Prop. 2020/21:5

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 10 september 2020

Stefan Löfven

Morgan Johansson (Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår att känsliga personuppgifter ska få behandlas i testverksamhet enligt utlänningsdatalagen om uppgifterna är absolut nödvändiga för syftet med behandlingen. Förslaget innebär att Migrationsverket, Polismyndigheten och utlandsmyndigheterna i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen kan få behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga itsystem fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet.

Lagändringen föreslås träda i kraft den 1 december 2020.

1. Förslag till riksdagsbeslut

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om ändring i utlänningsdatalagen (2016:27).

2. Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

14 §1

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas

1. för de ändamål som anges i 11 § 1–4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och

2. föreskrifter om gallring.

Denna lag träder i kraft den 1 december 2020.

1 Senaste lydelse 2018:1611.

3. Ärendet och dess beredning

Flera EU-rättsakter som rör utlänningars inresa, utresa och vistelse i medlemsstaterna innehåller bestämmelser som möjliggör eller kräver behandling av känsliga personuppgifter, t.ex. biometriska uppgifter i samband med gränskontroll. För att kunna genomföra kontroller krävs inte sällan att tekniska system först utvecklas och testas. Enligt utlänningsdatalagen (2016:27) – som reglerar behandling av personuppgifter i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen – är det förbjudet att behandla känsliga personuppgifter i testverksamhet. Det innebär att det inte finns rättsligt stöd för berörda myndigheter att utveckla och testa nödvändig teknik. Datainspektionen bedömde i december 2019, inom ramen för ett förhandssamråd om en planerad pilotstudie med biometrisk ansiktsverifiering vid Skavsta flygplats, att det finns ett uppenbart behov för Polismyndigheten att kunna behandla känsliga personuppgifter i testverksamhet men konstaterade samtidigt att det saknas lagstöd för det i utlänningsdatalagen.

Det har inom Justitiedepartementet utarbetats en promemoria som behandlar frågan om känsliga personuppgifter bör få användas i testverksamhet i sådan behandling som sker med stöd av utlänningsdatalagen. En sammanfattning av promemorian finns i bilaga 1 och promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Promemorian och remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2020/00975/L7).

Lagrådet

Regeringen beslutade den 4 juni 2020 att inhämta Lagrådets yttrande över lagförslaget i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslaget utan erinran. I förhållande till lagrådsremissen föreslås att ikraftträdandet tidigareläggs med en månad. Denna ändring är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över förslaget.

4. Nuvarande bestämmelser om behandling av känsliga personuppgifter

Grundläggande reglering om skydd av den personliga integriteten

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i detta skydd får endast göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett

demokratiskt samhälle (2 kap.20 och 21 §§regeringsformen). För andra än svenska medborgare får skyddet dock begränsas genom lag utan de särskilda krav som följer av 2 kap. 21 § regeringsformen (2 kap. 25 § första stycket 3 regeringsformen).

Grundlagsskyddet omfattar enbart betydande intrång i den personliga integriteten. I förarbetena till bestämmelsen framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183).

Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller Europakonventionen och vissa av dess tilläggsprotokoll som lag i Sverige. Av 2 kap. 19 § regeringsformen följer att lag och annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8 i konventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se exempelvis Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00, dom den 6 juni 2006). Även Europeiska unionens stadga om de grundläggande rättigheterna innehåller bestämmelser om behandling av personuppgifter.

Dataskyddsförordningens bestämmelser om känsliga personuppgifter

Behandling av personuppgifter som sker i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, här benämnd dataskyddsförordningen).

För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen måste minst ett av de villkor som anges i artikel 6.1 a–f i förordningen vara uppfyllt. Dessa villkor utgör den rättsliga grunden för behandlingen. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig

förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. De rättsliga grunderna i artikel 6.1 c och e ska vara fastställda i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för personuppgiftsbehandling (artikel 6.3 första stycket). Vidare ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.3 andra stycket).

Dataskyddsförordningen innehåller ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I svensk rätt betecknas sådana personuppgifter som känsliga personuppgifter (se t.ex. 14 § första stycket utlänningsdatalagen).

Förbudet i dataskyddsförordningen mot behandling av känsliga personuppgifter kompletteras av ett antal undantag som gör det möjligt att behandla sådana personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Utlänningsdatalagen kompletterar dataskyddsförordningen

Utlänningsdatalagen är en registerförfattning som kompletterar dataskyddsförordningen (4 a §). Lagen innehåller bestämmelser om Migrationsverkets, Polismyndighetens och utlandsmyndigheternas behandling av personuppgifter i deras verksamhet enligt utlännings- och medborgarskapslagstiftningen. Syftet med lagen är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 §). Lagen gäller bl.a. behandling av personuppgifter i myndigheternas verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige (2 § 1 och 2 samt 3 §). Utlänningsdatalagen gäller dock inte all personuppgiftsbehandling som myndigheterna utför inom migrationsrättsområdet. Enligt 5 och 6 §§ är t.ex. vissa EU-rättsakter undantagna från lagens tillämpningsområde: Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare

eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning, här benämnd Eurodacförordningen) och – bortsett från rätt till ersättning – Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen).

