening i linje med dataskyddsförordningens intentioner. Mot den bakgrunden anser vi att det faktum att det i dataskyddsförordningen endast talas om ett ombud inte hindrar att flera ombud utses vid en och samma myndighet.

11.3.3 Tystnadsplikt för dataskyddsombudet

I dataskyddsförordningen förutsätts enligt vår bedömning att dataskyddsombudet är en fysisk person (jfr artikel 37.6 och skäl 97). Om uppdraget utförs av en anställd vid den personuppgiftsansvariga myndigheten kommer ombudet att omfattas av den tystnadsplikt som gäller för myndighetens anställda enligt offentlighets- och sekretesslagen.

Det finns emellertid inte något som hindrar att en myndighet anlitar en utomstående för uppdraget. Vi delar Dataskyddsutredningens bedömning att ett sådant dataskyddsombud får anses delta i myndighetens verksamhet på sådant sätt som avses i 2 kap. 1 § OSL och att ombudet därmed omfattas av den sekretess som gäller för personal vid myndigheten. En förutsättning för detta

Dataskyddsombud Ds 2017:45

134

torde dock vara att dataskyddsombudet är en särskilt förordnad och utpekad person, som med stöd av ett tjänsteavtal utför uppdraget. Vi anser att man bör kunna förutsätta att de aktuella myndigheterna uppfyller dessa krav om de anlitar en utomstående som dataskyddsombud. Mot den bakgrunden bedömer vi att det inte finns någon anledning att i utlänningsdatalagen införa en hänvisning till regleringen om tystnadsplikt för dataskyddsombud i den föreslagna 1 kap. 6 § dataskyddslagen.

135

12 Känsliga personuppgifter och sökbegränsningar

12.1 Känsliga personuppgifter

12.1.1 Dataskyddsförordningen och 1995 års dataskyddsdirektiv

Behandling av känsliga personuppgifter regleras i artikel 9 i dataskyddsförordningen. Med känsliga personuppgifter menas enligt förordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter om hälsa, en persons sexualliv eller sexuella läggning. Även behandling av biometriska uppgifter för att entydigt identifiera en fysisk person och genetiska uppgifter utgör känsliga personuppgifter. Begreppet känsliga personuppgifter används inte uttryckligen i artikel 9, men förekommer i skäl 10 till dataskyddsförordningen. Det är också väl inarbetat i svensk rätt genom bl.a. 13 § PuL.

Begreppet känsliga personuppgifter har i dataskyddsförordningen utökats i förhållande till hur det såg ut i 1995 års dataskyddsdirektiv, genom att uppgifter om en persons sexuella läggning nu uttryckligen ingår i begreppet. Nytt är också att biometriska uppgifter för att entydigt identifiera en fysisk person och genetiska uppgifter utgör känsliga personuppgifter.

Enligt dataskyddsförordningens huvudregel, som framgår av artikel 9.1, är behandling av känsliga personuppgifter förbjuden. Det finns dock en rad undantag från detta förbud. Det undantag som främst är intressant för de myndigheter som tillämpar utlänningsdatalagen finns i artikel 9.2 g. Enligt denna bestämmelse är behandling av känsliga personuppgifter tillåten om den är nödvändig med hänsyn till ett viktigt allmänt intresse. Av

Känsliga personuppgifter och sökbegränsningar Ds 2017:45

136

bestämmelsen framgår vidare att det ”viktiga allmänna intresset” ska framgå av unionsrätten eller av medlemsstaternas nationella rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Även enligt 1995 års dataskyddsdirektiv är huvudregeln att behandling av känsliga personuppgifter är förbjuden. Något direkt undantag med hänsyn till viktiga allmänna intressen finns inte i direktivet. Enligt artikel 8.4 har medlemsstaterna dock möjlighet att med hänsyn till ett viktigt allmänt intresse besluta om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Något generellt undantag som skulle kunna träffa den personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde har dock inte införts i personuppgiftslagen med stöd av artikel 8.4 i 1995 års dataskyddsdirektiv. Ett undantag för myndigheters behandling i löpande text av känsliga personuppgifter som lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende har dock, med stöd av 20 § PuL, införts i 8 § personuppgiftsförordningen (1998:1191).

12.1.2 Dataskyddslagen

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) förslagit att dataskyddslagen ska innehålla bestämmelser om rätten att behandla känsliga personuppgifter. Enligt förslaget ska myndigheter få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (3 kap. 3 § 1). Dataskyddsutredningen föreslår också att myndigheter ska få behandla känsliga personuppgifter om de lämnats till myndigheten och behandlingen krävs enligt annan lag (3 kap. 3 § 2). Anledningen till detta anges vara att det utgör ett viktigt allmänintresse att myndigheterna ska kunna sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt. Detta förutsätter att den grundlagsstadgade handlingsoffentligheten och andra lagstadgade skyldigheter upprätthålls. Det anges också att viss behandling av känsliga personuppgifter är

Ds 2017:45 Känsliga personuppgifter och sökbegränsningar

137

oundvikligt i myndigheternas verksamhet som en direkt följd av exempelvis tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser. Sådan behandling bör uttryckligen tillåtas i dataskyddslagen så att det inte råder någon tveksamhet kring lagligheten av behandlingen.1

Utöver detta föreslår Dataskyddsutredningen att myndigheter i enstaka fall ska få behandla känsliga personuppgifter om det är absolut nödvändig för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3). En myndighet som behandlar känsliga personuppgifter enbart med stöd av 3 kap. 3 § dataskyddslagen ska enligt Dataskyddsutredningens förslag inte få använda sökbegrepp som avslöjar känsliga personuppgifter (3 kap. 4 §).

12.1.3 Utlänningsdatalagens allmänna bestämmelser

Känsliga personuppgifter förekommer i stor utsträckning i den verksamhet som bedrivs enligt utlännings- och medborgarskapslagstiftningen. I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 79) bedömde regeringen att de undantag för behandling av känsliga personuppgifter som finns i personuppgiftslagen och personuppgiftsförordningen inte är tillräckliga för att täcka all nödvändig behandling av känsliga personuppgifter som utförs inom utlänningsdatalagens tillämpningsområde och att rätten att behandla känsliga personuppgifter därför borde regleras i den lagen.

Enligt 15 § första stycket 1 utlänningsdatalagen får sådana känsliga personuppgifter som anges i 13 § PuL endast behandlas för de ändamål som anges i 11 § 1–4 och 6 samt 13 § samma lag. Ytterligare en förutsättning för behandlingen är att uppgifterna ska vara absolut nödvändiga för syftet med behandlingen. Därutöver får, enligt 15 § första stycket 2 utlänningsdatalagen, känsliga personuppgifter behandlas i löpande text för det ändamål som anges i 12 § 2 (återsökning av information som rör förhållanden i andra länder) om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som faller under utlännings-

1 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 176 f.).

Känsliga personuppgifter och sökbegränsningar Ds 2017:45

138

datalagens tillämpningsområde.2 Bestämmelsen i 15 § utlänningsdatalagen är uttömmande, vilket innebär att känsliga personuppgifter inte får behandlas i andra situationer än de uppräknade. Känsliga personuppgifter får således inte behandlas för utförande av testverksamhet (11 § 5 utlänningsdatalagen) eller för återsökning av avgöranden, rättsutredningar eller annan rättslig information (jfr 12 § 1 utlänningsdatalagen). Enligt 15 § andra stycket 1 utlänningsdatalagen har regeringen rätt att meddela ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter. Några sådana bestämmelser finns inte i utlänningsdataförordningen.

12.1.4 Migrationsverkets register över fingeravtryck och fotografier

Av 14 § första stycket utlänningsdatalagen framgår att Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Av bestämmelsens andra stycke följer att registrens uppgifter om fingeravtryck eller fotografier – med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ – får användas endast i vissa utpekade verksamheter eller situationer. Dessa utgörs av prövning av vissa ansökningar om uppehållstillstånd (punkt 1), ärenden om avvisning eller utvisning (punkt 2), testverksamhet (punkt 3), för identitetskontroll i vissa fall (punkt 4) eller för kontroll av fingeravtryck mot Polismyndighetens fingeravtrycks- och signalementsregister (punkt 5).

Enligt 14 § tredje stycket utlänningsdatalagen får regeringen meddela ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier samt föreskrifter om gallring. Av 2 § utlänningsdataförordningen framgår att register över fingeravtryck och fotografier endast får innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift. I 3 § utlänningsdataförordningen finns föreskrifter om gallring av

2 Tillämpningsområdet återfinns i 2 § utlänningsdatalagen, se avsnitt 7.2.1.

Ds 2017:45 Känsliga personuppgifter och sökbegränsningar

139

uppgifter i registren över fingeravtryck och fotografier. Denna bestämmelse behandlas i avsnitt 17.3.

12.1.5 Bedömning

Förslag:Utlänningsdatalagens definition av känsliga person-

uppgifter ska innehålla en hänvisning till artikel 9.1 i dataskyddsförordningen.

Personuppgifter i Migrationsverkets register över fingeravtryck och fotografier ska även fortsättningsvis få behandlas enligt de nuvarande förutsättningarna.

Bedömning: Dataskyddsförordningen innebär inte att det

behövs någon nationell bestämmelse som ger rätt att behandla känsliga personuppgifter inom utlänningsdatalagens tillämpningsområde.

Rätten att behandla känsliga personuppgifter

Vi bedömer att undantaget i artikel 9.2 g dataskyddsförordningen, som ger rätt att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ett viktigt allmänt intresse, omfattar all den verksamhet som bedrivs inom utlänningsdatalagens tillämpningsområde. Vi har i avsnitt 6.3.2 gjort bedömningen att denna verksamhet utgör en uppgift av allmänt intresse i dataskyddsförordningens mening. I personuppgiftslagen har undantaget som rör viktiga allmänna intressen (artikel 8.4 i 1995 års dataskyddsdirektiv) utnyttjats bl.a. för att införa regleringen i 19 § PuL om behandling av känsliga personuppgifter för forsknings- och statistikändamål. Med stöd av samma bestämmelse har medlemsstaterna infört undantag för behandling av känsliga personuppgifter i myndigheters verksamhet, på bankområdet och för att främja jämställdhet och social trygghet.3 Att även de uppgifter av allmänt intresse som anförtrotts Migrationsverket,

3 Artikel 29-gruppens Advice paper on special categories of data (”sensitive data”), beslutat den 20 april 2011.

Känsliga personuppgifter och sökbegränsningar Ds 2017:45

140

Polismyndigheten och utlandsmyndigheterna på utlännings- och medborgarskapsområdet kan beskrivas som ”viktiga” anser vi mot den bakgrunden vara tämligen självklart.

Artikel 9.2 g i dataskyddsförordningen innehåller vissa krav som måste vara uppfyllda för att undantaget ska bli tillämpligt. För det första ska det viktiga allmänna intresset framgå av unionsrätten eller medlemsstaternas nationella rätt. För det andra ska denna lagstiftning stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Migrationsverkets, Polismyndighetens och utlandsmyndigheternas uppgifter på utlännings- och medborgarskapsområdet är fastställda genom författning. Vad gäller de grundläggande principerna för personuppgiftsbehandling motsvarar dataskyddsförordningen till allra största delen 1995 års dataskyddsdirektiv. Mot den bakgrunden anser vi att det får förutsättas att lagstiftaren bedömt att den behandling av personuppgifter som sker inom utlänningsdatalagens tillämpningsområde är proportionerlig mot syftet med behandlingen och inte oförenlig med det grundläggande skyddet för personuppgifter. Genom utlänningsdatalagen finns också bestämmelser som säkerställer skyddet för de registrerades integritet, t.ex. i form av behörighets- och sökbegränsningar.

Enligt utlänningsdatalagens sekundära ändamålsbestämmelse får personuppgifter behandlas för att tillhandahålla information till riksdagen eller regeringen eller till en annan myndighet eller enskild med stöd av lag eller förordning. Personuppgifter får också behandlas för att tillhandahålla information till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation om detta följer av uppgiftsskyldighet på grund av EU-medlemskapet, en internationell konvention eller riksdagens avtal med bl.a. främmande stat. Även känsliga personuppgifter kan naturligtvis ingå bland de personuppgifter som ska lämnas ut på dessa grunder.

Vi har, i avsnitt 6.3.2, gjort bedömningen att ett utlämnande av personuppgifter som sker i enlighet med lag eller förordning måste anses vara nödvändigt med hänsyn till ett allmänt intresse. Vi anser att detsamma bör gälla de utlämnanden som är nödvändiga för att tillhandahålla information till riksdag eller regering eller som följer

Ds 2017:45 Känsliga personuppgifter och sökbegränsningar

141

av Sveriges EU-medlemskap, en internationell konvention eller ett avtal som riksdagen godkänt. Undantaget i artikel 9.2 g i dataskyddsförordningen – viktigt allmänt intresse – är enligt vår mening därmed tillämpligt även för sådan behandling av känsliga personuppgifter som sker med stöd av utlänningsdatalagens sekundära ändamålsbestämmelse. Det får enligt vår mening vidare förutsättas att ett utlämnande av personuppgifter som föreskrivs i författning eller som är nödvändigt för något annat av de syften som framgår av utlänningsdatalagens sekundära ändamålsbestämmelse, är proportionerligt mot syftet med utlämnandet och inte oförenligt med det grundläggande skyddet för personuppgifter. För det fall utlämnandet av känsliga uppgifter sker till annan myndighet finns också ett skydd för uppgifterna, eftersom myndigheter enligt Dataskyddsutredningens förslag till dataskyddslag inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Även de enskilda myndigheternas registerförfattningar kan, liksom utlänningsdatalagen, innehålla skyddsåtgärder i form av bl.a. sökbegränsningar eller behörighetsbegränsningar.

Sammanfattningsvis anser vi att samtliga de krav som ställs upp i artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas med hänsyn till ett viktigt allmänt intresse är uppfyllda för den personuppgiftsbehandling som sker inom ramen för utlänningsdatalagens primära och sekundära ändamålsbestämmelser. Dataskyddsförordningen tillåter enligt vår mening därmed att känsliga personuppgifter behandlas på hela utlänningsdatalagens tillämpningsområde om det är nödvändigt för att verksamheten ska kunna bedrivas. Någon nationell bestämmelse som ger rätt att behandla känsliga personuppgifter inom lagens tillämpningsområde behövs enligt vår mening därmed inte.

Begränsning av behandling av känsliga personuppgifter

Som framgår av avsnitt 5.3 anser vi att det inte finns något hinder mot att medlemsstaterna inför mer restriktiva bestämmelser för sina myndigheters personuppgiftsbehandling än vad som följer av dataskyddsförordningen. Utlänningsdatalagens bestämmelser om hur känsliga personuppgifter får behandlas inom dess tillämpnings-

Känsliga personuppgifter och sökbegränsningar Ds 2017:45

142

område kan därmed finnas kvar. Detsamma gäller bestämmelsen om behandling av personuppgifter i Migrationsverkets register över fingeravtryck och fotografier. Vi gör vidare, i avsnitt 18.2, bedömningen att dataskyddsförordningen inte hindrar att nationella bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna tillkommit i laga ordning. Det behövs därmed inte heller i det avseendet någon förändring av bestämmelserna.

Vilken typ av uppgifter som hänförs till kategorin känsliga personuppgifter har emellertid utökats genom dataskyddsförordningen. Numera ingår även sexuell läggning och genetiska uppgifter i begreppet. Även biometriska uppgifter för att entydigt identifiera en fysisk person har tillkommit.

Vi anser att det är en självklarhet att sexuell läggning bör omfattas av utlänningsdatalagens bestämmelse om behandling av känsliga personuppgifter.

Genetiska uppgifter definieras, enligt artikel 4.13 i dataskyddsförordningen, i korthet som ”alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person”. Biometriska uppgifter är, enligt artikel 4.14, sådana personuppgifter som har erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person. Som uttryckliga exempel på biometriska uppgifter nämns i dataskyddsförordningen ansiktsbilder och fingeravtrycksuppgifter. Det är enligt vår mening svårt att förutse hur den tekniska utvecklingen kommer att förändra möjligheten att behandla personuppgifter i verksamhetssystemen. Vi gör därför bedömningen att även genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person bör ingå i utlänningsdatalagens uppräkning av de känsliga personuppgifter där behandlingen är begränsad.

Ovanstående åstadkoms enligt vår uppfattning lättast genom att låta utlänningsdatalagens definition av känsliga personuppgifter innehålla en hänvisning till artikel 9.1 i dataskyddsförordningen, där de kategorier av personuppgifter som anses vara känsliga räknas upp. En sådan lagstiftningsteknik används även i Dataskyddsutredningens förslag till dataskyddslag. På detta sätt undviks användningen av ordet ras i utlänningsdatalagen, vilket är i överens-

Ds 2017:45 Känsliga personuppgifter och sökbegränsningar

143

stämmelse med det förslag som nyligen lämnats i betänkandet av Utredningen om transpersoners straffrättsliga skydd m.m. (SOU 2015:103 s. 165 ff.).

Den hänvisning till dataskyddsförordningens definition av känsliga personuppgifter som vi föreslår får till följd att användningsbegränsningen i 15 § kommer att gälla även för exempelvis fotografier som entydigt kan identifiera en person. Sådana fotografier kommer därmed inte längre att kunna användas i exempelvis testverksamhet, om de inte finns i det speciella registret över fingeravtryck och fotografier (se nedan). Vi anser att detta är rimligt, eftersom denna typ av personuppgifter enligt dataskyddsförordningen ingår bland de personuppgifter som anses vara särskilt integritetskänsliga. Vi vill emellertid påpeka att det inte är alla fotografier som förekommer i ett ärende som kommer att omfattas av ändamålsbegränsningen. Bestämmelsen kommer endast att gälla för de fotografier som är sådana att man med hjälp av dem entydigt kan identifiera en fysisk person. Ett pass som av Migrationsverket bedöms vara undermåligt ur bevissynpunkt kan enligt vår mening exempelvis inte entydigt identifiera en person. Detsamma gäller rimligen för t.ex. bröllopsfoton och andra familjerelaterade fotografier.

Det faktum att fingeravtryck och fotografier enligt dataskyddsförordningens definition numera ingår i kategorin känsliga personuppgifter innebär vidare att det krävs redaktionella ändringar i utlänningsdatalagen. Vi föreslår att lagens bestämmelse om vilka förutsättningar som gäller för behandling av känsliga personuppgifter (15 §) kompletteras med en upplysning om att känsliga personuppgifter även får behandlas med stöd av den bestämmelse som reglerar Migrationsverkets rätt att föra register över fingeravtryck och fotografier (nuvarande 14 §). Detta innebär att uppgifter i form av fingeravtryck och fotografier som förekommer i det speciella registret alltjämt får användas för exempelvis testverksamhet. För att utlänningsdatalagens bestämmelser om känsliga personuppgifter ska ha en logisk inbördes ordning föreslår vi också att 14 § med tillhörande rubrik flyttas till en ny paragraf närmast efter 15 §.

Känsliga personuppgifter och sökbegränsningar Ds 2017:45

144

12.2 Sökbegränsningar

12.2.1 Utlänningsdatalagen och dataskyddslagen

En vanligt förekommande skyddsåtgärd i registerförfattningar är sökbegränsningar. Dataskyddsutredningen har föreslagit att det som en huvudregel för svenska myndigheter ska finnas sökbegränsningar för känsliga personuppgifter. Bestämmelsen finns i den föreslagna 3 kap. 4 § dataskyddslagen.4

Av 17 § utlänningsdatalagen framgår att det vid sökning i personuppgifter är förbjudet att som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Dessa kategorier av personuppgifter motsvarar i sin helhet de som enligt 13 § PuL betecknas som känsliga. Bestämmelserna i 17 § utlänningsdatalagen har enligt förarbetena (prop. 2015/16:65 s. 85) införts för att minimera riskerna för att känsliga personuppgifter missbrukas och för att upprätthålla integritetsskyddet.

Utlänningsdatalagen innehåller sökbegränsningar även för personuppgifter som till sin art inte betecknas som känsliga. Enligt 18 § första stycket utlänningsdatalagen är det vid behandling av personuppgifter för ändamål som anges i 12 § 2 den lagen (information som rör förhållanden i andra länder) förbjudet att som sökbegrepp använda personuppgifter som direkt pekar ut den registrerade. Av bestämmelsens andra stycke framgår vidare att sådana uppgifter om lagöverträdelser m.m. som anges i 21 § PuL inte får användas som sökbegrepp. Undantag görs dock för uppgifter om beslut om förvar enligt utlänningslagen (2005:716). Bestämmelsen i 21 § PuL avser personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, vilka enligt bestämmelsens huvudregel endast får behandlas av myndigheter.

När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas.5 Dataskyddsutredningen har emellertid föreslagit att det i dataskyddslagen ska införas en bestämmelse

4 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 179). 5 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).

Ds 2017:45 Känsliga personuppgifter och sökbegränsningar

145

(3 kap. 9 §) som innebär att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångmedel endast får behandlas av myndigheter. Bestämmelsen utgör ett införlivande av artikel 10 i dataskyddsförordningen.

12.2.2 Bedömning

Förslag: Det ska vara förbjudet att vid sökning i person-

uppgifter använda sökbegrepp som avslöjar sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter).

Personuppgifter i Migrationsverkets register över fingeravtryck och fotografier ska dock även fortsättningsvis få behandlas enligt de nuvarande förutsättningarna.

Bedömning: I övrigt föranleder dataskyddsförordningen ingen

ändring i sak av utlänningsdatalagens bestämmelser om sökbegränsningar. Begränsningar för uppgifter om lagöverträdelser m.m. bör finnas kvar.

Vid utlänningsdatalagens tillkomst identifierades ett antal sökbegrepp som bedömdes medföra särskilda integritetsrisker på lagens tillämpningsområde. Utöver känsliga personuppgifter handlar det om uppgifter som direkt pekar ut en person vid sökning i landinformation samt uppgifter om lagöverträdelser m.m. såsom de framgår av 21 § PuL.

Sökbegränsningar utgör en skyddsåtgärd i dataskyddsförordningens mening. Det finns inte någon bestämmelse i förordningen som föranleder ändring vad gäller förekomsten av sökbegränsningar i utlänningsdatalagen. Inom utlänningsdatalagens tillämpningsområde behandlas vidare stora mängder känsliga personuppgifter och det finns en möjlighet för allmänheten att med stöd av tryckfrihetsförordningen begära ut sammanställningar av integritetskänsliga personuppgifter, om en sådan sammanställning är tillåten att göra för en myndighet. Utifrån dessa aspekter är det enligt vår mening önskvärt att behålla det skydd för känsliga personuppgifter som sökbegränsningarna utgör. Samma

Känsliga personuppgifter och sökbegränsningar Ds 2017:45

146

resonemang gäller naturligtvis för de övriga integritetskänsliga uppgifter som träffas av de nuvarande sökbegränsningarna. Sökbegränsningar för känsliga personuppgifter skulle vidare följa den huvudregel som Dataskyddsutredningen genom 3 kap. 4 § dataskyddslagen har föreslagit för svenska myndigheter.6

Bestämmelsen i 17 § utlänningsdatalagen, som anger att det är förbjudet att använda känsliga personuppgifter som sökbegrepp, bör dock ändras med hänsyn till att det i dataskyddsförordningen har tillkommit kategorier av personuppgifter som ska anses vara känsliga. I detta fall görs ändringen enligt vår mening enklast genom en hänvisning till den paragraf i utlänningsdatalagen där det kommer att finnas en hänvisning till dataskyddsförordningens definition av begreppet känsliga personuppgifter (se avsnitt 12.1.5). Därutöver föreslår vi en mindre redaktionell ändring av 17 § utlänningsdatalagen, som dock inte är avsedd att utgöra någon ändring i sak. För att även fortsättningsvis möjliggöra de nu tillåtna sökningarna i Migrationsverkets register över fingeravtryck och fotografier bör det i bestämmelsen vidare anges att sökförbudet inte hindrar att personuppgifter behandlas med stöd av den bestämmelse som reglerar Migrationsverkets rätt att föra register över fingeravtryck och fotografier (nuvarande 14 §).

Det är också nödvändigt att ändra 18 § andra stycket utlänningsdatalagen, som förbjuder användning av lagöverträdelser m.m. som sökbegrepp. De begrepp som avses definieras för närvarande – genom en hänvisning till 21 § PuL – som lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Den motsvarande bestämmelse som föreslagits i dataskyddslagen (3 kap. 9 §) motsvarar inte fullt ut personuppgiftslagens definition, eftersom den endast omfattar de domar som är fällande och inte heller omfattar administrativa frihetsberövanden.

Bestämmelserna i 21 § PuL och 3 kap. 9 § dataskyddslagen reglerar emellertid vilka kategorier av uppgifter som endast får behandlas av myndigheter. Detta innebär att utlänningsdatalagens bestämmelse om sökbegränsningar inte måste motsvara den nya bestämmelsen i dataskyddslagen. Något annat har inte heller framkommit än att de tidigare övervägandena kring vilka

6 Se Dataskyddsutredningens betänkande (SOU 2017:39).

Ds 2017:45 Känsliga personuppgifter och sökbegränsningar

147

sökbegränsningar som bör finnas inom utlänningsdatalagens tillämpningsområde fortfarande är relevanta. Mot den bakgrunden föreslår vi att utlänningsdatalagens bestämmelse om sökbegränsningar gällande lagöverträdelser m.m. bör finnas kvar oförändrad. Detta medför emellertid redaktionella ändringar, eftersom de förbjudna sökbegreppen (lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden) måste framgå direkt av utlänningsdatalagens bestämmelse.

149

13 Tillgången till personuppgifter

Enligt 16 § första stycket utlänningsdatalagen ska tillgången till personuppgifter begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Av andra stycket i samma bestämmelse framgår att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om tillgången till personuppgifter.

Av 4 § utlänningsdataförordningen framgår att det vid tilldelning av behörighet för tillgång till personuppgifter särskilt ska beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. Migrationsverket, Polismyndigheten och utlandsmyndigheterna ansvarar vidare, enligt 7 § utlänningsdataförordningen, för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för tillgång till personuppgifter. Migrationsverket ansvarar också för att det finns sådana rutiner hos utlandsmyndigheterna för den behandling av personuppgifter som sker under Migrationsverkets personuppgiftsansvar. 1

Utlänningsdataförordningen innehåller även en vidaredelegering av föreskriftsrätten vad gäller tillgången till personuppgifter. Enligt 5 § första stycket och 6 § får Migrationsverket och Polismyndigheten meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Av 5 § andra stycket framgår också att Migrationsverket, efter att ha gett Regeringskansliet (Utrikesdepartementet)

1 Migrationsverket är personuppgiftsansvarigt för den automatiserade personuppgiftsbehandling som utförs av utlandsmyndigheterna, se nuvarande 9 § utlänningsdatalagen och kapitel 10.

Tillgången till personuppgifter Ds 2017:45

150

tillfälle att yttra sig, får meddela närmare föreskrifter om tillgången till personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Såvitt vi känner till har varken Migrationsverket eller Polismyndigheten utnyttjat föreskriftsrätten enligt utlänningsdataförordningen.

13.2 Bedömning

Bedömning: Dataskyddsförordningen föranleder ingen ändring

av utlänningsdatalagens och utlänningsdataförordningens bestämmelser om tillgången till personuppgifter.

Den personuppgiftsansvarige har, enligt artikel 24.1 och artikel 32 i dataskyddsförordningen, skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska, enligt samma bestämmelser, ske bl.a. genom att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i denna del återfinns även i de allmänna principer för behandling av personuppgifter som framgår av artikel 5.1 f i dataskyddsförordningen.

Vi har gjort bedömningen att sökbegränsningar utgör en säkerhetsåtgärd i dataskyddsförordningens mening (se avsnitt 12.2.2). Detsamma gäller enligt vår mening bestämmelser om behörighetsbegränsningar, tilldelningsstyrning och andra rutiner som säkerställer att personuppgiftsbehandlingen sker i enlighet med dataskyddsförordningen.

Åtgärder som säkerställer en lämplig säkerhetsnivå ska förvisso vidtas av de personuppgiftsansvariga även utan bestämmelser i registerförfattningar. Bestämmelser om vilka säkerhetsåtgärder som ska vidtas i en viss verksamhet utgör dock enligt vår mening sådana specifika krav på personuppgiftsbehandling som enligt artikel 6.2 i dataskyddsförordningen får fastställas genom nationella registerförfattningar (se kapitel 5).

Att det finns säkerhetsåtgärder för personuppgiftsbehandlingen är vidare en förutsättning för att känsliga personuppgifter ska få behandlas för ett viktigt allmänt intresse med stöd av undantaget i

Ds 2017:45 Tillgången till personuppgifter

151

artikel 9.2 g i dataskyddsförordningen. Av avsnitt 12.1.5 framgår att detta undantag har stor betydelse för de myndigheter som behandlar personuppgifter inom utlänningsdatalagens tillämpningsområde. Det faktum att en säkerhetsåtgärd kommer till uttryck i en registerförfattning säkerställer enligt vår mening skyddsåtgärden på ett sådant sätt som avses i artikel 9.2 g i dataskyddsförordningen.

I avsnitt 18.2 gör vi bedömningen att dataskyddsförordningen inte hindrar att nationella bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna har tillkommit i laga ordning.

Mot den bakgrunden bedömer vi att bestämmelserna om tillgången till personuppgifter i 16 § utlänningsdatalagen och 47 §§utlänningsdataförordningen är förenliga med dataskyddsförordningen och bör kvarstå i sin nuvarande lydelse.

Vi vill i detta sammanhang betona att förekomsten av behörighetsbegränsningar m.m. i en registerförfattning inte innebär att man kan bortse från de övriga krav på lämpliga säkerhetsåtgärder som dataskyddsförordningen föreskriver. Som ett exempel kan nämnas att förordningen ställer krav på att dataskydd byggs in i databehandlingssystem i den utsträckning det är lämpligt med hänsyn till bl.a. kostnader, behandlingens art och omfattning och de risker som behandlingen innebär (artikel 25). Som ett exempel på ett sådant inbyggt dataskydd kan nämnas loggning.

153

14 Den registrerades rättigheter

14.1 Inledande kommentar

Utlänningsdatalagen innehåller inga egna bestämmelser om de registrerades rättigheter. I stället hänvisas i 8 § första stycket 5, 6 och 12 utlänningsdatalagen till 23, 25–28 och 48 §§ PuL. Dessa bestämmelser reglerar den registrerades rätt till information, rättelse, blockering och utplåning av personuppgifter samt den registrerades rätt till skadestånd. När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas.1Samtliga hänvisningar till personuppgiftslagen måste därmed utgå.

Dataskyddsförordningens bestämmelser om de registrerades rättigheter finns i artiklarna 12–22 och 34. Artikel 12 innehåller övergripande bestämmelser om bl.a. hur och i vilken form information ska lämnas till de registrerade samt tidsfristerna för detta. I artiklarna 13–22 och 34 regleras därefter de registrerades rättigheter relativt detaljerat.

Inledningsvis kan vi konstatera att artikel 20, som gäller rätten till dataportabilitet, inte är tillämplig på personuppgiftsbehandling inom utlänningsdatalagens tillämpningsområde, eftersom behandling av personuppgifter enligt lagen inte grundar sig på samtycke eller avtal (se artikel 20.1 a).

Vad gäller de registrerades resterande rättigheter enligt dataskyddsförordningen är vår avsikt inte att i detta kapitel göra en heltäckande genomgång. Vårt syfte är i stället att lyfta fram de viktigaste förändringarna för de myndigheter som omfattas av utlänningsdatalagen. Det är enligt vår mening vidare av största vikt att de aktuella myndigheternas ärendehandläggning inte avstannar och att de personuppgifter som hanteras inom ramen för

1 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).

Den registrerades rättigheter Ds 2017:45

154

myndigheternas ärenden kan arkiveras när ärendet är avgjort. Mot den bakgrunden har vi även för avsikt att i detta kapitel analysera dataskyddsförordningens möjligheter att begränsa de registrerades rättigheter och bedöma behovet av att införa sådana begränsningar.

14.2 En generell möjlighet till undantag

De rättigheter som regleras i artiklarna 13–22 och 34 i dataskyddsförordningen innehåller i vissa fall undantag som endast gäller för den enskilda rättigheten. Dessa redogör vi för i kommande avsnitt. I artikel 23 i dataskyddsförordningen finns emellertid även en generell bestämmelse som ger medlemsstaterna vissa möjligheter att i den nationella lagstiftningen införa undantag från rättigheterna i artiklarna 12–22 samt 34 i förordningen. En sådan begränsning måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Den måste också utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Begränsningen får vidare endast ske i syfte att säkerställa vissa intressen, som räknas upp i artikel 23.1 a–j. För den verksamhet som utförs inom ramen för utlänningsdatalagens tillämpningsområde är det enligt vår mening led e som främst kommer i fråga. Enligt detta led får en begränsning av de registrerades rättigheter ske i syfte att säkerställa ”en medlemsstats viktiga mål av generellt allmänt intresse”. Som exempel på sådana mål nämns viktiga ekonomiska eller finansiella intressen, där penning-, budget- eller skattefrågor ingår, men även folkhälsa och social trygghet.

De undantag som införs i nationell rätt med stöd av artikel 23.1 i dataskyddsförordningen ska vidare, enligt punkt två i samma artikel, när det är relevant innehålla specifika bestämmelser om bl.a. ändamålen med behandlingen, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk, specificering av den personuppgiftsansvarige, lagringstid och tillämpliga skyddsåtgärder. Detta är bestämmelser som enligt vår bedömning ofta återfinns i svenska registerförfattningar. Som exempel nämns också bestämmelser om de registrerades rätt att bli informerade om begränsningen, såvida detta inte inverkar menligt på begränsningen.

Ds 2017:45 Den registrerades rättigheter

155

14.3 Information när personuppgifter samlas in från den registrerade

Utlänningsdatalagen hänvisar, genom 8 § första stycket 5, till 23, 25 och 27 §§ PuL. Enligt 23 § PuL ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av personuppgifter när dessa samlas in från den registrerade själv. Informationen ska lämnas i samband med att uppgifterna samlas in. Vad gäller uttrycket insamling av personuppgifter kan sägas att detta inte bara torde avse situationer där uppgifter lämnas till en myndighet på begäran av myndigheten, utan även t.ex. när myndigheten får personuppgifter genom att den enskilde självmant lämnar in dem.2

I 25 § PuL regleras mer detaljerat vilken information som ska lämnas till den registrerade i en sådan situation. Informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Som exempel på sådan övrig information nämns mottagarna av uppgifterna, skyldigheten att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Den personuppgiftsansvariges informationsplikt begränsas dock av 27 § PuL. Här stadgas att bestämmelserna i 23 och 25 §§ PuL inte gäller om det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.

14.3.2 Dataskyddsförordningen och dataskyddslagen

Enligt artikel 13 i dataskyddsförordningen har en registrerad rätt att få relativt utförlig information från den personuppgiftsansvarige när personuppgifterna samlats in från den registrerade själv. Informationen ska bl.a. innefatta den personuppgiftsansvariges

2 Jfr förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 39).

Den registrerades rättigheter Ds 2017:45

156

identitet och kontaktuppgifter, kontaktuppgifter till dataskyddsombudet, uppgift om den period under vilken personuppgifterna kommer att lagras eller de kriterier som används för att fastställa denna period, information om rätten att ge in klagomål till tillsynsmyndigheten och om rätten att begära rättelse, radering eller begränsning av behandling av personuppgifterna. Informationen ska lämnas när den personuppgiftsansvarige får personuppgifterna. Den personuppgiftsansvarige behöver dock inte lämna sådan information som den registrerade redan förfogar över.

Enligt Dataskyddsutredningens bestänkande (SOU 2017:39) ska dataskyddslagen i 5 kap. 1 § innehålla en bestämmelse enligt vilken den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen inte gäller sådana uppgifter som den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut till den registrerade. Förslaget innebär att det undantag för vissa sekretessbelagda uppgifter som nu finns i 27 § PuL kommer att finnas kvar även när dataskyddsförordningen börjar tillämpas.

14.3.3 Bedömning

Förslag: Den registrerades rätt till information enligt artikel 13 i

dataskyddsförordningen ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Regleringen ska genomföras genom en hänvisning till den föreslagna 5 kap. 1 § första stycket dataskyddslagen.

Artikel 13 i dataskyddsförordningen reglerar vilka uppgifter den personuppgiftsansvarige ska lämna till en registrerad när uppgifter samlats in från den registrerade själv. Exempel på situationer där de aktuella myndigheterna samlar in personuppgifter från den enskilde själv är när de tar emot ansökningar, skrivelser och svar på förfrågningar. Även om uppgifterna kommer från en ställföreträdare eller ett ombud som har i uppdrag att företräda den registrerade

Ds 2017:45 Den registrerades rättigheter

157

bör uppgifterna i dessa situationer bedömas ha samlats in från den registrerade själv.3

Artikel 13 i dataskyddsförordningen liknar till sin uppbyggnad 23 och 25 §§ PuL. En avgörande skillnad mellan dataskyddsförordningens och personuppgiftslagens reglering är att förordningen är mycket mer utförlig när det gäller vilken information som ska lämnas till den registrerade. Precis som enligt personuppgiftslagen görs dock undantag från den personuppgiftsansvariges informationsskyldighet om den registrerade redan förfogar över den information som ska lämnas.

Vi anser att den registrerade möjligtvis kan anses ha kännedom om vem som är personuppgiftsansvarig och om de ändamål som uppgifterna ska behandlas för. Vem som är personuppgiftsansvarig framgår av utlänningsdatalagen och ändamålet framgår ofta av sammanhanget – om uppgifterna samlas in i ett enskilt ärende är det underförstått att uppgifterna används för handläggningen av detsamma. Däremot anser vi inte att den registrerade kan antas känna till exempelvis vem som är myndighetens dataskyddsombud eller kriterierna för att fastställa under vilken period uppgifterna kommer att lagras. Även om den registrerades rätt att begära rättelse och radering m.m. framgår av dataskyddsförordningen kan den registrerade enligt vår mening inte heller anses förfoga över denna information. Om tanken vore att bestämmelserna skulle tolkas på detta vis hade någon skyldighet för den personuppgiftsansvarige att lämna information om dessa rättigheter rimligen inte förts in i dataskyddsförordningen.

När de aktuella myndigheterna samlar in personuppgifter från den registrerade själv kan han eller hon enligt vår uppfattning således inte anses förfoga över all den information som ska lämnas enligt artikel 13 i dataskyddsförordningen. Beroende på vilken information som lämnas till de registrerade i nuläget skulle det därmed kunna finnas anledning för myndigheterna att se över sina rutiner i denna del. Detta är emellertid ett arbete som sker på verkställighetsnivå och som inte ligger inom ramen för vårt uppdrag att behandla.

3 Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen (15 september 2016, Zeteo), kommentar till 23 §.

Den registrerades rättigheter Ds 2017:45

158

Dataskyddsförordningens bestämmelser skulle enligt vår bedömning sammanfattningsvis kunna innebära att myndigheterna behöver utöka den information som ges till de registrerade när personuppgifter samlas in från dem. Endast en ökad administrativ belastning innebär enligt vår mening emellertid inte att det finns möjlighet att begränsa de registrerades rättigheter med stöd av artikel 23 i dataskyddsförordningen. Anledningen är att begränsningen i sådant fall inte skulle göras i syfte att säkerställa viktiga mål av generellt allmänt intresse eller något annat av de syften som räknas upp i artikel 23.1 a–j. Någon annan möjlighet till en generell begränsning finns inte.

En hänvisning bör enligt vår mening dock göras i utlänningsdatalagen till den föreslagna 5 kap. 1 § dataskyddslagen, som innebär att den rätt till information som den registrerade har enligt bl.a. artikel 13 i dataskyddsförordningen inte gäller uppgifter som enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning inte får lämnas ut till den registrerade. På detta sätt upprätthålls det förhållande som nu gäller, nämligen att bestämmelser om sekretess eller tystnadsplikt går före den registrerades rätt att få information om behandlingen av hans eller hennes personuppgifter.

14.4 Information när personuppgifter samlas in från någon annan än den registrerade

Enligt 24 § första stycket PuL ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av personuppgifter när uppgifterna samlats in från någon annan källa än den registrerade själv. Enligt 24 § andra stycket behöver information till den registrerade emellertid inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning.

I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 50) gjorde regeringen bedömningen att någon hänvisning till 24 § PuL inte behöver tas in i utlänningsdatalagen. Som skäl för detta framfördes att det kommer att finnas bestämmelser om registrerandet eller utlämnandet av personuppgifterna i utlänningsdatalagen.

Ds 2017:45 Den registrerades rättigheter

159

14.4.2 Dataskyddsförordningen

Enligt artikel 14 i dataskyddsförordningen ska relativt utförlig information lämnas till den registrerade när den personuppgiftsansvarige har fått personuppgifterna från någon annan källa än den registrerade själv. Artikel 14.5 c innehåller dock – liksom 24 § PuL – undantag som innebär att den personuppgiftsansvarige inte behöver lämna sådan information, om den personuppgiftsansvarige har rätt att ta emot eller lämna ut uppgifterna enligt medlemsstatens nationella rätt. En förutsättning för att undantaget ska vara tillämpligt är att den nationella rätten fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Någon ledning gällande vilken typ av skyddsåtgärder det kan röra sig om finns inte i skälen till förordningen.

14.4.3 Bedömning

Bedömning: Personuppgiftsbehandlingen inom utlänningsdata-

lagens tillämpningsområde omfattas av undantaget i artikel 14.5 c i dataskyddsförordningen från skyldigheten att lämna information när personuppgifter har getts in från någon annan än den registrerade själv.

Artikel 14 i dataskyddsförordningen reglerar vilken information som ska lämnas till den registrerade när personuppgifter samlats in från annan än den registrerade själv. Detta bör, enligt vår bedömning, förekomma främst i de aktuella myndigheternas ärendehandläggning, exempelvis när den sökande i ett ärende om uppehållstillstånd lämnar in uppgifter om sina släktförhållanden eller när resultatet av en DNA-analys eller en åldersbedömning kommer in till Migrationsverket från den externa aktör som utfört utredningsåtgärden. Migrationsverket, Polismyndigheten och utlandsmyndigheterna får enligt utlänningsdatalagen behandla de personuppgifter som behövs för de primära ändamålen, t.ex. för handläggning av de ärenden som träffas av lagens tillämpningsområde. Mot den bakgrunden anser vi att den personuppgiftsbehandling som sker inom utlänningsdatalagens tillämpningsområde omfattas av undantaget i artikel 14.5 c i dataskydds-

Den registrerades rättigheter Ds 2017:45

160

förordningen. Detta innebär i sin tur att myndigheterna inte är skyldiga att lämna information till de registrerade i dessa situationer.

Utlänningsdatalagen innehåller vidare en mängd bestämmelser som skyddar den registrerades integritet när myndigheterna behandlar personuppgifter. Som exempel kan nämnas bestämmelser om sök- och behörighetsbegränsningar samt direktåtkomst. Enligt vår bedömning finns det därmed i nationell rätt ett tillräckligt skydd för den registrerades intressen för att undantaget i artikel 14.5 c i dataskyddsförordningen ska kunna tillämpas inom utlänningsdatalagens tillämpningsområde. Det behövs enligt vår mening därmed inte någon ytterligare lagstiftningsåtgärd för att myndigheterna ska kunna tillämpa undantaget.

14.5 Information efter begäran

Utlänningsdatalagen hänvisar, genom 8 § första stycket 5, till 26 och 27 §§ PuL. Enligt 26 § första stycket PuL är den personuppgiftsansvarige skyldig att, efter begäran, en gång per kalenderår lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (ett s.k. registerutdrag). Om sådana uppgifter behandlas ska den registrerade också få information om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Enligt 26 § tredje stycket PuL behöver sådan information inte lämnas vad gäller personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål. Inte heller gäller undantaget för löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Den personuppgiftsansvariges informationsplikt begränsas av 27 § PuL. Enligt denna bestämmelse gäller inte skyldigheten i 26 § PuL om det är särskilt föreskrivet i lag eller annan författning eller

Ds 2017:45 Den registrerades rättigheter

161

annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.