I 11 och 12 §§utlänningsdatalagen anges för vilka primära ändamål som myndigheterna får behandla personuppgifter. Personuppgifter får behandlas bl.a. om det behövs för att kontrollera en utlänning i samband med inresa och utresa samt för kontroll under vistelsen i Sverige (11 § 2). Personuppgifter får även behandlas om det behövs för att utföra testverksamhet (11 § 5). I förarbetena till utlänningsdatalagen uppgav regeringen att myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen ofta har ett behov av att kunna använda personuppgifter i testverksamhet. Testverksamheten kan t.ex. handla om att kontrollera att befintliga it-system fungerar på ett effektivt och rättssäkert sätt eller att pröva ny teknik i syfte att kunna delta i det internationella samarbetet (prop. 2015/16:65 s. 64 och 117).

I propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning bedömde regeringen att den behandling av personuppgifter som får utföras enligt utlänningsdatalagen är tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen (prop. 2017/18:254 s. 14 f.).

Utlänningsdatalagens bestämmelser om känsliga personuppgifter

Känsliga personuppgifter förekommer i stor utsträckning i den verksamhet som bedrivs på utlännings- och medborgarskapsområdet. Behandling av känsliga personuppgifter regleras i bl.a. 14 § utlänningsdatalagen. Enligt paragrafen får känsliga personuppgifter behandlas för samtliga primära ändamål i 11 § utom testverksamhet (14 § första stycket 1). Känsliga personuppgifter får endast behandlas om det är absolut nödvändigt för syftet med behandlingen.

Bestämmelserna om känsliga personuppgifter i 14 § hindrar inte att sådana personuppgifter behandlas med stöd av 15 § (14 § andra stycket). Enligt den paragrafen får Migrationsverket föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Den sistnämnda paragrafen reglerar möjligheten att ta fotografi och fingeravtryck bl.a. om en utlänning inte kan styrka sin identitet när han eller hon kommer till Sverige. Uppgifter om fingeravtryck eller fotografier i registren får användas i testverksamhet (15 § andra stycket 3 utlänningsdatalagen).

I propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning bedömde regeringen att den behandling av känsliga personuppgifter som möjliggörs genom utlänningsdatalagen uppfyller de krav som ställs i artikel 9.2 g i dataskyddsförordningen för att få behandla känsliga personuppgifter (prop. 2017/18:254 s. 30 f.).

EU-rättsliga krav på kontroll av biometriska uppgifter

Flera EU-rättsakter som rör utlänningars inresa, utresa och vistelse i medlemsstaterna innehåller bestämmelser som möjliggör eller kräver behandling av biometriska uppgifter, t.ex. Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna) (kodifiering, här benämnd gränskodexen).

Biometriska uppgifter definieras som personuppgifter som erhållits genom en särskild teknisk behandling som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14 i dataskyddsförordningen). I skäl 51 i dataskyddsförordningen anges bl.a. att behandling av foton inte systematiskt bör anses utgöra behandling av känsliga personuppgifter eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Regeringen har bedömt att fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma identifiering faller utanför definitionen av biometriska uppgifter. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen (prop. 2017/18:232 s. 86 och prop. 2017/18:254 s. 33 f.). I utlänningslagen används genomgående begreppen fotografier och fotografering även för ansiktsbilder. Syftet är att skapa enhetlighet inom utlänningslagen (prop. 2010/11:123 s. 13).

I slutet av 2017 trädde en ny EU-förordning i kraft om inrättande av ett in- och utresesystem för tredjelandsmedborgare som passerar unionens yttre gränser; Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011 (här benämnd EES-förordningen). Samtidigt trädde ändringar i gränskodexen i kraft; Europaparlamentets och rådets förordning (EU) 2017/2225 av den 30 november 2017 om ändring av förordning (EU) 2016/399 vad gäller användningen av in- och utresesystemet.

När förordningarna börjar tillämpas fullt ut kommer biometriska uppgifter att kunna användas för olika kontroller (se t.ex. artikel 23 och artikel 26 i EES-förordningen). Gränsmyndigheterna kommer bl.a. att kunna använda sig av ansiktsigenkänning och verifiering av fingeravtryck för att kontrollera tredjelandsmedborgares identitet i samband med gränskontroller. Vissa in- och utresekontroller kommer kunna genomföras via självbetjäningssystem som hanterar biometriska uppgifter. Det finns även bestämmelser som innebär att biometriska uppgifter kommer kunna användas för kontroll av utlänningars identitet inom medlemsstaternas territorium. In- och utresesystemet beräknas tas i drift under 2022.