14.5.2 Dataskyddsförordningen och dataskyddslagen

Enligt artikel 15 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne håller på att behandlas. Om så är fallet har den registrerade rätt till relativt utförlig information om behandlingen av dessa personuppgifter. Information ska bl.a. lämnas om ändamålen med behandlingen, vilka kategorier av uppgifter som behandlas, mottagarna av uppgifterna, den period under vilken uppgifterna kommer att lagras eller kriterierna för att fastställa denna period, rätten att begära rättelse eller radering av uppgifterna samt rätten att ge in klagomål till en tillsynsmyndighet. Några undantag från rätten att få information om personuppgiftsbehandlingen efter begäran finns inte i artikel 15.

Av artikel 12.5 framgår att utgångspunkten är att information enligt bl.a. artikel 15 ska tillhandahållas kostnadsfritt. Det framgår dock även att om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska visa att en begäran är uppenbart ogrundad eller orimlig. Av skäl 63 till förordningen framgår att de registrerade bör ha rätt att få tillgång till personuppgifter på detta sätt med rimliga intervall.

Enligt Dataskyddsutredningens förslag (SOU 2017:39) ska dataskyddslagen i 5 kap. 2 § innehålla en bestämmelse som motsvarar undantaget i 26 § tredje stycket PuL för personuppgifter i löpande text som inte fått sin slutliga utformning eller som utgör minnesanteckningar. Vidare ska dataskyddslagen, enligt Dataskyddsutredningens förslag, i 5 kap. 1 § innehålla en bestämmelse enligt vilken bl.a. artikel 15 i dataskyddsförordningen inte gäller uppgifter som, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämnas ut till den registrerade.

Den registrerades rättigheter Ds 2017:45

162

14.5.3 Bedömning

Förslag: Den registrerades rätt till information enligt artikel 15 i

dataskyddsförordningen ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Regleringen ska genomföras genom en hänvisning till den föreslagna 5 kap. 1 § första stycket dataskyddslagen.

Den registrerades rätt till tillgång till personuppgifter enligt artikel 15 i dataskyddsförordningen ska inte gälla personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget ska inte gälla om personuppgifterna har lämnats ut till tredje part, behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning. Regleringen ska genomföras genom en hänvisning till den föreslagna 5 kap. 2 § dataskyddslagen.

Den information som ska lämnas till den registrerade enligt artikel 15 i dataskyddsförordningen är något mer utförlig än den som i nuläget ska lämnas i enlighet med utlänningsdatalagen och personuppgiftslagen. För de informationspunkter som är nya (t.ex. perioden för lagring samt information om möjligheten att begära rättelse och radering) bör det enligt vår mening vara möjligt att ta fram standardiserad information som kan användas vid de flesta förfrågningar. Detta borde innebära att de nya bestämmelserna inte medför en alltför stor administrativ belastning för de aktuella myndigheterna.

Som vi nämnt i avsnitt 14.5.2 innehåller artikel 15 i dataskyddsförordningen inte några undantag från rätten att få information om personuppgiftsbehandlingen efter begäran. Vi anser dock att en hänvisning bör göras i utlänningsdatalagen till den föreslagna 5 kap. 1 § första stycket dataskyddslagen. Den bestämmelsen innebär att artiklarna 13–15 i dataskyddsförordningen inte gäller uppgifter som, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämnas ut till den

Ds 2017:45 Den registrerades rättigheter

163

registrerade.4 På detta sätt kommer bestämmelser om sekretess eller tystnadsplikt att gå före den registrerades rätt att få information om behandlingen av hans eller hennes personuppgifter även när dataskyddsförordningen börjar tillämpas.

Vi anser vidare att det bör göras en hänvisning i utlänningsdatalagen till den föreslagna 5 kap. 2 § dataskyddslagen, som motsvarar 26 § tredje stycket PuL. Genom en sådan hänvisning kommer de aktuella myndigheternas tjänstemän även framöver att under en rimlig tid få ha sina ofärdiga alster i fred. På samma sätt som i nuläget måste detta enligt vår mening anses vara en rimlig avvägning mellan den registrerades rätt till information och myndigheternas verksamhetsbehov.

Slutligen anser vi att det inte finns anledning att i utlänningsdatalagen införa bestämmelser som begränsar den registrerades rättigheter enligt artikel 15 i dataskyddsförordningen ytterligare. Genom de hänvisningar till 5 kap. 1 och 2 §§ dataskyddslagen som vi föreslagit kommer samma undantag som i dag att gälla. Vi kan inte se att det finns några ytterligare behov av att begränsa rättigheterna för att säkerställa viktiga mål av generellt allmänt intresse eller något annat av de syften som framgår av artikel 23.1 dataskyddsförordningen.

14.6 Rättelse och radering samt rätt att göra invändningar och begära begränsning av behandling

14.6.1 Utlänningsdatalagen , personuppgiftslagen och 1995 års dataskyddsdirektiv

Utlänningsdatalagen hänvisar, genom 8 § 6, till 28 § PuL. Enligt denna bestämmelse är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Om den registrerade begär det ska den personuppgiftsansvarige också underrätta mottagarna av uppgifterna om

4 Se Dataskyddsutredningens betänkande (SOU 2017:39).

Den registrerades rättigheter Ds 2017:45

164

åtgärden. Detsamma gäller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en sådan underrättelse. Underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

I utlänningsdatalagen nämns endast att hänvisningen till 28 § PuL gäller bestämmelsen om rättelse. Av förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 50) framgår dock att hänvisningen även avser rätten till blockering och utplåning av personuppgifter.

Utlänningsdatalagen hänvisar även, i 8 § 3, till bestämmelserna om grundläggande krav på behandling av personuppgifter i 9 § PuL. Enligt dessa bestämmelser ska den personuppgiftsansvarige se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Kort kan sägas att rättelse av en personuppgift innebär att en felaktig eller ofullständig uppgift ersätts av en uppgift om de rätta förhållandena eller att uppgifterna annars kompletteras. Med blockering avses en åtgärd som vidtas för att personuppgifterna ska förses med information om att de är spärrade och om anledningen till spärren, för att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. Utplånande innebär helt enkelt att de aktuella personuppgifterna förstörs så att de inte kan återskapas.5

När personuppgifter behandlas för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning, ska medlemsstaterna enligt artikel 14 a i 1995 års dataskyddsdirektiv tillförsäkra den registrerade rätten att motsätta sig behandling av uppgifter som rör honom eller henne. Detta gäller emellertid endast om den nationella lagstiftningen inte föreskriver annat. Genom 12 § andra stycket PuL har lagstiftaren gjort den registrerades rätt att motsätta sig behandling mycket begränsad. Enligt denna bestämmelse har den registrerade endast rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen när behandlingen sker för ändamål som

5 Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen (15 september 2016, Zeteo), kommentaren till 28 §.

Ds 2017:45 Den registrerades rättigheter

165

gäller direkt marknadsföring eller om behandlingen sker med stöd av samtycke.6

14.6.2 Dataskyddsförordningen

Rättelse

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Den registrerade ska även, med beaktande av ändamålet med behandlingen, ha rätt att komplettera ofullständiga personuppgifter.

Radering

Enligt artikel 17 i dataskyddsförordningen har den registrerade i vissa fall rätt att få sina personuppgifter raderade utan onödigt dröjsmål. Detta motsvarar personuppgiftslagens begrepp utplåning. De situationer som främst är av intresse inom utlänningsdatalagens tillämpningsområde är de som framgår av artikel 17.1 a, c och d i förordningen. Led a avser situationen att personuppgifterna inte längre är nödvändiga för de ändamål som de samlats in för eller på annat sätt behandlats för. Led c avser situationen att den registrerade har gjort invändningar mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre än den registrerades skäl för radering. Led d avser situationen att personuppgifterna har behandlats på ett olagligt sätt.

Det finns dock en rad undantag från rätten till radering. De som enligt vår mening främst är av intresse är de som framgår av artikel 17.3 b och d i förordningen. Enligt led b har den registrerade inte rätt att få sina personuppgifter raderade om behandlingen av uppgifterna är nödvändig för att uppfylla en rättslig förpliktelse enligt unionsrätten eller en medlemsstats nationella rätt. Rätten till radering gäller inte heller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person-

6 Se förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 64 ff.).

Den registrerades rättigheter Ds 2017:45

166

uppgiftsansvariges myndighetsutövning. Den registrerade har vidare inte, enligt led d, rätt att få sina personuppgifter raderade om behandlingen är nödvändig för bl.a. arkivändamål av allmänt intresse eller statistiska ändamål, i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

Rätt att göra invändningar och begära begränsning av behandling

Om behandlingen av personuppgifter grundar sig på en uppgift av allmänt intresse eller myndighetsutövning har den registrerade, enligt artikel 21.1 i dataskyddsförordningen, rätt att av skäl som hänför sig till hans eller hennes specifika situation göra invändningar mot behandlingen. Om en sådan invändning görs får den personuppgiftsansvarige inte längre behandla personuppgifterna om denne inte kan visa att det finns avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Personuppgifterna får dock fortsätta behandlas bl.a. om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Följden av att intresseavvägningen utfaller till den registrerades fördel blir, åtminstone om den registrerade begär det, att de aktuella personuppgifterna ska raderas. Detta framgår av artikel 17.1 c i dataskyddsförordningen.

Under den tid det tar för den personuppgiftsansvarige att efter en invändning kontrollera om den registrerades skäl mot behandlingen väger tyngre än den personuppgiftsansvariges skäl för att utföra behandlingen ska behandlingen av uppgifterna begränsas i enlighet med artikel 18.1 d.

Den registrerade har, enligt artikel 18.1 a–c i dataskyddsförordningen, även i vissa andra fall rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas. När den registrerade har gjort invändningar mot personuppgifternas riktighet ska behandlingen enligt led a begränsas under den tid då den personuppgiftsansvarige kontrollerar om personuppgifterna är riktiga. Enligt led b ska behandlingen begränsas om den är olaglig och den registrerade i stället för radering begär en begränsning av uppgifternas användning. Enligt led c ska behandlingen begränsas

Ds 2017:45 Den registrerades rättigheter

167

om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men de fortsatt behöver lagras eftersom den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Under den tid begränsningen gäller får personuppgifterna, enligt huvudregeln i artikel 18.2, inte behandlas på annat sätt än att de lagras. Förfarandet motsvarar det som i personuppgiftslagen kallas blockering. Undantag finns dock, exempelvis får uppgifterna under begränsningsperioden behandlas för att fastställa rättsliga anspråk eller för skäl som rör ett viktigt allmänintresse för en medlemsstat.

Mottagare ska underrättas

Enligt artikel 19 i dataskyddsförordningen ska den personuppgiftsansvarige underrätta varje mottagare av personuppgifterna om de rättelser, raderingar eller begränsningar av behandling som gjorts. Undantag från denna skyldighet får göras om det visar sig vara omöjligt eller medför en oproportionell ansträngning. Om den registrerade begär det ska den personuppgiftsansvarige även informera den registrerade om vilka mottagarna av personuppgifter är.

14.6.3 Bedömning

Bedömning: Det bör inte införas några undantag i utlännings-

datalagen från dataskyddsförordningens bestämmelser om de registrerades rättigheter i artiklarna 16–19 eller 21 och 22.

Rättelse

Dataskyddsförordningens bestämmelser om de registrerades rätt att komplettera ofullständiga personuppgifter och få felaktiga personuppgifter rättade (artikel 16) motsvarar vad som, genom utlänningsdatalagens hänvisning till 9 och 28 §§ PuL, för närvarande gäller inom utlänningsdatalagens tillämpningsområde. Det bör enligt vår mening ligga i myndigheternas intresse att de

Den registrerades rättigheter Ds 2017:45

168

personuppgifter som behandlas i verksamheten är korrekta och fullständiga. Något behov av att på utlänningsdatalagens tillämpningsområde införa undantag från dataskyddsförordningens bestämmelse om rättelse finns enligt vår uppfattning därmed inte.

Radering

Dataskyddsförordningens bestämmelser om rätten till radering är mer omfattande än vad som gäller enligt utlänningsdatalagen och personuppgiftslagen i dag. Enligt artikel 17.3 b i förordningen gäller rätten till radering dock inte om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning eller för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse. Som vi tidigare konstaterat (avsnitt 6.3.2) anser vi att den personuppgiftsbehandling som sker inom utlänningsdatalagens tillämpningsområde är nödvändig som ett led i myndighetsutövning eller i vart fall för att utföra en uppgift av allmänt intresse. Rätten till radering gäller enligt vår mening därför inte uppgifter i pågående ärenden. Undantaget i artikel 17.3 b garanterar därmed att handläggningen av öppna ärenden inte avstannar på grund av dataskyddsbestämmelser.

För arkivering finns dessutom, i artikel 17.3 d i dataskyddsförordningen, ett specifikt undantag från rätten till radering. Enligt denna bestämmelse ska den rätten inte gälla för det fall raderingen sannolikt omöjliggör eller avsevärt försvårar att syftet med den behandling som utförs för arkivändamål av allmänt intresse uppnås. Detta medför enligt vår mening att rätten till radering inte heller gäller personuppgifter som ingår i de handlingar som arkiverats i enlighet med gällande arkivlagstiftning. Vi anser att rätten till radering inte heller gäller för de personuppgifter som finns i avslutade ärenden som ännu inte har hunnit arkiveras. Bevarandet av allmänna handlingar är en förutsättning för allmänhetens möjlighet att ta del av dessa handlingar med stöd av tryckfrihetsförordningen, vilket enligt vår mening innebär att ett sådant bevarande är nödvändigt för en uppgift av allmänt intresse.

Eftersom redan befintliga undantag i dataskyddsförordningen enligt vår bedömning således garanterar att personuppgifter i både öppna, avslutade och arkiverade ärenden undantas från rätten till

Ds 2017:45 Den registrerades rättigheter

169

radering anser vi att det inte finns något behov av att i utlänningsdatalagen föreskriva ytterligare undantag från denna rättighet.

Avslutningsvis vill vi dock påpeka att vi anser att dataskyddsförordningen inte hindrar myndigheterna att radera personuppgifter som behandlats i strid med gällande personuppgiftsbestämmelser. En förutsättning är dock naturligvis att detta är tillåtet enligt det övriga regelverk som styr rätten till radering i verksamhetssystemen, t.ex. förvaltningsrättsliga bestämmelser och arkivregler.

Rätt att göra invändningar och begära begränsning av behandling

Den registrerades rätt att enligt artikel 21.1 i dataskyddsförordningen göra invändningar mot att personuppgifter behandlas för myndighetsutövning eller för en uppgift av allmänt intresse, är en utökning jämfört med vad som för närvarande gäller. Som vi tidigare konstaterat anser vi att hela den personuppgiftsbehandling som utförs på utlänningsdatalagens tillämpningsområde sker för att utföra en uppgift av allmänt intresse (se avsnitt 6.3.2). Detta innebär att dataskyddsförordningens bestämmelse om rätten att göra invändningar gäller för den behandling av personuppgifter som utförs i enlighet med utlänningsdatalagen.

Under den tid det tar för myndigheten att efter en registrerads invändning bedöma om skälen för behandlingen väger tyngre än den registrerades skäl mot denna, ska behandlingen begränsas enligt artikel 18.1 d och 18.2 i dataskyddsförordningen. Detsamma gäller, enligt artikel 18.1 a–c i dataskyddsförordningen, under en kontroll av personuppgifternas riktighet, i vissa fall då behandlingen är olaglig eller i vissa fall om uppgifterna inte längre behövs för ändamålen med behandlingen. Den registrerades rätt till begränsning av personuppgiftsbehandling är därmed utförligare än personuppgiftslagens bestämmelser om blockering.

En begränsning innebär enligt huvudregeln i artikel 18.2 att personuppgifter inte får behandlas på något annat sätt än att lagras. Undantag görs dock bl.a. för det fall behandlingen sker av skäl som rör ett viktigt allmänintresse för medlemsstaten.

Att handläggningen av ärenden inom utlänningsdatalagens tillämpningsområde inte avstannar utgör enligt vår mening ett

Den registrerades rättigheter Ds 2017:45

170

viktigt allmänintresse. Mot den bakgrunden anser vi att undantaget i artikel 18.2 i dataskyddsförordningen är tillämpligt på de personuppgifter som ingår i pågående ärenden. Följden av detta blir att myndigheternas handläggning av det enskilda ärendet inte behöver avstanna i väntan på att en intresseavvägning ska göras efter en invändning (artikel 18.1 d). Samma resonemang bör enligt vår mening kunna tillämpas vid en invändning om personuppgifternas riktighet (artikel 18.1 a).

Ändamålet med behandlingen av personuppgifter i myndigheternas ärenden är vidare att handlägga just dessa ärenden. Detta borde enligt vår mening medföra att så länge handläggningen av ett ärende inte är avslutad, behövs personuppgifterna för ändamålet med behandlingen. Rätten till begränsning av uppgifter som inte längre behövs för ändamålet (artikel 18.1 c) bör därmed ha mycket liten betydelse för de aktuella myndigheterna vad gäller pågående ärenden. Skulle en sådan situation uppkomma gör vi emellertid även här bedömningen att personuppgifterna fortsatt kan behandlas i öppna ärenden med stöd av undantaget för ett viktigt allmänintresse.

För myndigheterna är det vidare i stor utsträckning de förvaltningsrättsliga regelverken och uppgifter som kommer från den sökande själv som styr vilka personuppgifter som behöver behandlas i ett enskilt ärende. Vi anser därför att en sådan olaglig behandling av personuppgifter där en begränsning av behandling kan krävas (artikel 18.1 b) bör vara mycket sällsynt förekommande.

Vad gäller avslutade ärenden bör bevarande vara tillåtet även om behandlingen av de aktuella personuppgifterna har begränsats, eftersom ett sådant bevarande vanligtvis endast innebär att personuppgifterna lagras. Sökningar bland avslutade ärenden (jfr avsnitt 17.1.4) innebär emellertid en behandling av personuppgifterna utöver lagringen. Sådana sökningar kan exempelvis göras i syftet att återanvända information i ett tidigare ärende vid handläggning av ett nytt ärende gällande samma person. Det utgör enligt vår mening ett viktigt allmänintresse att sådana sökningar får göras vid behov, eftersom det säkerställer en rättssäker ärendehandläggning. Det finns därmed undantag som tillåter att sådan behandling vid behov får fortsätta även om behandlingen av personuppgifter har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen.

Ds 2017:45 Den registrerades rättigheter

171

Även allmänhetens tillgång till allmänna handlingar utgör enligt vår mening ett viktigt allmänintresse. Detta medför att utlämnande av allmänna handlingar – både i pågående och avslutade ärenden – är tillåtet även om behandlingen av personuppgifter har begränsats. Myndigheternas rätt att lämna ut personuppgifter i allmänna handlingar i enlighet med nationell rätt säkerställs för övrigt även genom artikel 86 i dataskyddsförordningen.

Vi anser sammanfattningsvis att det undantag som finns i artikel 18.2 i dataskyddsförordningen garanterar att myndigheternas handläggning av enskilda ärenden inte avstannar, att bevarande av ärenden är möjlig och att allmänhetens tillgång till allmänna handlingar inte inskränks. Om personuppgifter har behandlats i enlighet med de primära eller sekundära ändamålen i utlänningsdatalagen borde enligt vår mening vidare en sådan intresseavvägning som ska göras enligt artikel 21.1 i dataskyddsförordningen i stort sett uteslutande utfalla till myndighetens fördel. Mot den bakgrunden finns det enligt vår mening inte något egentligt behov av att i utlänningsdatalagen införa ytterligare inskränkningar av rätten att göra invändningar eller rätten att få personuppgiftsbehandlingen begränsad.

Enligt vårt resonemang blir rätten att göra invändningar och rätten att begära att behandlingen begränsas till stora delar illusorisk vad gäller behandling av personuppgifter inom utlänningsdatalagens tillämpningsområde. Man skulle kunna argumentera för att det faktum att den registrerades möjligheter att nå reell framgång med en invändning eller en begäran är ytterst små i en viss verksamhet, innebär att det inte skulle finnas möjlighet att införa ett generellt undantag från dessa rättigheter. Skälet till detta skulle i så fall vara att ett sådant undantag inte är nödvändigt för att säkerställa nationella viktiga mål av generellt allmänt intresse eller något annat av de syften som anges i artikel 23.1 i dataskyddsförordningen. Finns det ingen risk för framgång med en invändning eller en begäran, utgör den inget reellt hot mot exempelvis nationella viktiga mål av allmänt intresse. Vi kan emellertid inte med säkerhet slå fast att det inte finns situationer då det kan finnas grund för en invändning eller en begäran. För att garantera att myndigheternas arbete kan fortsätta ostört, skulle man därför möjligtvis – med stöd av artikel 23.1 i dataskyddsförordningen – kunna föreskriva ett uttryckligt undantag från

Den registrerades rättigheter Ds 2017:45

172

rätten enligt artiklarna 18.1 och 21.1 att göra invändningar mot att personuppgifter behandlas och rätten att begära att behandlingen begränsas. Vi stannar emellertid vid bedömningen att en reglering som inskränker de registrerades rättigheter inte bör införas utan sakliga skäl bara för att – sannolikt i ringa omfattning – minska den administrativa bördan med att hantera invändningar eller krav på begränsningar.

Mot denna bakgrund är det vår uppfattning att en bedömning av om behandlingen ska begränsas får göras i varje fall där frågan aktualiseras enligt bestämmelserna i dataskyddsförordningen. Även intresseavvägningen mellan myndighetens skäl för behandlingen och den registrerades skäl mot denna, får enligt vår mening göras varje gång en registrerad gör en invändning mot behandlingen i enlighet med artikel 21 i dataskyddsförordningen. En annan sak är att bedömningen och intresseavvägningen i det stora flertalet fall borde kunna göras relativt standardiserat.

Underrättelse till mottagarna

Dataskyddsförordningens bestämmelser om underrättelse till mottagarna av personuppgifter vid rättelse, radering eller begränsning av behandling motsvarar vad som, genom en hänvisning till 28 §§ PuL, för närvarande gäller inom utlänningsdatalagens tillämpningsområde. Någon anledning att införa undantag från denna rättighet i utlänningsdatalagen har inte kommit fram.

14.7 Automatiserade beslut

Automatiserade beslut blir allt vanligare inom de svenska förvaltningsmyndigheterna.7 Det finns enligt vår mening därför anledning att i korthet kommentera artikel 22 i dataskyddsförordningen, som reglerar den registrerades rättigheter när det gäller automatiserat beslutsfattande.

7 Jfr förarbetena med förslag till ny förvaltningslag (prop. 2016/17:180 s. 315).

Ds 2017:45 Den registrerades rättigheter

173

Enligt artikel 22 i dataskyddsförordningen har den registrerade under vissa förutsättningar rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Profilering innebär, enligt artikel 4.4 i dataskyddsförordningen, varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Användningen av uttrycket inbegripet profilering i artikel 22 är enligt vår mening tvetydigt och innebär att bestämmelsen skulle kunna tolkas som att den avser alla typer av automatiserade beslut. Bestämmelsen i artikel 22 behandlas i skäl 71 till dataskyddsförordningen, som inte heller klargör om uttrycket inbegripet profilering är avsett att ses som en exemplifiering eller om det definierar bestämmelsens tillämpningsområde.

I 1995 års dataskyddsdirektiv regleras den registrerades rätt att motsätta sig automatiserat beslutsfattande i artikel 15, som i svensk rätt har genomförts genom 29 § PUL. Dessa två bestämmelser omfattar endast beslut som grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, dvs. så kallad profilering. Om avsikten vore att artikel 22 i dataskyddsförordningen skulle träffa alla typer av automatiserade beslut och således ha ett vidare tillämpningsområde än motsvarande bestämmelse i 1995 års dataskyddsdirektiv, borde detta enligt vår mening rimligtvis framgå av skälen till förordningen. I skäl 73 till dataskyddsförordningen, som behandlar rätten att i enlighet med artikel 23 i förordningen begränsa den registrerades rättigheter, nämns vidare endast profileringsbaserade beslut. Mot den bakgrunden bedömer vi att artikel 22 i dataskyddsförordningen endast är tillämplig för sådana automatiserade beslut som innebär att personuppgifter används för att bedöma personliga egenskaper hos en fysisk person och således innefattar profilering. Bestämmelsen i artikel 22 sätter därmed inga hinder för automatiserade beslut som inte innefattar profilering. Eftersom utlänningsdatalagen varken innehåller någon hänvisning till 29 §

Den registrerades rättigheter Ds 2017:45

174

PuL eller några uttryckliga bestämmelser om automatiserat beslutsfattande, åligger det de enskilda myndigheterna att ta ställning till om dataskyddsförordningen föranleder någon förändring vad gäller det automatiserade beslutsfattande som eventuellt förekommer inom myndigheterna.

14.8 Skadestånd

Enligt artikel 22 i 1995 års dataskyddsdirektiv ska medlemsstaterna föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling. Direktivet har i denna del genomförts i svensk rätt genom 48 § PuL. Utlänningsdatalagen hänvisar, genom 8 § 12, till denna bestämmelse.

Enligt 48 § PuL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat.

14.8.2 Dataskyddsförordningen

Enligt artikel 79.1 i dataskyddsförordningen har alla registrerade rätt till ett effektivt rättsmedel om de anser att deras rättigheter enligt förordningen har åsidosatts som en följd av att deras personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen. Enligt bestämmelsen gäller detta utöver rätten att lämna in ett klagomål till tillsynsmyndigheten. Om den personuppgiftsansvarige – eller personuppgiftsbiträdet – är en myndighet som agerar inom ramen för sin myndighetsutövning ska sådan talan, enligt artikel 79.2 i dataskyddsförordningen, väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige, eller personuppgiftsbiträdet, är etablerad.

Enligt artikel 82 i dataskyddsförordningen har varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen rätt till ersättning från den personuppgiftsansvarige

Ds 2017:45 Den registrerades rättigheter

175

eller personuppgiftsbiträdet för den uppkomna skadan. Enligt bestämmelsen är ansvaret solidariskt om flera personuppgiftsansvariga eller personuppgiftsbiträden har medverkat vid samma behandling. Det finns även en uttrycklig regressrätt mellan de ansvariga i en sådan situation. Den personuppgiftsansvarige – eller personuppgiftsbiträdet – ska dock undgå ansvar om denne visar att den inte på något sätt är ansvarig för den händelse som orsakat skadan.

I skäl 146 till dataskyddsförordningen förtydligas att behandling som strider mot dataskyddsförordningen även omfattar bl.a. behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Detta innebär enligt vår mening att även överträdelser av bestämmelser i de registerförfattningar som behålls eller införs i svensk rätt med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen (se kapitel 5) omfattas av förordningens bestämmelse om skadeståndsansvar.8

14.8.3 Dataskyddslagen

Dataskyddsutredningen har i sitt betänkande föreslagit att dataskyddslagen ska innehålla en bestämmelse som innebär att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Bestämmelsen beskrivs i Dataskyddsutredningens betänkande (SOU 2017:39 s. 304) som en upplysningsbestämmelse och finns i förslaget till 8 kap. 1 § dataskyddslagen.

14.8.4 Bedömning

Förslag: Rätten till ersättning enligt artikel 82 i dataskydds-

förordningen ska gälla även vid överträdelser av bestämmelser i dataskyddslagen och utlänningsdatalagen med tillhörande föreskrifter. Regleringen ska genomföras genom en hänvisning till den föreslagna 8 kap. 1 § dataskyddslagen.

8 Se även Dataskyddsutredningens betänkande (SOU 2017:39 s. 304 f.).

Den registrerades rättigheter Ds 2017:45

176

Vid genomförandet av 1995 års dataskyddsdirektiv bedömde man att personuppgiftslagens skadeståndsbestämmelse – tillsammans med tillsynsmyndighetens möjlighet till vitesföreläggande – utgjorde en effektiv och tillräcklig sanktion.9 Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 304) gjort bedömningen att den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, tillgodoses i svensk rätt genom möjligheten att vid allmän domstol föra talan om ersättning för den skada som en behandling av personuppgifter i strid med förordningen har gett upphov till.

Som nämnts ovan kommer, enligt vår bedömning, dataskyddsförordningens bestämmelser om skadestånd även utan hänvisning till förordningen att gälla även för överträdelse av utlänningsdatalagens bestämmelser. Det framgår enligt vår mening dock inte tydligt av artikel 82 i dataskyddsförordningen att skadeståndsansvaret även omfattar överträdelser av de nationella registerförfattningarnas bestämmelser. Vi anser därför att det finns anledning att göra en hänvisning i utlänningsdatalagen till den föreslagna 8 kap. 1 § dataskyddslagen om skadestånd. På detta sätt kommer det att stå fullständigt klart att dataskyddsförordningens bestämmelser om skadestånd gäller även vid överträdelser av utlänningsdatalagstiftningens bestämmelser.

14.9 Information om personuppgiftsincidenter

14.9.1 Dataskyddsförordningen

Om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om incidenten. Detta framgår av artikel 34.1 i dataskyddsförordningen. I artikel 34.3 a–c finns undantag från den personuppgiftsansvariges skyldighet att lämna sådan information till den registrerade. Information behöver inte lämnas om den personuppgiftsansvarige har vidtagit lämpliga tekniska och organisatoriska skyddsåtgärder (led a), om den personuppgiftsansvarige har vidtagit ytterligare

Ds 2017:45 Den registrerades rättigheter

177

åtgärder som innebär att det inte längre uppstår hög risk för de registrerades rättigheter och friheter (led b) eller om det skulle innebära en oproportionerlig ansträngning att lämna sådan information (led c). För det fall undantag enligt led c blir aktuellt ska allmänheten i stället informeras eller så ska en liknande åtgärd vidtas.

14.9.2 Bedömning

Förslag: Den registrerades rätt att få information om en person-

uppgiftsincident enligt artikel 34 i dataskyddsförordningen ska inte gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade.

Den personuppgiftsansvariges skyldighet att, enligt artikel 34 i dataskyddsförordningen, informera den registrerade om en inträffad personuppgiftsincident innebär en utökning jämfört med vad som för närvarande gäller. De befintliga undantagen i artikel 34.3 i dataskyddsförordningen innefattar inte situationer där det råder sekretess eller tystnadsplikt för vissa personuppgifter. Dataskyddsförordningens bestämmelse om information till den registrerade vid en personuppgiftsincident skulle därmed kunna innebära att den registrerade indirekt får information om att hans eller hennes personuppgifter behandlas av Migrationsverket, Polismyndigheten eller utlandsmyndigheterna, trots att det råder sekretess om detta förhållande gentemot den registrerade själv.

Det är inte helt enkelt att ge exempel på en sådan situation. Ett tänkbart scenario är om personen A söker asyl i Sverige och uppger förföljelse från sin make B. Senare söker också B asyl i Sverige, omedvetande om att även A sökt asyl här. Vid en incident som berör A:s ärende skulle B, utan den reglering vi föreslagit, ha rätt att få information om incidenten och därmed indirekt om att A befinner sig i Sverige.

Mot den bakgrunden föreslår vi att det i utlänningsdatalagen införs en bestämmelse med innebörden att bestämmelserna om den registrerades rätt att få information om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte gäller om den

Den registrerades rättigheter Ds 2017:45

178

personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. På detta sätt kommer nationella bestämmelser om sekretess eller tystnadsplikt att gå före den registrerades rätt att få information om inträffade incidenter.

Vi anser att ett sådant undantag kan göras med stöd av artikel 23.1 f i dataskyddsförordningen; har en sekretessbestämmelse införts i svensk rätt får det förutsättas att den tillkommit för att säkerställa ett viktigt mål av generellt allmänt intresse eller skyddet för rättsliga åtgärder. Begränsningen bör även vara nödvändig för att skydda de intressen som kommer till uttryck i de nationella sekretessbestämmelserna och utgöra en rimlig avvägning mellan dessa intressen och de registrerades intresse av skydd för den personliga integriteten. Begränsningen sker därmed, enligt vår mening, med respekt för andemeningen i de grundläggande rättigheter och friheter som kommer till uttryck i stadgan (se avsnitt 3.4.1).

Den föreslagna lydelsen motsvarar den reglering som Dataskyddsutredningen har föreslagit för 5 kap. 1 § dataskyddslagen, där undantag från rätten att få information om och tillgång till personppgifter enligt artiklarna 13–15 i dataskyddsförordningen regleras (se avsnitt 14.3.3). En sådan ordning skulle vidare motsvara det som enligt Utredningen om 2016 års dataskyddsdirektivs förslag till 3 kap. 11 § brottsdatalagen ska gälla i motsvarande situation i den verksamhet som styrs av 2016 års dataskyddsdirektiv.10

10 Se Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29).

179

15 Direktåtkomst och sekretessbrytande bestämmelser

15.1 Direktåtkomst

15.1.1 Proportionalitetsbedömning

Direktåtkomst är ett sätt att elektroniskt lämna ut uppgifter. I den mån utlämnandet innefattar personuppgifter utgör det en behandling av personuppgifter i dataskyddsförordningens mening.

Dataskyddsförordningen saknar, liksom 1995 års dataskyddsdirektiv, särskilda bestämmelser om elektroniskt utlämnande. Upplysningsvis kan sägas att skäl 31 till dataskyddsförordningen innehåller en skrivning om att ”offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid ska vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman”. Tagen ur sitt sammanhang skulle skrivningen kunna tolkas som ett hinder mot att etablera direktåtkomst mellan myndigheter. Den förekommer dock i samband med ett resonemang om vem som definitionsmässigt ska betraktas som mottagare av personuppgifter i dataskyddsförordningens mening och – indirekt – om möjligheten att göra undantag från viss informationsskyldighet gentemot registrerade.1Vi anser inte att skrivningen ska ges någon betydelse utanför detta mycket begränsade sammanhang.2

Enligt artikel 24.1 och artikel 32 i dataskyddsförordningen ska den personuppgiftsansvarige dock genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen

1 Jfr artikel 4.9 samt 13.1 e, 14.1 e, 15.1 c och 30.1 d i dataskyddsförordningen. 2 Motsatt uppfattning har redovisats i eSamverkansprogrammets vägledning ”Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form” s. 22.

Direktåtkomst och sekretessbrytande bestämmelser Ds 2017:45

180

utförs i enlighet med förordningen och att en lämplig säkerhetsnivå säkerställs. Enligt artikel 5.1 a i dataskyddsförordningen måste en personuppgiftsbehandling vidare alltid vara korrekt (skälig och rimlig) i förhållande till den registrerade. För att säkerställa att behandlingen av en personuppgift är skälig i förhållande till den registrerade ska det för varje behandling göras en proportionalitetsbedömning. I den bedömningen vägs behovet av den konkreta behandlingen mot den registrerades intresse av personlig integritet. En behandling av personuppgifter som innebär risker för den personliga integriteten får då genomföras endast om fördelarna med behandlingen står i rimlig proportion till riskerna. Säkerhetsåtgärder som minskar riskerna för den personliga integriteten har här stor betydelse.3

Rent allmänt kan nämnas att ett elektroniskt utlämnande av uppgifter bör medföra en större risk för otillbörliga integritetsintrång, eftersom det ger en större möjlighet att bearbeta och sprida informationen jämfört med ett utlämnande som sker i pappersform.4 Detta måste beaktas i den proportionalitetsbedömning som ska göras.

15.1.2 Innebörden av direktåtkomst

Direktåtkomst innebär att uppgifter, däribland personuppgifter, elektroniskt görs tillgängliga för en mottagare utanför myndigheten. Högsta förvaltningsdomstolen ansåg i rättsfallet HFD 2015 ref. 61 att det avgörande för om en direktåtkomst kan anses föreligga är om upptagningen redan i och med möjligheten att ta del av den kan anses förvarad hos den mottagande myndigheten i den mening som avses i 2 kap. 3 § TF. Enligt denna bestämmelse är så fallet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

3 Samma krav gäller enligt artikel 8 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, Europarådets konvention om skydd för enskilda vid automatiska databehandling av personuppgifter, nr 108, samt artikel 7 och 8 i EU:s stadga om de grundläggande rättigheterna (2010/C 83/02), jfr Datainspektionen Vägledning för integritetsanalys, september 2016 och Integritetsskyddskommitténs betänkande (SOU 2007:22 s. 449 f.). 4 Jfr departementspromemorian med förslag till domstolsdatalag (Ds 2013:10 s. 119 f.).

Ds 2017:45 Direktåtkomst och sekretessbrytande bestämmelser

181

Informationshanteringsutredningen har i sitt betänkande med förslag till ny myndighetsdatalag gjort följande sammanfattning av begreppet direktåtkomst (SOU 2015:39 s. 121 ff.).

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2011/12:45 s. 133). Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall. I förarbetena till 11 kap. 4 § OSL, som alltså reglerar överföring av sekretess vid direktåtkomst, uttalade sig regeringen om hur direktåtkomst bör definieras (prop. 2007/08:160 s. 164). Med en sådan åtkomst avsågs enligt regeringen att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. /.../ Den omständigheten att direktåtkomst till en viss mängd uppgifter innebär att de handlingar i vilka uppgifterna ingår anses expedierade till den mottagande myndigheten medför alltså i sin tur att handlingarna är att anse som förvarade, och därmed också som huvudregel som inkomna, hos den myndigheten i den mening som avses i 2 kap. 3 och 6 §§ TF. Handlingarna utgör genom direktåtkomsten således allmänna handlingar även hos den mottagande myndigheten. En direktåtkomst till sekretessreglerade uppgifter innebär vidare att det krävs en sekretessbrytande regel för att utlämnandet av uppgifterna inte ska innebära ett brott mot den sekretess som annars gäller.

Direktåtkomst innebär således ett elektroniskt utlämnande, som kan omfatta bland annat personuppgifter. Jämfört med ett elektroniskt utlämnande av uppgifter som sker efter en ”manuell” förfrågan är direktåtkomsten emellertid mycket mer omfattande. Den mottagande myndigheten tillåts ju söka fritt i den informationssamling som direktåtkomsten avser och samtliga handlingar som omfattas av direktåtkomsten anses ha expedierats i samma ögonblick som direktåtkomsten upprättas.5

Integritetsriskerna med direktåtkomst består således i att den mottagande myndigheten på egen hand får söka bland all

5 Jfr Informationshanteringsutredningens betänkande (SOU 2015:39 s. 136).

Direktåtkomst och sekretessbrytande bestämmelser Ds 2017:45

182

information som finns i den aktuella informationssamlingen utan att den utlämnande myndigheten har kontroll över vilka uppgifter som mottagaren tar del av. Direktåtkomsten kan också ge möjlighet för personal på den mottagande myndigheten att hämta hem informationen till sitt eget system och bearbeta den där.6Vidare innebär direktåtkomst att den mottagande myndigheten kan vara skyldig att i enlighet med offentlighetsprincipen lämna ut de personuppgifter som omfattas av direktåtkomsten. Givetvis gäller detta med den begränsning som föreskrivs i offentlighets- och sekretesslagen.

Det bör vidare nämnas att offentlighetsprincipen också omfattar uppgifter som ännu inte sammanställts hos en myndighet, men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder. En sökning är ett exempel på en sådan rutinbetonad åtgärd. Om direktåtkomst tillåter den mottagande myndigheten att göra en viss sökning i värdmyndighetens databas och den mottagande myndigheten har fått en begäran om att lämna ut en sammanställning av åtkomliga uppgifter i enlighet med tryckfrihetsförordningen, måste den mottagande myndigheten således göra en sökning och – om hinder inte möter på grund av sekretess – lämna ut de uppgifter sökningen resulterar i.

Den yttre ramen för den direktåtkomst som är tillåten inom utlänningsdatalagens tillämpningsområde framgår av 19 § utlänningsdatalagen.7 Bestämmelsens första stycke innebär att endast Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten, Skatteverket eller en part eller en parts ombud eller biträde får medges direktåtkomst till personuppgifter hos Migrationsverket. Direktåtkomst för en part eller dess ombud eller biträde får, enligt bestämmelsens andra stycke, endast avse personuppgifter i partens ärende. För att göra utlänningsdatalagen ändamålsenlig över tid har regeringen, enligt 19 § tredje stycket, möjlighet att meddela ytterligare föreskrifter

Ds 2017:45 Direktåtkomst och sekretessbrytande bestämmelser

183

om begränsningar av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst.8 Regeringen har även möjlighet att vidaredelegera föreskriftsrätten till myndighet i denna del.

Regeringen har utnyttjat sin föreskriftsrätt genom att i 813 §§utlänningsdataförordningen uttömmande reglera i vilka fall direktåtkomst får medges samt vilka personuppgifter som får omfattas av sådan åtkomst. Regleringen innebär sammanfattningsvis att Polismyndighetens och utlandsmyndigheternas direktåtkomst endast får avse de personuppgifter som dessa myndigheter behöver för att utföra vissa verksamheter som beskrivs i utlänningsdatalagens ändamålsbestämmelser (9 respektive 10 §§utlänningsdataförordningen). Säkerhetspolisens direktåtkomst ska begränsas till de personuppgifter som myndigheten behöver för att fullgöra sina uppgifter enligt utlänningslagen (2005:716), lagen (1991:527) om särskild utlänningskontroll och lagen (2001:82) om svenskt medborgarskap (11 § utlänningsdatalagen).

Försäkringskassans, Pensionsmyndighetens och Skatteverkets direktåtkomst är begränsad till de uppgifter myndigheterna behöver i viss utpekad verksamhet eller för handläggning av vissa utpekade ärenden. Den får därtill endast avse vissa specifikt uppräknade kategorier av personuppgifter (12 och 13 §§utlänningsdataförordningen).

Utlänningsdataförordningens bestämmelser om direktåtkomst innebär att en part eller dess ombud eller biträde för närvarande inte får medges direktåtkomst (19 § utlänningsdatalagen jämförd med 8 § utlänningsdataförordningen).

Enligt 14 § utlänningsdataförordningen får Migrationsverket meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter genom direktåtkomst. Verket får enligt samma bestämmelse även meddela föreskrifter om behörighets- och säkerhetskrav för att direktåtkomst till personuppgifter hos Migrationsverket ska få medges de myndigheter som anges i 19 § utlänningsdatalagen. Enligt vad vi erfarit finns det för närvarande inte några sådana föreskrifter. Av 14 § utlänningsdataförordningen framgår även att direktåtkomst inte får medges innan Migrationsverket har försäkrat sig om att den mottagande myndigheten uppfyller uppställda krav på behörighet och säkerhet.

8 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 91).

Direktåtkomst och sekretessbrytande bestämmelser Ds 2017:45

184

15.2 Sekretessbrytande bestämmelser

Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan.9 Därför finns i 20 § första stycket utlänningsdatalagen en sekretessbrytande bestämmelse som träffar Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till de personuppgifter som Migrationsverket behandlar.10 Bestämmelsen innebär att de tre myndigheterna har rätt att ta del av de personuppgifter om enskilda som Migrationsverket behandlar med stöd av samtliga primära ändamål i 11 § utlänningsdatalagen. Polismyndigheten har därutöver rätt att få tillgång till uppgifter som Migrationsverket enligt 14 § utlänningsdatalagen behandlar i sina register över fingeravtyck och fotografier.

I 20 § andra och tredje stycket utlänningsdatalagen finns sekretessbrytande bestämmelser som tar sikte på Migrationsverkets uppgiftslämnande i enskilda fall – t.ex via telefon eller e-post – till Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet.11

15.3 Bedömning

Förslag: Dataskyddsförordningen föranleder ingen ändring i sak

av utlänningsdatalagens och utlänningsdataförordningens bestämmelser om direktåtkomst. Detsamma gäller för de sekretessbrytande bestämmelser som finns i utlänningsdatalagen.

Om direktåtkomst innefattar personuppgifter innebär den också en behandling av sådana uppgifter. För den avsändande myndigheten består behandlingen av att den lämnar ut personuppgifter och för den mottagande myndigheten av att den samlar in dem.

Direktåtkomst regleras inte uttryckligen i vare sig 1995 års dataskyddsdirektiv eller i dataskyddsförordningen. Precis som

9 Se b.la. förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 83). 10 Sekretessbrytande bestämmelser som träffar Försäkringskassans, Pensionsmyndighetens och Skatteverkets direktåtkomst finns i annan lagstiftning (se förarbetena till utlänningsdatalagen, prop. 2015/16:65 s. 93). 11 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 93 f.).

Ds 2017:45 Direktåtkomst och sekretessbrytande bestämmelser

185

enligt 1995 års dataskyddsdirektiv är dock en av grundprinciperna för personuppgiftsbehandlingen enligt dataskyddsförordningen att behandlingen ska vara korrekt i förhållande till den registrerade. Korrektheten innefattar att behandlingen ska vara rimlig eller skälig. Vid bedömningen av om direktåtkomst mellan myndigheter är förenlig med dataskyddsförordningen måste man således göra en avvägning mellan de effektivitetsvinster och andra fördelar som direktåtkomst medför för de inblandade myndigheterna och parterna och de risker den innebär för den enskildes integritet. För att direktåtkomst ska vara tillåten måste det efter en sådan proportionalitetsbedömning konstateras att fördelarna med behandlingen står i rimlig proportion till riskerna. Av betydelse är också vilka säkerhetsåtgärder som kan vidtas för att minska riskerna för den personliga integriteten.

Dataskyddsförordningens krav på proportionalitet är inte något nytt. Samma principer gällde enligt 1995 års dataskyddsdirektiv. Vid tillkomsten av utlänningsdatalagen måste lagstiftaren därför ha gjort bedömningen att fördelarna med den direktåtkomst som tillåts enligt lagen och tillhörande förordning står i rimlig proportion till riskerna.

Vad gäller integritetsriskerna kan sägas att det är oundvikligt att direktåtkomst till de uppgifter som finns i Migrationsverkets ärendehanteringssystem avser ett stort antal fysiska personers personuppgifter. Det ligger vidare i verksamhetens natur att de personuppgifter som behandlas till stor del är av ett känsligt slag.

Direktåtkomst för Polismyndigheten och utlandsmyndigheten får endast omfatta sådana personuppgifter som myndigheterna behöver för verksamhet inom utlänningsdatalagens tillämpningsområde. Samma regler för behandlingen av personuppgifter kommer därmed att gälla för den mottagande myndigheten som för ”värdmyndigheten” i dessa fall, eftersom de båda omfattas av utlänningsdatalagen och utlänningsdataförordningen. Detta innebär att det skydd i form av ändamålsbegränsningar, behörighetsbegränsningar och sökbegränsningar som finns för personuppgifterna hos Migrationsverket även finns hos den mottagande myndigheten. Ändamåls- och behörighetsbegränsningarna säkerställer att tjänstemän på den mottagande myndigheten endast behandlar de personuppgifter som behövs för arbetsuppgifterna. Sökbegränsningarna innebär ett skydd mot att

Direktåtkomst och sekretessbrytande bestämmelser Ds 2017:45

186

de anställda på den mottagande myndigheten för egen del gör sökningar som inte är tillåtna. De bidrar dessutom till att de anställda inte får ta fram och sammanställa personuppgifter utifrån de förbjudna sökbegreppen efter begäran från allmänheten, vilket är av minst lika stor betydelse från integritetssynpunkt. Samtliga dessa omständigheter bidrar till att minska integritetsriskerna för den enskilde.

Liknande bestämmelser finns i de registerförfattningar som gäller för personuppgiftsbehandling i Säkerhetspolisens, Försäkringskassans, Pensionsmyndighetens och Skatteverkets verksamheter.12 Mot denna bakgrund och med hänsyn till att en avsaknad av direktåtkomst rimligtvis skulle innebära stora effektivitets- och rättsäkerhetsförluster, anser även vi att fördelarna med direktåtkomsten överväger de nackdelar i integritetshänseende som den medför. I avsnitt 18.2 gör vi vidare bedömningen att dataskyddsförordningen inte hindrar att nationella bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna tillkommit i laga ordning. Någon anledning att på grund av dataskyddsförordningen ändra utlänningsdatalagens och utlänningsdataförordningens bestämmelser om direktåtkomst finns enligt vår mening därmed inte. Det samma gäller de sekretessbrytande bestämmelser som finns i 20 § utlänningsdatalagen. Vi föreslår dock att 14 § utlänningsdatalagen, som reglerar Migrationsverkets register över fingeravtryck och fotografier, i sin helhet ska återfinnas i en ny 15 a § (se avsnitt 12.1.5). Med anledning av detta behöver mindre redaktionella ändringar göras i 20 § utlänningsdatalagen och 9 § utlänningsdataförordningen.

12 Se polisdatalagen (2010:361), lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration och lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Det är rimligt att anta att ett liknande skydd för den personliga integriteten kommer att finnas kvar även efter den pågående anpassningen av dessa registerförfattningar till EU:s nya dataskyddsreform (se exempelvis Utredningen om 2016 års dataskyddsdirektivs delbetänkande [SOU 2017:29]).

187

16 Tredjelandsöverföringar

I 8 § första stycket 8 utlänningsdatalagen finns en hänvisning till 33–35 §§ PuL, som gäller överföring av personuppgifter till tredjeland. Av 33 § första stycket PuL framgår att det är förbjudet att föra över personuppgifter som är under behandling till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Bestämmelsen i 34 § PuL innehåller undantag från förbudet; överföring av personuppgifter till tredjeland utan adekvat skyddsnivå är t.ex. tillåten om det behövs för fullgörande av vissa avtal eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. I 35 § PuL finns bestämmelser om regeringens föreskriftsrätt på området.

I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 96 ff.) gjorde regeringen bedömningen att personuppgiftslagens bestämmelser om tredjelandsöverföringar inte tillgodoser all sådan överföring av personuppgifter som är befogad inom utlänningsdatalagens tillämpningsområde. Som exempel nämndes att de aktuella myndigheterna kan ha behov av att föra över personuppgifter till exempelvis förtroendeadvokater i tredjeland när utlandsmyndigheter biträder svenska myndigheter med utredning i enskilda ärenden. Vidare nämndes sådana utlämnanden som behövs när Migrationsverket i ärenden om återvändande behöver ordna resehandlingar och mottagande i mottagarlandet. Slutligen behöver Polismyndigheten i verkställighetsärenden ibland kontakta utländska beskickningar för att fastställa en persons identitet eller för att få ut resehandlingar för personen. Regeringen bedömde att det som utgångspunkt är av allmänt intresse att personuppgifter som behandlas enligt utlänningslagstiftningen kan föras över till

Tredjelandsöverföringar Ds 2017:45

188

tredjeland när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt sätt.

Mot den bakgrunden finns det i 21 § första stycket utlänningsdatalagen en bestämmelse som innebär att det, trots hänvisningen till 33 § PuL, är tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1 utlänningsdatalagen (handläggning av ärenden eller biträde i sådana ärenden, kontroll av utlänning samt återsökning av rättslig information). En förutsättning är dock att det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen. Regeringen eller den myndighet som regeringen bestämmer kan, enligt 21 § andra stycket utlänningsdatalagen, meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland. Regeringen har utnyttjat denna möjlighet genom att i 15 § utlänningsdataförordningen föreskriva att personuppgifter som behandlas för återsökning av rättslig information enligt 12 § 1 utlänningsdatalagen (återsökning av rättslig information) får föras över till tredjeland endast om uppgifterna inte direkt pekar ut den registrerade. Utlänningsdatalagens bestämmelser bedömdes i denna del vara förenliga med 1995 års dataskyddsdirektivs bestämmelse om undantag från överföringsförbudet för ett viktigt allmänt intresse (artikel 26.1.d).1

16.2 Dataskyddsförordningen

Bestämmelser om under vilka förutsättningar personuppgifter får överföras till tredjeland finns i femte kapitlet (artikel 44–49) i dataskyddsförordningen. Bestämmelserna innebär i korthet följande. Överföring av personuppgifter till tredjeland får ske endast om den personuppgiftsansvarige uppfyller villkoren i kapitlet(artikel 44). Personuppgifter får överföras till ett tredjeland om kommissionen har beslutat att landet säkerställer en adekvat skyddsnivå för uppgifterna (artikel 45). Om ett sådant beslut saknas, får personuppgifter endast föras över till tredjeland efter att lämpliga skyddsåtgärder har vidtagits och under förutsättning att

1 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 98).

Ds 2017:45 Tredjelandsöverföringar

189

lagstadgade rättigheter och effektiva rättsmedel finns tillgängliga för de registrerade. De skyddsåtgärder som avses kan bl.a. bestå i rättsligt bindande och verkställbara instrument mellan offentliga myndigheter, bindande företagsbestämmelser eller standardiserade dataskyddsbestämmelser som antagits av kommissionen eller en tillsynsmyndighet (artikel 46). Artikel 47 innehåller närmare bestämmelse om bindande företagsbestämmelser. Artikel 48 reglerar rätten att lämna ut personuppgifter efter domstols- eller myndighetsbeslut från tredjeland.

Om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får personuppgifter föras över till ett tredjeland endast om vissa villkor, som framgår av artikel 49.1 a–g, är uppfyllda. Det undantag som enligt vår mening främst är aktuellt inom utlänningsdatalagens tillämpningsområde är det som framgår av led d. Enligt denna bestämmelse får överföring av personuppgifter ske till tredjeland om det är nödvändigt av viktiga skäl som rör allmänintresset. Av artikel 49.4 framgår att ett sådant allmänintresse ska vara erkänt i unionsrätten eller i den nationella rätten. Enligt artikel 49.5 får det vidare i medlemsstaternas nationella rätt uttryckligen fastställas gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland om det saknas beslut om adekvat skyddsnivå. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

16.3 Bedömning

Förslag: Det ska klargöras i utlänningsdatalagen att sådana

överföringar av personuppgifter till tredjeland som avses i 21 § första stycket den lagen får ske även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen.

Bestämmelsen om tredjelandsöverföringar i 21 § utlänningsdatalagen har införts med stöd av undantaget för viktiga allmänna intressen i 1995 års dataskyddsdirektiv. Den bedömning som gjordes i denna del har enligt vår mening alltjämt relevans. De ändamål som omfattas av undantaget i 21 § – handläggning av ärenden inom utlänningsdatalagens tillämpningsområde, kontroll

Tredjelandsöverföringar Ds 2017:45

190

av utlänningar samt återsökning av rättslig information – är vidare erkända i svensk rätt. Överföring till tredjeland kan enligt vår bedömning därmed ske för dessa ändamål med stöd av artikel 49.1 d i dataskyddsförordningen.

Undantagen i artikel 49 förutsätter inte reglering i nationell lagstiftning. De överföringar som omfattas av 21 § utlänningsdatalagen skulle enligt vår mening därmed få utföras även utan reglering i svensk registerförfattning. Vi anser dock att det även fortsättningsvis finns anledning att klargöra att de aktuella tredjelandsöverföringarna är tillåtna. Utlänningsdataförordningens ytterligare inskränkning av rätten att föra över personuppgifter för återsökning av rättslig information (15 §) innebär dessutom att de registrerades integritet skyddas i dessa situationer, vilket är förenligt med dataskyddsförordningens intentioner. Enligt vår bedömning rör det sig vidare om en sådan tillåten specificering av dataskyddsförordningens bestämmelser som medlemsstaterna har rätt att behålla med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen (se kapitel 5). Det bör dock uppmärksammas att undantagen i 21 § utlänningsdatalagen inte kommer att vara uttömmande; artikel 49 i dataskyddsförordningen ska tillämpas för sådana tredjelandsöverföringar som inte omfattas av utlänningsdatalagens och utlänningsdataförordningens bestämmelser. Systematiken stämmer överens med vad som för närvarande gäller i förhållande till undantagen i 34 § PuL.

Eftersom 21 § utlänningsdatalagen hänvisar till personuppgiftslagen måste en justering göras. Vi föreslår att bestämmelsen ska formuleras så att de uppräknade överföringarna ska få göras även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen. Formuleringen motsvarar de förutsättningar för undantag som framgår av artikel 49.1 i dataskyddsförordningen. För läsbarheten bör enligt vår mening även vissa ytterligare redaktionella ändringar göras. Dessa är emellertid inte avsedda att innebära någon ändring i sak.

191

17 Bevarande, avskiljande och gallring av personuppgifter

17.1 Bevarande av personuppgifter

I 8 § första stycket 2 och 3 utlänningsdatalagen finns hänvisningar till 8 och 9 §§ PuL. Delar av de sistnämnda bestämmelserna reglerar förhållandet mellan personuppgiftslagens bestämmelser och rätten att bevara handlingar. I 9 § används begreppen historiska, statistiska och vetenskapliga ändamål. Historiska ändamål innefattar här bevarande av handlingar för arkivändamål.1

Arkivering av handlingar innebär att de personuppgifter som ingår i handlingarna vidarebehandlas, dvs. behandlas för ett annat ändamål än det ursprungliga. Av 9 § första stycket d PuL framgår att personuppgifter inte får behandlas för ändamål som är oförenliga med det ändamål som uppgifterna samlades in för (finalitetsprincipen). Behandling av personuppgifter för bl.a. historiska ändamål ska, enligt 9 § andra stycket, emellertid inte ses som oförenlig med de ursprungliga ändamålen. Eftersom utlänningsdatalagens primära ändamålsbestämmelser är uttömmande har hänvisningen till 9 § PuL dock inte någon funktion i dessa fall. Endast vad gäller behandling för det sekundära ändamålet att tillhandahålla information (13 §) har finalitetsprincipen betydelse på utlänningsdatalagens tillämpningsområde (se avsnitt 8.2.1).2

Enligt 9 § första stycket i PuL är huvudregeln att personuppgifter inte får bevaras längre än vad som är nödvändigt med

1 Jfr förarbetena till personuppgiftslagen (prop. 1997/98:44 s 47 f.). 2 Jfr 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 265 ff. och s. 434).

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

192

hänsyn till det ursprungliga ändamålet. Bestämmelserna i personuppgiftslagen hindrar emellertid inte att myndigheter arkiverar och bevarar handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I dessa fall ska personuppgiftslagens begränsningar om lagringstid m.m. inte gälla (jfr 8 § andra stycket PuL). Enligt 8 § andra stycket utlänningsdatalagen har emellertid de gallringsbestämmelser som finns i den lagen eller i föreskrifter som har meddelats i anslutning till lagen, företräde före den rätt att arkivera och bevara handlingar som framgår av 8 § andra stycket PuL. Sådana gallringsbestämmelser finns för närvarande för Migrationsverkets register över fingeravtryck och fotografier i 3 § utlänningsdataförordningen. Dessa bestämmelser behandlas närmare i avsnitt 17.3.

För personuppgifter som behandlas för arkivändamål finns, enligt 9 § fjärde stycket PuL, vissa begränsningar för hur uppgifterna får användas. Sådana uppgifter får inte användas för att vidta åtgärder i fråga om den registrerade, om det inte görs med samtycke eller det annars finns synnerliga skäl med hänsyn till den registrerades intressen att göra detta. I 8 § andra stycket PuL finns dock ett undantag, som innebär att myndigheter får använda information i allmänna handlingar för att t.ex. vidta åtgärder beträffande enskilda. Bakgrunden till det aktuella undantaget har i doktrinen i första hand bedömts vara att myndigheternas arkiv enligt 3 § tredje stycket arkivlagen (1990:782) ska tillgodose bl.a. behovet av information för rättskipningen och förvaltningen.3

Av 9 § första stycket i PuL framgår att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt 9 § tredje stycket får personuppgifter dock bevaras för bl.a. historiska ändamål så länge det behövs för detta ändamål. Det kan i myndigheternas verksamhet även finnas anledning att elektroniskt bevara personuppgifter utan att formellt arkivera dem, t.ex. för att för framtida ärendehantering bevara en föredragningspromemoria från ett specifikt ärende. Av förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 101) framgår sammanfattningsvis följande. Bestämmelserna i 9 § första stycket i och tredje stycket PuL gäller för personuppgifter som inte finns i allmänna handlingar. Av de

3 Öman och Lindblom, Personuppgiftslagen (15 sept 2016, Zeteo), kommentaren till 8 §.

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

193

bestämmelserna följer att personuppgifter som huvudregel inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Det medför bland annat att personuppgifter i minnesanteckningar eller utkast till beslut eller skrivelser som behandlas av en tjänsteman i ett ordbehandlingsprogram och som inte har tagits om hand för arkivering, ska tas bort ut systemet eller avidentifieras när de inte längre behövs för sitt ändamål.

Hänvisningarna i utlänningsdatalagen till 8 och 9 §§ PuL innebär således i sammanfattning följande. Myndigheterna får, i enlighet med arkivreglerna, elektroniskt arkivera personuppgifter som samlats in med stöd av de primära ändamålsbestämmelserna i utlänningsdatalagen, oavsett om de före arkiveringstidpunkten förekommer i allmänna eller icke allmänna handlingar. De personuppgifter som har arkiverats får användas för att vidta åtgärder i fråga om den registrerade. För personuppgifter som bevaras utan att arkiveras (t.ex. i föredragningspromemorior) gäller att de får behandlas så länge det är nödvändigt för det ändamål de samlades in för.

17.1.2 Dataskyddsförordningen

Vidarebehandling av personuppgifter får, enligt artikel 5.1 b i dataskyddsförordningen, ske endast om den är förenlig med de ändamål som personuppgifterna samlades in för. Av bestämmelsen framgår dock att vidarebehandlingen ska anses vara förenlig med de ursprungliga ändamålen när den sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1.

Vi bedömer att hänvisningen till artikel 89.1 innebär att arkivering av personuppgifter endast anses förenlig med de ursprungliga ändamålen – och därmed tillåten – om sådana säkerhetsåtgärder som beskrivs i den senare artikeln vidtas. Av artikel 89.1 framgår att behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål samt statistiska ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Det framgår också att dessa skyddsåtgärder ska säkerställa

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

194

att det införs sådana tekniska och organisatoriska åtgärder som garanterar att principen om uppgiftsminimering följs. Som exempel nämns att pseudonymisering eller andra åtgärder som innebär att de registrerade inte kan identifieras ska användas när detta är möjligt med hänsyn till arkivändamålet.

Även vad gäller tiden för lagring av personuppgifter har arkiverade uppgifter en särställning i dataskyddsförordningen. Enligt artikel 5.1 e i förordningen får personuppgifter som enbart behandlas för arkivändamål av allmänt intresse lagras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål som de samlades in för. En förutsättning för att så ska få ske är enligt samma bestämmelse att det genomförs lämpliga tekniska och organisatoriska åtgärder för att säkerställa den registrerades rättigheter och friheter.

Även känsliga personuppgifter kan ingå i de handlingar som arkiveras. Dataskyddsförordningens huvudregel är i och för sig att behandling av känsliga personuppgifter är förbjuden (artikel 9.1). Som ett av undantagen anges dock i artikel 9.2 j att behandling av känsliga personuppgifter är tillåten om den är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Behandlingen måste då ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Detta innebär enligt vår bedömning i klartext att det krävs stöd i EU-rätten eller i nationell lagstiftning för att känsliga personuppgifter ska få behandlas för bl.a. arkivändamål. Den nationella regleringen måste vidare innehålla säkerhetsåtgärder till skydd för personuppgifterna.

Avslutningsvis vill vi i detta sammanhang nämna att dataskyddsförordningen innehåller vissa undantag från de registrerades rättigheter (tredje kapitlet i förordningen) för de personuppgifter som behandlas för arkivändamål av allmänt intresse. De undantag som är relevanta inom utlänningsdatalagens tillämpningsområde har vi behandlat i kapitel 14.

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

195

17.1.3 Dataskyddslagen

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 216) gjort bedömningen att den behandling av personuppgifter som myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar, utgör en vidarebehandling för arkivändamål av allmänt intresse. Dataskyddsutredningen menar att det därmed inte krävs någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs för att arkivering av personuppgifter i myndigheters verksamhet ska vara tillåten (jfr artikel 5.1 b i dataskyddsförordningen och skäl 50 till förordningen).

Dataskyddsutredningen har dock föreslagit att dataskyddslagen ska innehålla en bestämmelse som innebär att även känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Bestämmelsen finns enligt förslaget i 3 kap. 6 § första stycket dataskyddslagen. Enligt förslaget till andra stycket i samma bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse även i andra fall än de som avses i första stycket. Av Dataskyddsutredningens betänkande (SOU 2017:39 s. 223) framgår att bestämmelsen i andra stycket tar sikte på enskilda arkiv som inte omfattas av arkivlagstiftningen. Den är därmed inte av intresse för Migrationsverkets, Polismyndighetens och utlandsmyndigheternas personuppgiftsbehandling.

Dataskyddsutredningen har gjort bedömningen att den svenska lagstiftningen på arkivområdet är proportionell till det eftersträvade syftet och förenlig med det väsentliga innehållet i rätten till dataskydd. I denna bedömning har de skyddsåtgärder som finns i registerförfattningar samt i form av sekretessbestämmelser och gallringsföreskrifter vägts in. De nationella sekretessbestämmelserna bedöms vidare utgöra en särskild skyddsåtgärd, eftersom de har utformats efter en avvägning mellan behovet av skydd och intresset av insyn.4

4 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 221 och 227).

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

196

Som en ytterligare skyddsåtgärd för arkiverade personuppgifter har Dataskyddsutredningen föreslagit en bestämmelse i dataskyddslagen (4 kap. 1 §) som motsvarar 8 § andra stycket andra meningen och 9 § fjärde stycket PuL.5 Enligt den föreslagna bestämmelsen får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av bestämmelsen andra stycke framgår att begränsningen inte hindrar myndigheter från att använda personuppgifter som finns i allmänna handlingar.

Dataskyddsutredningen har därutöver föreslagit att dataskyddslagen ska innehålla en bestämmelse som innebär att behandling av personuppgifter om fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (3 kap. 11 §). Vi anser att denna bestämmelse inte är relevant inom utlänningsdatalagens tillämpningsområde. Anledningen till detta är att sådana uppgifter enligt artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Artikel 10 innehåller inga begränsningar, vilket enligt vår mening måste innebära att detta gäller även när uppgifterna behandlas för arkivändamål.

17.1.4 Bedömning

Förslag: Personuppgifter som behandlas eller har behandlats för

utlänningsdatalagens primära ändamål ska också få behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen.

Känsliga personuppgifter ska inom utlänningsdatalagens tillämpningsområde få behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att en myndighet ska kunna följa föreskrifter om bevarande och vård av arkiv. Regleringen ska genomföras genom en hänvisning i utlännings-

5 A.a. s. 222.

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

197

datalagen till den föreslagna 3 kap. 6 § första stycket dataskyddslagen.

Det ska även fortsättningsvis vara möjligt för Migrationsverket, Polismyndigheten och utlandsmyndigheterna att återanvända personuppgifter i arkiverade mål och ärenden. Regleringen ska genomföras genom en hänvisning i utlänningsdatalagen till den föreslagna 4 kap. 1 § dataskyddslagen.

Begreppet arkivändamål av allmänt intresse

I samtliga dataskyddsförordningens bestämmelser som rör bevarande av personuppgifter används begreppet arkivändamål av allmänt intresse för att beskriva de ändamål för behandling som träffas av bestämmelserna. Vi har tidigare gjort bedömningen att ett utlämnande av personuppgifter enligt tryckfrihetsförordningen utgör en uppgift av allmänt intresse (avsnitt 6.3.2). Bevarandet av allmänna handlingar är en förutsättning för att allmänheten, genom offentlighetsprincipen, ska få fullgod insyn i myndigheternas verksamhet. Redan i förarbetena till personuppgiftslagen gjorde också regeringen bedömningen att ett bevarande av allmänna handlingar utgör en arbetsuppgift av allmänt intresse.6 Mot den bakgrunden delar vi Dataskyddsutredningens bedömning att den behandling av personuppgifter som myndigheter och andra organ utför när de arkiverar handlingar enligt gällande arkivlagstiftning, sker för arkivändamål av allmänt intresse. Detta innebär att dataskyddsförordningens begrepp arkivändamål av allmänt intresse innefattar den arkivering av handlingar som utförs i myndigheternas verksamhet.

Vi anser dock att det endast är de personuppgifter som finns i handlingar som är avsedda att officiellt tas om hand för arkivering som kan anses behandlas för arkivändamål av allmänt intresse. Begreppet omfattar således inte sådant elektroniskt bevarande av personuppgifter som inte sker i arkiveringssyfte.

Detta innebär enligt vår mening att ett elektroniskt bevarande av exempelvis en föredragningspromemoria eller en rättsutredning som innehåller personuppgifter – och som inte formellt arkiveras –

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

198

måste ske enligt de vanliga reglerna i dataskyddsförordningen och utlänningsdatalagen.

Arkivering omfattas av utlänningsdatalagens tillämpningsområde

Genom arkivering tas handlingar från en myndighets kärnverksamhet om hand och bevaras, antingen av myndigheten själv eller av en arkivmyndighet. Enligt huvudregeln får informationen i dessa handlingar under vissa förutsättningar fortfarande användas för att vidta åtgärder beträffande enskilda, trots att arkivering har skett (8 § andra stycket PuL). Detta gäller även på utlänningsdatalagens tillämpningsområde (8 § första stycket 2 utlänningsdatalagen). Enligt förslaget i Dataskyddsutredningens betänkande (SOU 2017:39) ska dataskyddslagen innehålla motsvarande bestämmelser.

För oss är det en självklarhet att personuppgifter som härrör från en myndighets kärnverksamhet fortsätter vara en del av denna verksamhet även efter det att handlingarna de ingår i har arkiverats, åtminstone så länge arkiveringen sker hos myndigheten själv. När handlingarna lämnas över till en arkivmyndighet och inte längre finns kvar hos Migrationsverket, Polismyndigheten eller utlandsmyndigheterna torde utlänningsdatalagen inte heller längre vara tillämplig, eftersom myndigheterna då inte själva behandlar personuppgifterna i handlingarna.

Att arkivering av personuppgifter som härrör från de verksamheter som omfattas av utlänningsdatalagen faller under lagens tillämpningsområde förefaller också vara utgångspunkten i de tidigare förarbetena till lagen. Utlänningsdatalagen gäller för Migrationsverkets, Polismyndighetens och utlandsmyndigheternas personuppgiftsbehandling i de verksamheter som framgår av 2 och 3 §§. För det fall lagstiftaren hade ansett att arkiverade handlingar inte längre utgör en del av dessa verksamheter skulle en hänvisning till personuppgiftslagens bestämmelser om rätten för myndigheter att arkivera allmänna handlingar inte fyllt någon funktion.

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

199

Komplettering av ändamålsbestämmelserna

Enligt utlänningsdatalagens ändamålsbestämmelser får personuppgifter behandlas för att utföra vissa generellt angivna arbetsuppgifter (11 och 12 §§). Personuppgifter som behandlats för dessa ändamål får även behandlas om det är nödvändigt för att tillhandahålla information i vissa fall (13 §).

Arkivering av personuppgifter omfattas enligt vår mening inte av utlänningsdatalagens ändamålsbestämmelser. Genom hänvisningen till 8 § andra stycket PuL klargörs emellertid att arkivering av personuppgifter inom utlänningsdatalagens tillämpningsområde ändå får ske. Dataskyddslagen kommer enligt Dataskyddsutredningens förslag inte att innehålla någon bestämmelse som motsvarar 8 § andra stycket PuL.7 Anledningen till detta är, som vi förstått det, att det framgår av artikel 5.1 b i dataskyddsförordningen att vidarebehandling av personuppgifter för bl.a. arkivändamål av allmänt intresse ska anses vara förenlig med de ursprungliga ändamålen.8

Utlänningsdatalagens primära ändamålsbestämmelser är emellertid avsedda att vara uttömmande, vilket innebär att det för primära ändamål aldrig blir aktuellt för myndigheterna att bedöma om behandling för andra ändamål är förenligt med finalitetsprincipen. Den möjlighet som finns att vidarebehandla insamlade personuppgifter i enlighet med finalitetsprincipen omfattar vidare endast tillhandahållande av information och kan därmed enligt vår mening inte anses omfatta behandling för arkivändamål. Mot den bakgrunden väcker enligt vår mening det faktum att regleringen i dataskyddsförordningen av rätten att behandla personuppgifter för arkivändamål framgår i anslutning till finalitetsprincipen (se avsnitt 8.4 frågor kring om man då kan tillämpa den del av bestämmelsen som tillåter arkivering.

I skäl 50 till dataskyddsförordningen anges att om behandling av personuppgifter är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange

7 Se Dataskyddsutredningens betänkande (SOU 2017:39). 8 A.a. s. 216.

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

200

för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Därefter anges att ytterligare behandling för bl.a. arkivändamål av allmänt intresse bör betraktas som förenlig och laglig behandling av uppgifter. Detta skulle enligt vår mening kunna tolkas som att arkivering av personuppgifter alltid är tillåten, även om en registerförfattning har uttömmande ändamålsbestämmelser.

För att undanröja de tvivel som kan uppstå gällande detta och göra det helt klart för tillämparen att bestämmelserna i utlänningsdatalagen inte hindrar att personuppgifter behandlas för arkivändamål av allmänt intresse, anser vi att detta uttryckligen bör framgå av utlänningsdatalagen. Detta utgör enligt vår mening ett sådant införlivande av dataskyddsförordningen som är tillåtet enligt skäl 8 till förordningen (se avsnitt 5.3).

För att utlänningsdatalagens bestämmelse ska motsvara artikel 5.1 b i dataskyddsförordningen bör den utöver arkivändamål av allmänt intresse även omfatta vetenskapliga eller historiska forskningsändamål samt statistiska ändamål. Den bör även innehålla en hänvisning till artikel 89.1 i förordningen. På detta sätt klargörs att det även krävs sådana säkerhetsåtgärder som framgår av den senare bestämmelsen för att behandling för bl.a. arkivändamål ska vara tillåten. Vi behandlar dessa säkerhetsåtgärder i kommande avsnitt.

Personuppgifter som behandlats med stöd av brottsdatalagen

Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 287) gjort bedömningen att behandling för arkivändamål omfattas av dataskyddsförordningens tillämpningsområde, oavsett om det är en i dataskyddsdirektivets mening behörig myndighet som arkiverar personuppgifterna eller om de överlämnas till en arkivmyndighet. För att ge ett konkret exempel; när Polismyndigheten utför gränskontroll i brottsbekämpande syfte kommer de aktuella personuppgifterna att behandlas enligt brottsdatalagen och Polismyndighetens registerförfattning. När handlingarna i ärendet därefter arkiveras kommer personuppgiftsbehandlingen däremot att utföras med stöd av dataskyddsförordningen

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

201

Enligt vad vi erfarit vid samråd med Utredningen om 2016 års dataskyddsdirektiv kommer den utredningen att ge förslag på en reglering av vilken prövning som ska göras innan personuppgifter, som behandlas med stöd av brottsdatalagen, får behandlas för ändamål utanför den lagens tillämpningsområde. Vi kommer därmed inte att behandla den frågan i vår promemoria.

Hänvisning till dataskyddslagen och säkerhetsåtgärder

Som vi konstaterat i avsnitt 17.1.2 krävs det stöd i EU-rätten eller i nationell rätt för att känsliga personuppgifter ska få behandlas för arkivändamål av allmänt intresse (jfr artikel 9.2 j i dataskyddsförordningen).

Rätten att behandla personuppgifter (även känsliga) för arkivändamål framgår för närvarande genom utlänningsdatalagens hänvisning till 8 och 9 §§ PuL. Utlänningsdatalagens bestämmelser om under vilka förutsättningar känsliga personuppgifter får behandlas i övrigt är uttömmande (se kapitel 12). Mot den bakgrunden och då personuppgiftslagen ska upphävas, föreslår vi att stöd för att behandla känsliga personuppgifter även för arkivändamål skapas på utlänningsdatalagens tillämpningsområde genom en hänvisning till den föreslagna 3 kap. 6 § första stycket dataskyddslagen. Enligt denna bestämmelse får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Enligt Dataskyddsutredningens bedömning får arkivmaterial med stöd av 3 kap. 6 § dataskyddslagen även tas om hand av en arkivmyndighet.9

Vad gäller de skyddsåtgärder som enligt artikel 5.1 b, 9.2 j och 89.1 i dataskyddsförordningen krävs för de personuppgifter som behandlas för bl.a. arkivändamål av allmänt intresse kan följande sägas.

Skydd för arkiverade personuppgifter finns i svensk rätt i form av sekretessbestämmelser och gallringsföreskrifter. Vidare utgör de behörighets- och sökbegränsningar som finns i utlänningsdatalagen

9 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 222).

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

202

sådana skyddsåtgärder som avses i dataskyddsförordningen. Ytterligare skyddsåtgärder för personuppgifter som behandlas för arkivändamål m.m. utgörs av utlänningsdatalagens bestämmelse om avskiljande och gallring. Våra överväganden i denna del finns i avsnitt 17.2.2 och 17.3.3.

Sammantaget anser vi att den befintliga regleringen i utlänningsdatalagen, tillsammans med övriga nationella föreskrifter, är tillräcklig för att säkerställa den registrerades rättigheter och intressen vid de aktuella myndigheternas behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

För närvarande gäller 8 § andra stycket andra meningen och 9 § fjärde stycket PuL för personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde. Motsvarande bestämmelse kommer enligt Dataskyddsutredningens förslag att finnas i 4 kap. 1 § dataskyddslagen. Bestämmelsen innebär att personuppgifter som behandlas endast för arkivändamål av allmänt intresse inte får användas för att vidta åtgärder i fråga om den registrerade, om det inte finns synnerliga skäl för detta med hänsyn till den registrerades vitala intressen. Undantag görs dock för myndigheter som använder personuppgifter som finns i allmänna handlingar.

Vi föreslår att det i utlänningsdatalagen görs en hänvisning till 4 kap. 1 § dataskyddslagen. Genom en sådan hänvisning kommer det även fortsättningsvis att stå klart för tillämparen att de aktuella myndigheterna får återanvända de personuppgifter som finns i arkiverade ärenden. En förutsättning för detta är enligt vår mening dock att myndigheterna använder personuppgifterna för ett ändamål som omfattas av utlänningsdatalagen.

17.2 Avskiljande av personuppgifter

Av 22 § första stycket utlänningsdatalagen framgår att personuppgifter som har behandlats för ändamål som anges i 11 § 1–4 och 13 § i den lagen ska avskiljas så att tillgången till dem begränsas om de inte längre behövs i myndighetens löpande verksamhet. De personuppgifter som avses är de som har behandlats för hand-

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

203

läggning av ärenden eller för en myndighets biträde i ärenden, för kontroll av utlänning, för utförande av arbetsuppgifter som gäller mottagande och bosättning och för framställning av statistik. Även personuppgifter som har behandlats för att tillhandahålla information till andra myndigheter m.fl. avses.

Enligt 22 § andra stycket utlänningsdatalagen kan regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, meddela ytterligare föreskrifter om avskiljande av personuppgifter. Genom 16 § utlänningsdataförordningen har regeringen gett Migrationsverket möjlighet att under vissa förutsättningar meddela föreskrifter om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Av förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 103) framgår sammanfattningsvis följande. Arkivlagens bestämmelser om bevarande och gallring ska gälla för personuppgifter som behandlas automatiserat. Detta innebär ett behov av att överväga särskilda regler, som säkerställer att uppgifter som inte längre behövs i verksamheten bevaras i myndigheternas datasystem på ett sätt som gör att de inte finns tillgängliga för samtliga handläggare. Uppgifter som behandlas för ändamålen att handlägga ärenden, bedriva utlänningskontroll och mottagningsverksamhet är ofta av integritetskänslig karaktär och ofta tillgängliga för många anställda på myndigheterna. Regeringen anser därför att de uppgifter som inte längre är nödvändiga för den löpande verksamheten, t.ex. för att handläggningen av ett ärende har avslutats, ska avskiljas och inte längre vara tillgängliga för all den personal som arbetar i sådan verksamhet. Av 2014 års utlänningsdatautrednings betänkande (SOU 2015:76 s. 327) framgår att avskiljandet inte får innebära informationsförlust av något slag.

17.2.2 Bedömning

Bedömning: Dataskyddsförordningen föranleder ingen ändring

av utlänningsdatalagens och utlänningsdataförordningens bestämmelser om avskiljande av personuppgifter.

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

204

Den personuppgiftsansvarige är, enligt artikel 24.1 och artikel 32 i dataskyddsförordningen, skyldig att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska, enligt samma bestämmelser, ske bl.a. genom att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i denna del återfinns även i de allmänna principer för behandling av personuppgifter som framgår av artikel 5.1 f i dataskyddsförordningen.

Utifrån den beskrivning av begreppet avskiljande som finns i förarbetena till utlänningsdatalagen (se föregående avsnitt) bör ett avskiljande innefatta en teknisk åtgärd som får till följd att de aktuella personuppgifterna inte längre är åtkomliga för all den personal som tidigare haft åtkomst till dem. Beroende på vilka andra säkerhetsåtgärder som vidtas (t.ex. om loggning sker och vilken uppföljning av loggningen som i så fall utförs) torde avskiljandet innebära att den personuppgiftsanvariga myndigheten får bättre kontroll över vilka anställda som bereder sig tillgång till de aktuella uppgifterna.

Huvudregeln för behandling av personuppgifter är, både enligt personuppgiftslagen och enligt dataskyddsförordningen, att uppgifterna inte får bevaras/förvaras under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas (se 9 § första stycket i PuL och artikel 5.1 e i dataskyddsförordningen). Undantag görs dock för personuppgifter som behandlas för arkivändamål (9 § tredje stycket PuL och artikel 5.1 e i dataskyddsförordningen). Ett exempel på personuppgifter som ska avskiljas är uppgifter som finns i handlingar som tagits om hand för arkivering av myndigheten.10

Åtgärder som säkerställer en lämplig säkerhetsnivå ska förvisso vidtas av de personuppgiftsansvariga även utan bestämmelser i registerförfattningar. Vi anser dock att bestämmelser om vilka säkerhetsåtgärder som ska vidtas i en viss verksamhet utgör sådana specifika krav på personuppgiftsbehandling som enligt artikel 6.2 i dataskyddsförordningen får fastställas genom nationella registerförfattningar (se kapitel 5). Dataskyddsförordningen hindrar därmed inte att utlänningsdatalagens materiella bestämmelser om avskiljande finns kvar.

10 Se 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 327 f.).

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

205

I sitt betänkande (SOU 2015:73 s. 327 f.) har 2014 års utlänningsdatautredning gjort noggranna överväganden av behovet att avskilja personuppgifter inom utlänningsdatalagens tillämpningsområde och av vilka personuppgifter som ska omfattas av denna skyldighet. Dessa överväganden har legat till grund för den reglering som finns i dag. I avsnitt 18.2 gör vi vidare bedömningen att dataskyddsförordningen inte hindrar att nationella bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna tillkommit i laga ordning.

Mot den bakgrunden och med hänsyn till ramen för vårt uppdrag, anser vi att utlänningsdatalagens och utlänningsdataförordningens bestämmelser om avskiljande av personuppgifter samt om föreskriftsrätten på området ska finnas kvar i sin nuvarande lydelse.

17.3 Gallring av personuppgifter

17.3.1 Arkivreglerna i korthet

Av 10 § arkivlagen (1990:782) framgår att allmänna handlingar får gallras, men att det vid gallring alltid ska beaktas bl.a. att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose syftet med arkivbildningen. Detta syfte framgår av 3 § tredje stycket arkivlagen och utgörs av rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Av 10 § tredje stycket arkivlagen framgår att avvikande bestämmelser om gallring i annan lag eller i förordning gäller i stället för arkivlagens bestämmelser. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.

Många svenska registerförfattningar, däribland utlänningsdatalagen, innehåller bestämmelser om gallring. Enligt 15 § andra

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

206

stycket 2 utlänningsdatalagen har regeringen rätt att meddela föreskrifter om gallring av känsliga personuppgifter. Några sådana föreskrifter finns dock inte i utlänningsdataförordningen. Regeringen har även, enligt 14 § tredje stycket 2 utlänningsdatalagen, rätt att meddela föreskrifter om gallring vad gäller Migrationsverkets register över fingeravtryck och fotografier. Denna rätt har regeringen utnyttjat genom att i 3 § utlänningsdataförordningen föreskriva att en uppgift i detta register ska gallras när den registrerade blir svensk medborgare och i andra fall senast tio år efter det att uppgiften registrerades. Som vi nämnt i föregående avsnitt har de gallringsbestämmelser som finns i utlänningsdatalagen eller i föreskrifter som har meddelats i anslutning till den lagen, företräde före den rätt att arkivera och bevara handlingar som framgår av 8 § andra stycket PuL (8 § andra stycket utlänningsdatalagen).

I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 77 och 102) gjorde regeringen följande bedömning. Dagens teknik medför att en i princip obegränsad mängd personuppgifter kan bevaras elektroniskt hos myndigheterna. Ett elektroniskt bevarande ökar möjligheten att på ett enkelt sätt söka och sammanställa uppgifter, något som också kan öka risken för integritetsintrång. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs i en myndighets verksamhet gallras ur myndighetens datasystem. Det finns omständigheter som talar för att särskilda bestämmelser om gallring ska införas i utlänningsdatalagen, bl.a. mängden personuppgifter och registrerade samt att behandlingen i många fall sker i myndighetsutövning och utan den enskildes samtycke. Många av personuppgifterna är dessutom integritetskänsliga. De omständigheter som talar mot särskilda gallringsbestämmelser är bl.a. att utgångspunkten är att automatiserat behandlade personuppgifter i allmänna handlingar ska bevaras. Det finns också ofta ett behov av att ta fram uppgifter från tidigare ärenden vid handläggning av ärenden hos Migrationsverket. Vidare talar allmänhetens intresse av insyn i verksamheten för att bevarande bör vara utgångspunkten. Mot denna bakgrund bedömer regeringen att någon generell gallringsbestämmelse inte bör föras in i utlänningsdatalagen. Det kan dock finnas behov av vissa specifika gallringsregler, särskilt när det gäller känsliga personuppgifter. Dessa behöver kunna utformas

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

207

på ett sätt som är anpassat till den tekniska utvecklingen och Migrationsverkets över tid varierande behov. Det är därför mest lämpligt att gallringsbestämmelser ges på förordningsnivå.

17.3.3 Bedömning

Bedömning: Dataskyddsförordningen föranleder inte någon

ändring i sak av utlänningsdatalagens och utlänningsdataförordningens bestämmelser om gallring.

Av förarbetena till utlänningsdatalagen framgår att avsikten med de befintliga gallringsbestämmelserna har varit att främja de registrerades personliga integritet. Det faktum att arkivlagstiftningens gallringsbegrepp används och att åtgärden därmed innebär att de aktuella uppgifterna raderas även om de finns i allmänna handlingar får också till följd att bestämmelserna fullt ut får den avsedda effekten (jfr 10 § tredje stycket arkivlagen och 14 § arkivförordningen).

Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 282 ff.) föreslagit att – vid implementeringen av direktivet – orden bevarande och gallring bara ska användas i den betydelse de har i arkivlagstiftningen. Syftet med detta uppges vara att tydligare skilja mellan arkivrättsliga regler och regler om dataskydd. Utredningen anför att gallringsbestämmelserna i myndigheternas registerförfattningar syftar till att skydda de enskildas integritet, medan gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning. I brottsdatalagen och dess tillhörande registerförfattningar bör, enligt utredningen, regleringen därför i stället utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål. Det är rimligt att anta att förslaget innebär att bestämmelser om gallring kommer att utmönstras ur dessa registerförfattningar och ersättas med en sådan reglering. Utredningen kommer dock inte förrän i sitt slutbetänkande att ge förslag till hur de registerförfattningar som kompletterar brottsdatalagen ska förändras.

Som vi redogjort för i avsnitt 17.2.2 innebär ett avskiljande av personuppgifter att endast en begränsad krets anställda har teknisk åtkomst till dem. Gallring innebär i sin tur att personuppgifterna

Bevarande, avskiljande och gallring av personuppgifter Ds 2017:45

208

raderas eller åtminstone att information går förlorad, även om uppgifterna finns i sådana allmänna handlingar som enligt huvudregeln ska tas om hand för arkivering. Den typ av begränsning av behandling som Utredningen om 2016 års dataskyddsdirektiv beskriver i sitt delbetänkande skulle, som vi förstår det, innebära att de aktuella uppgifterna finns kvar i myndigheternas databaser om de ingår i sådana allmänna handlingar som ska arkiveras. En sådan bestämmelse skulle därmed inte innebära samma definitiva förlust av information som en gallringsbestämmelse, men ändå utgöra ett skydd för de registrerades personliga integritet. Detta förefaller enligt vår mening vara en ändamålsenlig reglering.

Utredningen om 2016 års dataskyddsdirektivs förslag har emellertid ännu inte lett till lagstiftning. Eftersom gallringsbestämmelserna utgör ett skydd för de registrerades integritet (jfr artikel 5.1 f, artikel 24.1 och artikel 32 i dataskyddsförordningen) föranleder dataskyddsförordningen enligt vår bedömning inte heller någon ändring av bestämmelserna. Dessa är snarare i linje med dataskyddsförordningens huvudregel att personuppgifter inte ska behandlas (dvs. inte ens lagras) längre än vad som behövs för de ändamål som uppgifterna behandlas för. I avsnitt 18.2 gör vi vidare bedömningen att dataskyddsförordningen inte hindrar att nationella bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna tillkommit i laga ordning. Mot den bakgrunden bedömer vi att utlänningsdatalagens och utlänningsdataförordningens materiella bestämmelser om gallring samt om regeringens föreskriftsrätt på området kan finnas kvar oförändrade.

När dataskyddsförordningen börjar tillämpas ska personuppgiftslagen upphävas.11 Det krävs därmed redaktionella ändringar i den bestämmelse som reglerar förhållandet mellan utlänningsdatalagens bestämmelser om gallring och rätten att behandla uppgifter för arkivändamål (för närvarande en hänvisning till personuppgiftslagen i 8 § andra stycket utlänningsdatalagen). Man kan förvisso, enligt vår bedömning, diskutera om bestämmelsen egentligen tillför något. Gallringsbestämmelser i annan lag eller förordning har företräde före arkivlagens bestämmelser (10 § tredje stycket arkivlagen). Personuppgifter som har gallrats med stöd av utlännings-

11 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).

Ds 2017:45 Bevarande, avskiljande och gallring av personuppgifter

209

datalagen kan rimligtvis inte arkiveras. Bestämmelsen har vid utlänningsdatalagens tillkomst dock ansetts fylla en klargörande funktion.12 Mot den bakgrunden och med hänsyn till att dataskyddsförordningen inte föranleder någon ändring av bestämmelsen, anser vi att den kan finnas kvar. Den bör dock placeras i anslutning till den bestämmelse om rätten att behandla bl.a. personuppgifter för arkivändamål som vi har föreslagit (avsnitt 17.1.4).

12 Se förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 48).

211

18 Föreskriftsrätten

Utlänningsdatalagen och utlänningsdataförordningen innehåller en mängd bestämmelser om föreskriftsrätt för regeringen eller de myndigheter regeringen bestämmer (i praktiken Migrationsverket och Polismyndigheten). Exempelvis får regeringen eller den myndighet som regeringen bestämmer, enligt 23 § utlänningsdatalagen, meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter. Regeringen har utnyttjat denna föreskriftsrätt genom att, i 17 § utlänningsdataförordningen, ge Migrationsverket rätt att under vissa förutsättningar meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. Enligt 18 och 19 §§utlänningsdataförordningen får Migrationsverket respektive Polismyndigheten vidare meddela ytterligare föreskrifter om verkställighet av utlänningsdatalagen och utlänningsdataförordningen inom sina ansvarsområden. Av 20 § utlänningsdataförordningen framgår att Migrationsverket och Polismyndigheten ska ge Datainspektionen tillfälle att yttra sig innan de meddelar föreskrifter med stöd av förordningen i frågor som berör särskilda risker för intrång i den personliga integriteten. I övrigt behandlar vi utlänningsdatalagens och utlänningsdataförordningens bestämmelser om föreskriftsrätt i tidigare kapitel (se bl.a. kapitel 12, 13 och 17).

Föreskriftsrätten Ds 2017:45

212

18.2 Bedömning

Bedömning: Dataskyddsförordningen föranleder ingen ändring

av utlänningsdatalagens och utlänningsdataförordningens bestämmelser om föreskriftsrätt.

Medlemsstaterna har, enligt artikel 6.2 och 6.3 i dataskyddsförordningen, rätt att i nationell lagstiftning behålla eller införa mer specifika bestämmelser för personuppgiftsbehandling. Detta kan ske exempelvis genom nationella registerförfattningar (se vidare kapitel 5). Varken artikel 6.2 eller 6.3 innehåller något krav på att de bestämmelser som avses måste regleras i lag. Det är därmed vår uppfattning att det bör vara upp till den enskilda medlemsstaten på vilken nivå i normhierarkin sådana bestämmelser införs. I enlighet med detta ställningstagande hindrar dataskyddsförordningen inte att bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift. Detta förutsätter naturligtvis att föreskrifterna tillkommit i laga ordning.

Mot den bakgrunden anser vi att dataskyddsförordningen inte föranleder någon ändring av den föreskriftsrätt som genom utlänningsdatalagens och utlänningsdataförordningens bestämmelser tilldelats regeringen, Migrationsverket och Polismyndigheten.

213

19 Överklagandebestämmelser

Utlänningsdatalagen hänvisar, genom 8 § första stycket 13, till 51 § första stycket, 52 § första stycket och 53 § PuL.

Enligt 51 § första stycket PuL får tillsynsmyndighetens beslut enligt personuppgiftslagen om annat än föreskrifter överklagas hos allmän förvaltningsdomstol.

Av 52 § första stycket PuL framgår att en myndighets beslut enligt den lagen i vissa fall får överklagas hos allmän förvaltningsdomstol. Detta gäller beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Av förarbetena till 52 § PuL (prop. 2005/06:173 s. 51 f.) framgår att möjligheten att överklaga de beslut som myndigheter fattar i sin egenskap av personuppgiftsansvariga inte har sin grund i 1995 års dataskyddsdirektiv, utan motiveras av allmänna förvaltningsrättsliga principer om att förvaltningsbeslut som direkt berör en enskild person ska kunna överprövas av domstol.

Enligt 53 § PuL får andra beslut enligt den lagen än de som avses i 47, 51 och 52 §§ inte överklagas. Indirekt regleras här således en överklaganderätt vad gäller de beslut som en förvaltningsrätt enligt 47 § PuL har fattat efter en ansökan av tillsynsmyndigheten om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

19.2 Dataskyddsförordningen och stadgan

Artikel 78 i dataskyddsförordningen reglerar rätten till ett effektivt rättsmedel mot tillsynsmyndighetens beslut. Här framgår att varje fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot

Överklagandebestämmelser Ds 2017:45

214

ett rättsligt bindande beslut som meddelats av en tillsynsmyndighet rörande dem (led 1). Det framgår också att varje registrerad person har rätt till ett effektivt rättsmedel om den behöriga tillsynsmyndigheten inte behandlar ett klagomål. Detsamma gäller om tillsynsmyndigheten inte informerar den registrerade inom tre månader om hur arbetet med det klagomål som getts in fortskrider eller vilket beslut som har fattats med anledning av klagomålet (led 2). Att det är ett domstolsförfarande som avses i led 1 och 2 förstås av led 3. Här framgår att talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

Enligt artikel 79.1 i dataskyddsförordningen har alla registrerade rätt till ett effektivt rättsmedel om de anser att deras rättigheter enligt förordningen har åsidosatts som en följd av att deras personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen. Enligt bestämmelsen gäller detta utöver rätten att lämna in ett klagomål till tillsynsmyndigheten. Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet som agerar inom ramen för sin myndighetsutövning ska sådan talan, enligt artikel 79.2 i dataskyddsförordningen, väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige – eller personuppgiftsbiträdet – är etablerad.

Den registrerade har vidare, enligt artikel 82 i dataskyddsförordningen, rätt till skadestånd vid överträdelser av förordningens bestämmelser.

Rätten till ett effektivt rättsmedel garanteras även av Europeiska unionens stadga om de grundläggande rättigheterna. Denna rätt, som kommer till uttryck i artikel 47 i stadgan, omfattar de rättigheter som garanteras av unionsrätten. Vad gäller personuppgiftsbehandling ger artikel 8.1 i stadgan var och en rätt till skydd av sådana uppgifter som rör honom eller henne. Som en konkretisering av denna rättighet anges i artikel 8.2 att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av en legitim och lagenlig grund. Var och en har dessutom rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dessa uppgifter. Enligt artikel 8.3 ska en oberoende myndighet kontrollera att dessa regler efterlevs.

Ds 2017:45 Överklagandebestämmelser

215

19.3 Dataskyddslagen

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att 8 kap. dataskyddslagen ska innehålla bestämmelser om skadestånd och andra rättsmedel. Rätten till skadestånd behandlas i avsnitt 14.8 i vår promemoria. Vad gäller övriga rättsmedel innehåller förslaget till dataskyddslag följande reglering.

19.3.1 Överklagande av en myndighets beslut

Enligt den föreslagna 8 kap. 2 § dataskyddslagen får beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten och rätten att överklaga gäller inte beslut som fattats av riksdagen, regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 303) sammanfattningsvis gjort följande bedömning.

De förvaltningsrättsliga principer som motiverar att denna typ av beslut ska kunna överprövas av domstol gör sig gällande även avseende vissa av de beslut som personuppgiftsansvariga myndigheter kommer att fatta enligt dataskyddsförordningen till följd av en registrerads begäran. Även dataskyddslagen bör därför förses med en uttrycklig bestämmelse om att vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt tredje kapitlet i dataskyddsförordningen. De rättigheter som kan föranleda överklagbara beslut rör information (artikel 12.5), registerutdrag m.m. (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21).

Överklagandebestämmelser Ds 2017:45

216

19.3.2 Dröjsmålstalan

Dataskyddsförordningen garanterar – genom artikel 78.2 – att en registrerad som med stöd av förordningen har lämnat in ett klagomål till tillsynsmyndigheten har rätt till ett effektivt rättsmedel, om myndigheten inte handlägger klagomålet eller tar lång tid på sig. För att uppfylla detta krav finns i den föreslagna 6 kap. 5 § dataskyddslagen bestämmelser om den registrerades rätt att under vissa förutsättningar få besked av tillsynsmyndigheten angående handläggningen av ett klagomål. Enligt vårt förslag ska bestämmelsen i 6 kap. 5 § dataskyddslagen gälla även på utlänningsdatalagens tillämpningsområde (se avsnitt 9.4.10).

Enligt förslaget till 8 kap. 3 § dataskyddslagen får tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § samma lag överklagas till allmän förvaltningsdomstol. Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas. Domstolens beslut får inte överklagas.

Dataskyddsutredningen anför i sitt betänkande (SOU 2017:39 s. 328 f.) sammanfattningsvis följande.

Skyndsamhetskrav och informationsskyldighet gäller redan enligt förvaltningslagens allmänna bestämmelser och eventuella brister i handläggningen kan anmälas till och bli föremål för prövning av riksdagens ombudsmän (JO). Det praktiska värdet av de bestämmelser rörande besked om handläggningen av ett klagomål och dröjsmålstalan som vi föreslår kan mot denna bakgrund ifrågasättas. I avsaknad av en generell reglering i förvaltningslagen om åtgärder vid dröjsmål bedömer vi dock att de föreslagna bestämmelserna behövs för att dataskyddsförordningens krav på effektiva rättsmedel ska anses uppfyllda. För det fall att riksdagen i enlighet med regeringens förslag beslutar om en ny förvaltningslag som innehåller generellt tillämpliga bestämmelser om åtgärder vid dröjsmål kan det dock finnas anledning att särskilt överväga om detta behov kvarstår.

Ds 2017:45 Överklagandebestämmelser

217

19.3.3 Överklagande av tillsynsmyndighetens beslut

Enligt den föreslagna 8 kap. 4 § dataskyddslagen får tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 7 kap. 1 och 2 §§ dataskyddslagen överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs prövningstillstånd.

De föreslagna 7 kap. 1 och 2 §§ dataskyddslagen avser beslut om administrativa sanktionsavgifter. Enligt vårt förslag ska dataskyddslagens bestämmelse i 7 kap. 1 §, men inte i 7 kap. 2 §, gälla på utlänningsdatalagens tillämpningsområde (se avsnitt 9.4.14).

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 325 ff.) sammanfattningsvis gjort följande ställningstagande.

Den rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut som framgår av artikel 78.1 i dataskyddsförordningen tillgodoses i svensk rätt normalt genom möjligheten att överklaga beslutet till allmän förvaltningsdomstol. Rätten att överklaga bör uttryckligen anges i dataskyddslagen och omfatta dels sådana beslut som tillsynsmyndigheten får meddela enligt dataskyddsförordningen, dels sådana beslut om administrativa sanktionsavgifter som får meddelas med stöd av dataskyddslagen. Övriga beslut som fattas av tillsynsmyndigheten enligt dataskyddslagen bör inte omfattas av den generella överklagandebestämmelsen. Liksom enligt personuppgiftslagen bör prövningstillstånd krävas vid överklagande av förvaltningsrättens beslut till kammarrätten. Formerna för överklagande av tillsynsmyndighetens beslut, vilken överklagandefrist som ska gälla, talerätt m.m., bör inte avvika från förvaltningslagens bestämmelser.

19.3.4 Beslut om enskilt organs behandling för arkivändamål

Av den föreslagna 8 kap. 5 § dataskyddslagen framgår att beslut enligt 2 kap. 5 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 10 § den lagen får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I 2 kap. 5 § andra stycket dataskyddslagen behandlas rätten för myndighet (Riksarkivet) att i enskilda fall besluta att enskilda organ får behandla personuppgifter för arkivändamål av allmänt intresse. Enligt 3 kap. 6 § tredje stycket dataskyddslagen får

Överklagandebestämmelser Ds 2017:45

218

myndighet (Riksarkivet) på motsvarande sätt fatta beslut som tillåter enskilda organ att behandla känsliga personuppgifter för sådana ändamål. Bestämmelserna är enligt vår bedömning inte relevanta inom utlänningsdatalagens tillämpningsområde.

Bestämmelsen i 3 kap. 10 § dataskyddslagen gäller myndighets beslut att i enskilda fall tillåta behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Myndigheter får dock, enligt artikel 10 i dataskyddsförordningen, behandla sådana uppgifter även utan beslut av tillsynsmyndigheten. Därmed är inte heller 3 kap. 10 § dataskyddslagen relevant inom utlänningsdatalagens tillämpningsområde.

19.3.5 Uttömmande överklagandebestämmelser

Av den föreslagna 8 kap. 6 § dataskyddslagen framgår att andra beslut enligt lagen än de som avses i 8 kap. 2–5 §§ och 6 kap. 2 § inte får överklagas.

19.4 Bedömning

Förslag: Beslut som Migrationsverket, utlandsmyndigheterna

och Polismyndigheten meddelat i egenskap av personuppgiftsansvariga inom utlänningsdatalagens tillämpningsområde enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Tillsynsmyndighetens beslut att avslå en begäran om besked enligt den föreslagna 6 kap. 5 § dataskyddslagen ska få överklagas till allmän förvaltningsdomstol. Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas. Domstolens beslut ska inte få överklagas.

Tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt den föreslagna 7 kap. 1 § dataskyddslagen ska få

Ds 2017:45 Överklagandebestämmelser

219

överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Andra beslut ska inte få överklagas. Bestämmelserna ska genomföras genom hänvisningar i utlänningsdatalagen till de föreslagna 8 kap. 2–4 samt 6 §§ dataskyddslagen.

Dataskyddsutredningen har gjort bedömningen att de beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt tredje kapitlet i dataskyddsförordningen bör gå att överklaga. Vi finner inte anledning att göra någon annan bedömning för de beslut som fattas av myndigheterna inom utlänningsdatalagens tillämpningsområde i deras egenskap av personuppgiftsansvariga myndigheter. Ställningstagandet stämmer vidare överens med vad som för närvarande gäller; genom utlänningsdatalagens hänvisning till 52 § PuL får bl.a. sådana beslut som gäller information till den registrerade, rättelse och underrättelse till tredje man överklagas. Mot den bakgrunden föreslår vi att det tas in en hänvisning i utlänningsdatalagen till 8 kap. 2 § dataskyddslagen.

Vi har föreslagit att den registrerades rätt att enligt 6 kap. 5 § dataskyddslagen få besked om handläggningen av ett klagomål ska vara tillämplig även på utlänningsdatalagens tillämpningsområde (se avsnitt 9.4.10). Mot den bakgrunden anser vi att det i utlänningsdatalagen även bör göras en hänvisning till 8 kap. 3 § dataskyddslagen, som reglerar överklagande av sådana beslut. Den nya förvaltningslagen, som kommer att träda i kraft den 1 juli 2018, kommer i och för sig att innehålla en liknande generell bestämmelse om dröjsmålstalan.1 Med hänsyn till att det är angeläget att systematiken i utlänningsdatalagen - i den mån det är möjligt - följer dataskyddslagen anser vi trots detta att möjligheten att väcka dröjsmålstalan bör regleras i utlänningsdatalagen.

Regleringen i 8 kap. 4 § dataskyddslagen är en följd av dataskyddsförordningens bestämmelser om rätten till ett effektivt rättsmedel mot tillsynsmyndighetens beslut. Denna rätt gör sig enligt vår mening gällande även för de myndigheter som hanterar

1 Se riksdagsskrivelse 2017/18:2.

Överklagandebestämmelser Ds 2017:45

220

personuppgifter inom ramen för utlännings- och medborgarskapslagstiftningen. För dessa myndigheter är de delar av 8 kap. 4 § dataskyddslagen som rör överklagande av beslut enligt 7 kap. 2 § dataskyddslagen visserligen inte relevanta (se avsnitt 19.3.3). Anledningen till detta är helt enkelt att tillsynsmyndigheten inte bör komma att fatta några beslut enligt denna bestämmelse mot de aktuella myndigheterna, eftersom myndigheter har rätt att behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. En hänvisning till 8 kap. 4 § i sin helhet är emellertid en enklare lagteknisk lösning. En hänvisning även till de delar av bestämmelsen som inte är relevanta för de aktuella myndigheterna får inte heller någon betydelse. Vi anser därför att en hänvisning till 8 kap. 4 § dataskyddslagen i sin helhet bör göras i utlänningsdatalagen.

Sammanfattningsvis föreslår vi således att det i utlänningsdatalagen ska tas in hänvisningar till 8 kap. 2–4 §§ dataskyddslagen. Genom dessa hänvisningar kommer (i tillämpliga delar) de bestämmelser för överklagande som generellt gäller för myndigheter att gälla även för de myndigheter som behandlar personuppgifter inom utlänningsdatalagens tillämpningsområde. Vidare garanteras rätten till ett effektivt rättsmedel i artikel 78.1 i dataskyddsförordningen, eftersom både fysiska och juridiska personer ges rätt till domstolsprövning av de beslut som tillsynsmyndigheten har fattat rörande dem. Den registrerade ges också rätt till domstolsprövning vid ett sådant dröjsmål i tillsynsmyndighetens handläggning som omfattas av artikel 78.2 i dataskyddsförordningen.

De bestämmelser vi föreslagit medför vidare att den registrerade har rätt att överklaga de beslut som de aktuella myndigheterna fattar rörande honom eller henne i egenskap av personuppgiftsansvariga myndigheter, förutsatt att besluten rör den registrerades rättigheter enligt dataskyddsförordningen och stadgan. Vi föreslår dessutom att den registrerade ska ha rätt att begära skadestånd av den personuppgiftsansvariga myndigheten (se avsnitt 14.8). Vi anser att detta innebär att samtliga rättigheter till ett effektivt rättsmedel som föreskrivs i dataskyddsförordningen garanteras genom våra förslag. Vi bedömer också att de rättigheter som anges i artikel 8 i kombination med artikel 47 i stadgan garanteras av de

Ds 2017:45 Överklagandebestämmelser

221

överklagandebestämmelser vi föreslagit (rätt till lagenlig behandling för bestämda ändamål, rätt till tillgång till och rättelse av de egna personuppgifterna samt rätt till ett effektivt rättsmedel inför en domstol om dessa rättigheter har kränkts).

Mot den bakgrunden anser vi att en hänvisning även bör göras till den föreslagna 8 kap. 6 § dataskyddslagen, som innebär att inga andra beslut än sådana som avses i 8 kap. 2–5 §§ dataskyddslagen samt sådana som avses i 6 kap. 2 § samma lag får överklagas. Enligt vårt förslag ska 6 kap. 2 § dataskyddslagen vara tillämplig på utlänningsdatalagens område (se avsnitt 9.4.10).

223

20 Övergångs- och ikraftträdandebestämmelser

20.1 Två olika ikraftträdandedatum

Förslag: Ändringen i bestämmelsen om utlänningsdatalagens

förhållande till Polismyndighetens brottsbekämpande verksamhet och bestämmelsen om lagens förhållande till brottsdatalagen ska träda i kraft den 1 maj 2018.

Övriga ändringar i utlänningsdatalagen och utlänningsdataförordningen ska träda i kraft den 25 maj 2018.

Dataskyddsförordningen ska, enligt artikel 99.2 i förordningen, börja tillämpas den 25 maj 2018. Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att dataskyddslagen ska träda i kraft vid den tidpunkten. Eftersom utlänningsdatalagen kommer att utgöra en komplettering till dataskyddsförordningen och innehålla hänvisningar till dataskyddslagen bör även våra författningsförslag träda i kraft den 25 maj 2018.

Ikraftträdandebestämmelserna kompliceras dock något av att den tidpunkt då dataskyddsförordningen ska börja tillämpas och den tidpunkt då brottsdatalagen föreslås träda i kraft inte sammanfaller med varandra. Som en följd av bestämmelserna i 2016 års dataskyddsdirektiv har Utredningen om 2016 års dataskyddsdirektiv i sitt betänkande (SOU 2017:29) föreslagit att brottsdatalagen ska träda i kraft den 1 maj 2018. Enligt vårt förslag ska utlänningsdatalagen och utlänningsdataförordningen inte gälla vid behandling av personuppgifter i sådan verksamhet som omfattas av brottsdatalagens tillämpningsområde (se avsnitt 7.2.4). Detta tillämpningsområde är vidare än den avgränsning mot Polismyndighetens brottsbekämpande verksamhet som för närvarande

Övergångs- och ikraftträdandebestämmelser Ds 2017:45

224

finns i 3 § utlänningsdatalagen. Följden av detta blir att om hela vårt författningsförslag skulle träda i kraft först den 25 maj 2018 skulle de delar av Polismyndighetens verksamhet som inte utgör brottsbekämpande verksamhet, men som ändå faller under brottsdatalagens tillämpningsområde dubbelregleras under perioden den 1–24 maj 2018. Som exempel kan nämnas Polismyndighetens verkställighet av beslut om utvisning på grund av brott enligt 8 a kap. utlänningslagen (2005:716). I 2014 års utlänningsdatautrednings betänkande (SOU 2015:73 s. 228 f.) görs bedömningen att sådan verksamhet faller under utlänningsdatalagens tillämpningsområde. Med hänsyn till att brottsdatalagen kommer att omfatta behandling av personuppgifter som görs i syfte att verkställa straffrättsliga påföljder är det enligt vår mening rimligt att anta att denna verksamhet kommer att omfattas av den lagen.1

Med särskilda ikraftträdandebestämmelser för den del av vårt förslag som reglerar förhållandet till brottsdatalagen kan en dubbelreglering emellertid undvikas. Vi föreslår därför att den nya lydelsen av 3 § utlänningsdatalagen och den av oss föreslagna 3 a §, vilka reglerar förhållandet till brottsbekämpande verksamhet respektive brottsdatalagen, ska träda i kraft redan den 1 maj 2018.

I övriga delar bör våra förslag träda i kraft den 25 maj 2018. Med anledning av att utlänningsdataförordningen innehåller kompletterande förskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen får den särskilda ikraftträdandebestämmelsen för 3 och 3 a §§utlänningsdatalagen genomslag även för förordningen.

20.2 Pågående ärenden

Bedömning: Den föreslagna övergångsbestämmelsen till data-

skyddslagen som reglerar att äldre föreskrifter fortfarande gäller för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet, gäller även på utlänningsdatalagens tillämpningsområde.

1 Se Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2019:29 s. 194 f. och 198 f.).

Ds 2017:45 Övergångs- och ikraftträdandebestämmelser

225

Datainspektionen har befogenhet att vidta åtgärder mot myndigheterna i deras egenskap av personuppgiftsansvariga. Datainspektionen kan exempelvis förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem eller ansöka om utplåning av personuppgifter hos allmän förvaltningsdomstol. Datainspektionen får vidare besluta om säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. De materiella bestämmelserna finns i 32 §, 43 och 44 §§, 45 § första stycket och 47 § PuL, till vilka utlänningsdatalagen hänvisar genom 8 § första stycket 7 och 11.

Som framgår av avsnitt 20.1 har Dataskyddsutredningen föreslagit att dataskyddslagen ska träda i kraft den 25 maj 2018. Vid samma tidpunkt föreslår den utredningen att personuppgiftslagen ska upphävas. I Dataskyddsutredningens betänkande (SOU 2017:39) finns emellertid förslag på en övergångsbestämmelse som innebär att äldre föreskrifter fortfarande gäller för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet. Som skäl för detta har utredningen anfört att exempelvis förelägganden om säkerhetsåtgärder eller radering inte kan baseras på dataskyddsförordningens bestämmelser innan dessa är tillämpliga. Med äldre föreskrifter menas enligt Dataskyddsutredningen personuppgiftslagen, personuppgiftsförordningen och föreskrifter som meddelats med stöd av dessa.2

Datainspektionens ärenden gentemot de myndigheter som är utpekade personuppgiftsansvariga enligt utlänningsdatalagen drivs enligt vår mening med stöd av personuppgiftslagens bestämmelser och handläggs enligt den lagens regelverk. En annan sak är att Datainspektionen i sin tillsyn inte bara bedömer om en personuppgiftsansvarig myndighet har behandlat personuppgifter i enlighet med personuppgiftslagen, utan även beaktar tillämplig registerförfattning, som t.ex. utlänningsdatalagen. Mot den bakgrunden bedömer vi att dataskyddslagens föreslagna övergångsbestämmelse är tillämplig även på de eventuella ärenden som Datainspektionen har inlett mot de myndigheter som omfattas av utlänningsdatalagen men som inte har avgjorts när våra författningsförslag träder i kraft. Någon särskild övergångs-

2 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 340 ff.).

Övergångs- och ikraftträdandebestämmelser Ds 2017:45

226

bestämmelse i utlänningsdatalagen som täcker sådana ärenden behövs enligt vår mening därmed inte.

20.3 Beslut som har meddelats före ikraftträdandet

Förslag: Äldre föreskrifter ska fortfarande gälla för över-

klagande av beslut som har meddelats med stöd av de föreskrifterna.

Bestämmelser om överklagande av vissa beslut som fattats med stöd av personuppgiftslagen finns i 51–53 §§ PuL. Av 51 och 52 §§ framgår att Datainspektionens beslut respektive beslut av en personuppgiftsansvarig myndighet i vissa fall får överklagas till allmän förvaltningsdomstol. Enligt 53 § får även en förvaltningsrätts beslut efter Datainspektionens ansökan om utplåning av personuppgifter överklagas. Utlänningsdatalagen hänvisar, genom 8 § första stycket 13, till dessa bestämmelser.

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit en övergångsbestämmelse till dataskyddslagen som innebär att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats med stöd av dessa föreskrifter. Det framgår inte uttryckligen av Dataskyddsutredningens betänkande om övergångsbestämmelsen är tänkt att gälla samtliga typer av beslut som kan överklagas enligt personuppgiftslagen. Eftersom inget annat framgår anser vi dock att man får förutsätta att så är fallet.

Av skäl 171 till dataskyddsförordningen framgår att behandling som redan pågår den dag då förordningen börjar tillämpas bör bringas i överensstämmelse med förordningen inom en period av två år från det att förordningen träder i kraft, dvs. senast den 24 maj 2018.3 Innebörden av detta är inte helt lättolkad; vid samordning med andra utredningar har frågan lyfts om skäl 171 utgör ett absolut hinder mot övergångsbestämmelser som innebär att äldre föreskrifter fortsatt ska gälla i vissa fall. Enligt vår mening innebär skäl 171 endast att de personuppgiftsansvariga måste ha

3 Dataskyddsförordningen träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Förordningen börjar tillämpas den 25 maj 2018 (se artikel 99 i dataskyddsförordningen).

Ds 2017:45 Övergångs- och ikraftträdandebestämmelser

227

anpassat sin personuppgiftsbehandling till dataskyddsförordningens regelverk vid den tid då förordningen börjar tillämpas. Vi anser att skälet inte kan ges någon betydelse utöver detta, vilket innebär att det enligt vår bedömning inte utgör något hinder för övergångsbestämmelser som träffar den behandling av personuppgifter som har skett före det att dataskyddsförordningen börjar tillämpas.

Huvudprincipen när det gäller förvaltningsrättsliga föreskrifter är att de föreskrifter som är i kraft vid tidpunkten för prövningen av ett mål eller ärende ska ligga till grund för prövningen. Principen är emellertid inte undantagslös; bl.a. måste EU-rättslig praxis och förbudet mot retroaktiv tillämpning i 2 kap. 10 § RF beaktas. Undantag kan vidare följa av övergångsbestämmelser eller av uttalanden i motiven till lagstiftningen. För civilrättslig lagstiftning är utgångpunken en annan; som regel träffar sådan lagstiftning inte rättshandlingar som har utförts innan lagstiftningen träder i kraft.4

Vi anser att man inte rimligen kan begära att de personuppgiftsansvariga ska utföra sin personuppgiftsbehandling i enlighet med dataskyddsförordningens regelverk även innan den ska börja tillämpas. Enligt vår mening är det därmed rimligt att handläggningen i domstol efter överklagande av beslut som fattats enligt det äldre regelverket sker enligt detta regelverk. Det faktum att det för dataskyddslagen ska finnas en övergångsbestämmelse med denna innebörd talar enligt vår mening vidare för att det även i utlänningsdatalagen bör införas en sådan bestämmelse. På detta sätt kan enhetlighet upprätthållas för samtliga överprövningar på området.

Det kan enligt vår mening inte heller uteslutas att det kan uppstå situationer där den registrerade skulle ha vunnit framgång med ett överklagande om det hade handlagts enligt äldre föreskrifter, men inte om det hade handlagts enligt bestämmelserna i dataskyddsförordningen och dess kompletterande regelverk. Utan en övergångsbestämmelse liknande den som föreslagits för dataskyddslagen skulle den registrerade i dessa fall göra en rättsförlust. Skulle situationen bli den motsatta – den registrerade skulle haft framgång med sitt överklagande om det handlagts enligt de nyare föreskrifterna men inte enligt de äldre – finns alltid möjligheten för

4 Jfr RÅ 1996 ref. 57, med hänvisning till RÅ 1988 ref. 132.

Övergångs- och ikraftträdandebestämmelser Ds 2017:45

228

den registrerade att på nytt framställa en begäran till den personuppgiftsansvarige och därmed få sin begäran bedömd utifrån det nya regelverket. Mot den bakgrunden föreslår vi att det till våra författningsförslag ska finnas en övergångsbestämmelse med innebörden att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats med stöd av de föreskrifterna. Övergångsbestämmelsen är avsedd att träffa beslut som meddelats av Datainspektionen och som kan överklagas enligt 51 § PuL samt de beslut de aktuella myndigheterna fattar i sin egenskap av personuppgiftsansvariga myndigheter och som kan överklagas enligt 52 § PuL.

20.4 Skada som har orsakats före ikraftträdandet

Bedömning: Det behövs inte några övergångsbestämmelser

gällande skadestånd för skada som har orsakats före ikraftträdandet.

Utlänningsdatalagen hänvisar, genom 8 § första stycket 12, till 48 § PuL. Den sistnämnda bestämmelsen reglerar personuppgiftsansvarigas skadeståndsansvar om en behandling har utförts i strid med personuppgiftslagen.

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att det till dataskyddslagen ska finnas en övergångsbestämmelse som innebär att äldre föreskrifter om skadestånd fortfarande gäller för skada som har orsakats före ikraftträdandet.

Det faktum att utlänningsdatalagen hänvisar till bestämmelsen om skadeståndsansvar i 48 § PuL innebär enligt vår mening att en övergångsbestämmelse till dataskyddslagen som träffar den bestämmelsen även omfattar den rätt till skadestånd som en registrerad kan ha enligt utlänningsdatalagen. Redan av den anledningen anser vi att någon särskild övergångsbestämmelse för skadeståndsärenden inte behövs till våra författningsförslag.

Skulle en annan bedömning göras följer det också av allmänna principer att äldre bestämmelser gäller för ett anspråk om skadestånd som har uppkommit före det att nya bestämmelser

Ds 2017:45 Övergångs- och ikraftträdandebestämmelser

229

träder i kraft.5 Oavsett vilken bedömning som görs anser vi därmed att det inte behövs någon övergångsbestämmelse till våra författningsförslag så vitt avser skadeståndsanspråk.

20.5 Sanktioner mot överträdelser som har skett före ikraftträdandet

Bedömning: Det behövs inte några övergångsbestämmelser

gällande sanktioner mot överträdelser som har skett före ikraftträdandet.

Dataskyddsförordningen och Dataskyddsutredningens förslag till dataskyddslag innebär att systemet för sanktioner gentemot de personuppgiftsansvariga förändras. Den straffrättsliga reglering som finns i 49 § PuL kommer inte att ha någon motsvarighet i det nya regelverket. Inte heller kommer den möjlighet som nu finns för Datainspektionen att förena sina förelägganden med vite (44 och 45 §§ PuL) att finnas kvar.6 I stället ska tillsynsmyndigheten, enligt artikel 83 i dataskyddsförordningen, under vissa förutsättningar besluta om administrativa sanktionsavgifter mot en personuppgiftsansvarig som har behandlat personuppgifter i strid med förordningens bestämmelser.

Vårt förslag innebär att dataskyddslagens bestämmelser om administrativa sanktionsavgifter mot myndigheter ska gälla även på utlänningsdatalagens tillämpningsområde. Regleringen ska genomföras genom en hänvisning i utlänningsdatalagen till de aktuella bestämmelserna i dataskyddslagen (se avsnitt 9.4.14). Personuppgiftslagens bestämmelser om vite och straff gäller för närvarande emellertid inte på utlänningsdatalagens tillämpningsområde. Detta innebär att det inte behövs någon övergångsbestämmelse som klargör vilket av sanktionssystemen – det gamla eller det nya – som ska tillämpas för överträdelser som skett före ikraftträdandet.

I 2 kap. 10 § RF finns ett förbud mot retroaktiv straff- och skattelagstiftning. Förbudet mot retroaktiv skattelag anses analogi-

5 Jfr förarbetena till lagen (1987:667) om ekonomiska föreningar (prop. 2015/16:4 s. 205). 6 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 294 ff.).

Övergångs- och ikraftträdandebestämmelser Ds 2017:45

230

vis vara tillämpligt på straffliknande administrativa påföljder.7 Mot den bakgrunden finns det enligt vår mening inte heller anledning att införa någon övergångsbestämmelse som reglerar att administrativa sanktionsavgifter inte får beslutas för överträdelse som skett innan våra författningsförslag träder i kraft.

7 Se förarbetena till ändring i regeringsformen (prop. 1975/76:209 s. 125).

231

21 Konsekvenser av förslagen

21.1 Analysens omfattning och förslagens konsekvenser

Bedömning: Förslagen har inte någon påverkan på

brottsligheten eller jämställdheten mellan män och kvinnor. Förslagen får inte någon betydelse för kommuner eller företag. De medför inte några samhällsekonomiska, sociala eller miljömässiga konsekvenser.

I vårt uppdrag ingår att belysa vilka konsekvenser de föreslagna ändringarna bedöms få. Om förslagen förväntas leda till kostnadsökningar för det allmänna, ska vi även föreslå hur dessa ska finansieras.

Dataskyddsförordningen kommer, när den börjar tillämpas, att innehålla de grundläggande bestämmelserna för de aktuella myndigheternas personuppgiftsbehandling. Vår konsekvensbedömning omfattar inte de förändringar i regelverket som följer direkt av dataskyddsförordningen eller som är en följd av förordningens tvingande bestämmelser. En sådan analys möter enligt vår mening oöverstigliga hinder; exempelvis har vi inte möjlighet att bedöma vilka anpassningar som eventuellt måste göras av befintliga datasystem för att de aktuella myndigheternas personuppgiftsbehandling ska vara förenlig med dataskyddsförordningens bestämmelser om dataskydd.

Det ligger enligt vår mening inte heller inom vårt uppdrag att bedöma konsekvenserna av att EU:s dataskyddsreform innebär att Polismyndigheten kommer att behöva förhålla sig till två regelverk för personuppgiftsbehandling; brottsdatalagen med tillhörande registerförfattning respektive dataskyddsförordningen med

Konsekvenser av förslagen Ds 2017:45

232

tillhörande registerförfattningar samt – i tillämpliga delar – dataskyddslagen.

Vår analys kommer således endast att behandla konsekvenserna av de förslag som materiellt innebär en förändring gentemot nuvarande reglering och där det finns ett utrymme att nationellt bedöma vilken reglering som ska införas.

Med undantag för det som framgår i nästa avsnitt bedömer vi vidare att våra förslag inte innebär några konsekvenser för andra än de personuppgiftsansvariga myndigheterna. Förslagen får således inte någon betydelse för kommuner eller företag. Inte heller innebär de att några samhällsekonomiska konsekvenser uppstår. Det rör sig vidare främst om ett administrativt regelverk för personuppgiftsbehandling, som inte har några konsekvenser för brottsligheten eller det brottsförebyggande arbetet, sysselsättningen, miljön, offentlig service, jämställdhet eller möjligheterna att nå de integrationspolitiska målen.

21.2 Tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter

Bedömning: De eventuella kostnader som uppstår för

Migrationsverket, Polismyndigheten, utlandsmyndigheterna, tillsynsmyndigheten och de allmänna förvaltningsdomstolarna med anledning av våra förslag ryms inom befintliga anslag.

Vi har föreslagit att dataskyddslagens föreslagna bestämmelser om tillsynsmyndighetens handläggning och beslut ska gälla även på utlänningsdatalagens tillämpningsområde. Vissa av dessa bestämmelser är nyheter jämfört med den nuvarande regleringen. Det gäller möjligheten för tillsynsmyndigheten att under vissa speciella omständigheter väcka talan i domstol och möjligheten att överklaga domstolens avgörande i en sådan fråga (6 kap. 2 § och 8 kap. 6 § dataskyddslagen). Det gäller även rätten för den registrerade att i vissa fall begära besked från tillsynsmyndigheten angående ett tillsynsärende (6 kap. 5 § dataskyddslagen) och rätten till dröjsmålstalan mot tillsynsmyndighetens beslut i ett sådant ärende (8 kap. 3 § dataskyddslagen). Vårt förslag innebär också att dataskyddslagens bestämmelser om sanktionsavgifter mot

Ds 2017:45 Konsekvenser av förslagen

233

myndigheter ska gälla även på utlänningsdatalagens område (7 kap. 1, 3 och 4 §§ dataskyddslagen).

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 348 f.) gjort en bedömning av vilka konsekvenser de ovan nämnda bestämmelserna i dataskyddslagen kommer att få för tillsynsmyndigheten och för de allmänna förvaltningsdomstolar som har att pröva de aktuella målen. Dataskyddsutredningen menar att de ärenden och mål som blir följden av denna reglering kommer att vara sparsamt förekommande. Det faktum att den generella regleringen kommer att gälla även inom utlänningsdatalagens tillämpningsområde bör enligt vår mening därmed medföra endast försumbara ytterligare kostnader för tillsynsmyndigheten och de allmänna förvaltningsdomstolarna. Dessa bör enligt vår mening rymmas inom befintliga budgetar. Vi uppskattar vidare att de föreslagna förändringarna i denna del inte bör föranleda några kostnader som inte ryms inom befintliga anslag för Migrationsverket, Polismyndigheten och utlandsmyndigheterna.

235

22 Författningskommentar

Vi har i föregående kapitel utförligt redogjort för de överväganden som ligger bakom de förändringar av utlänningsdatalagens bestämmelser som vi föreslår i denna promemoria. Av den anledningen är författningskommentarerna begränsade till att i huvudsak avse hänvisningar till de avsnitt i promemorian där respektive bestämmelse behandlas.

22.1 Förslaget till lag om ändring i utlänningsdatalagen (2016:27)

3 §

Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige.

Paragrafen är ändrad. Förslaget behandlas i avsnitt 7.2.4.

3 a §

Denna lag gäller inte vid sådan behandling av personuppgifter som omfattas av brottsdatalagens (2018:xx) tillämpningsområde.

Paragrafen är ny. Förslaget behandlas i avsnitt 7.2.4.

Författningskommentar Ds 2017:45

236

5 §

Denna lag gäller inte när personuppgifter behandlas med stöd av

1. lagen ( 2000:344 ) om Schengens informationssystem,

2. lagen ( 2006:444 ) om passagerarregister,

3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller

4. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Paragrafen är ändrad genom att punkten 2 har tillkommit. Våra överväganden finns i avsnitt 7.3.2.

Personuppgiftsbehandling enligt VIS-förordningen

6 §

När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VISförordningen) gäller, om inte något annat följer av VIS-förordningen, följande.

1. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med VIS-förordningen. Den personuppgiftsansvarige ska också underrätta tredje man till

Ds 2017:45 Författningskommentar

237

vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med VIS-förordningen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen.

Paragrafen är ändrad. Förslaget behandlas i avsnitt 7.3.3.

Förhållandet till annan lagstiftning

6 a §

Denna lag innehåller kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Paragrafen är ny. Förslaget behandlas i avsnitt 9.1 och 9.2.

7 §

Om inte något annat anges i 8 §, gäller denna lag i stället för lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Paragrafen är ändrad. Våra överväganden finns i avsnitt 9.3.

Författningskommentar Ds 2017:45

238

8 §

När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning:

1. 1 kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten,

2. 3 kap. 6 § första stycket om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse,

3. 3 kap. 13 § om behandling av personnummer och samordningsnummer,

4. 4 kap. 1 § om användningsbegränsningar för arkiverade personuppgifter,

5. 5 kap. 1 § första stycket och 5 kap. 2 § om begränsningar av vissa rättigheter och skyldigheter,

6. 6 kap. 1–5 §§ om tillsynsmyndighetens handläggning och beslut,

7. 7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter,

8. 8 kap. 1 § om skadestånd, och

9. 8 kap. 2–4 och 6 §§ om överklagande.

Paragrafen är ändrad. Förslaget behandlas i avsnitt 9.1 och 9.3 vad gäller paragrafens ingress. I övrigt behandlas förslaget i avsnitt 9.4.13 (punkten 1), avsnitt 17.1.4 (punkten 2), avsnitt 9.4.4 (punkten 3), avsnitt 17.1.4 (punkten 4), avsnitt 14.3.3 och 14.5.3 (punkten 5), avsnitt 9.4.10 (punkten 6), avsnitt 9.4.14 (punkten 7), avsnitt 14.8.4 (punkten 8) och avsnitt 19.4 (punkten 9).

Det nuvarande andra stycket återfinns enligt vårt förslag i den nya 13 a § andra stycket. Förslaget finns i avsnitt 17.3.3. Det nuvarande tredje stycket föreslås utgå. Övervägandena i denna del finns i avsnitt 9.1.

13 §

Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till

1. riksdagen eller regeringen,

2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller

Ds 2017:45 Författningskommentar

239

3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att behandlingen är tillåten enligt artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679.

Paragrafens andra stycke är ändrat. Förslaget behandlas i avsnitt 8.6.

13 a §

Personuppgifter som behandlas eller har behandlats enligt 11–12 §§ får även behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679.

Första stycket gäller inte om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen.

Paragrafen är ny. Förslaget finns i avsnitt 17.1.4 vad gäller första stycket. Andra stycket finns i dag i 8 § andra stycket och våra överväganden i denna del finns i avsnitt 17.3.3.

15 §

Sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2