Hänvisningar till S4

  • Prop. 2020/21:5: Avsnitt 5

5. Känsliga personuppgifter ska få användas i testverksamhet

Regeringens förslag: Känsliga personuppgifter ska få behandlas i testverksamhet enligt utlänningsdatalagen om uppgifterna är absolut nödvändiga för syftet med behandlingen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inte några synpunkter på förslaget, däribland Datainspektionen,

Säkerhets- och integritetsskyddsnämnden, Kammarrätten i Stockholm och Förvaltningsrätten i Stockholm. Justitiekanslern anser att det finns ett tydligt behov av att kunna behandla biometriska uppgifter vid testverksamhet men ifrågasätter om det är nödvändigt att samtliga kategorier av känsliga personuppgifter omfattas. Riksdagens ombudsmän efterfrågar en analys av om det finns behov av att slopa förbudet mot att behandla känsliga personuppgifter i testverksamhet helt. Polismyndigheten efterfrågar ett klargörande gällande tillämpningsområdet för den föreslagna bestämmelsen med hänsyn till testverksamhet som kommer att genomföras i centrala EU-system. Vidare önskar

Polismyndigheten ett klargörande av vad som utgör behandling av biometriska uppgifter. Polismyndigheten undrar särskilt om kontroller av hårdvara enbart för upptagning av fotografi eller fingeravtryck innebär behandling av känsliga personuppgifter. Enligt Migrationsverket vore det värdefullt med ytterligare vägledning när det gäller bedömningen av rekvisitet ”absolut nödvändiga”. Sveriges advokatsamfund avstyrker förslaget och hänvisar till att promemorian saknar en närmare analys av integritetsriskerna och alternativa tillvägagångssätt, t.ex. användandet av fiktiva testdata. Advokatsamfundet anser också att begreppet ”absolut nödvändiga” är olämpligt.

Skälen för regeringens förslag

Det är nödvändigt att kunna behandla känsliga personuppgifter i testverksamhet

Som nämnts kräver vissa EU-rättsakter som rör utlänningars inresa, utresa och vistelse i medlemsstaterna att känsliga personuppgifter kan behandlas. Utlänningsdatalagens nuvarande utformning innebär att Polismyndigheten, Migrationsverket och utlandsmyndigheterna har rättsligt stöd för att behandla känsliga personuppgifter om uppgifterna är absolut nödvändiga för att kontrollera en utlänning i samband med inresa och utresa eller under vistelsen i Sverige. Det är däremot förbjudet att behandla sådana uppgifter för att utföra sådan testverksamhet som är nödvändig för att kunna skapa och utveckla de tekniska system som ska användas vid kontrollerna. I annan lagstiftning, t.ex. brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, finns en möjlighet att behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Det finns alltså inget förbud mot att behandla känsliga personuppgifter i testverksamhet som sker för brottsbekämpande syften.

Motsvarande begränsning saknas också när personuppgifter behandlas med stöd av vissa EU-rättsakter på migrationsområdet, t.ex. Eurodacförordningen.

Förbudet att behandla känsliga personuppgifter i testverksamhet innebär ett hinder för berörda myndigheter att skapa och utveckla nya tekniska system som är nödvändiga för att kunna utföra kontroller som de är ålagda att utföra, t.ex. kontroll av biometriska uppgifter. Även befintliga it-system kan behöva kontrolleras genom tester så att de fungerar på ett effektivt och rättssäkert sätt. När det gäller ansiktsigenkänning behöver programvaran exempelvis kunna tränas och valideras på verkliga förhållanden gällande förmågan att jämföra nytagna ansiktsbilder med befintliga ansiktsbilder i chip och på bild i olika länders resehandlingar. Uppgifterna som används vid test och validering behöver återspegla verkliga förhållanden, t.ex. avseende glasögon, smink, frisyrer och huvudbonader. Det är alltså inte möjligt att utföra nödvändiga tester och validering av tekniken för ansiktsigenkänning utan ansiktsbilder. Testverksamheten är en nödvändig förutsättning för att ett sådant system ska kunna användas i skarpt läge på ett rättssäkert och icke-diskriminerande sätt. Det är till och med så att det kan diskuteras om det överhuvudtaget är tekniskt möjligt att ta tekniska system i drift utan en föregående testperiod. Datainspektionen har i december 2019, inom ramen för ett förhandssamråd om en planerad pilotstudie med biometrisk ansiktsverifiering vid Skavsta flygplats, bedömt att det finns ett uppenbart behov för Polismyndigheten att kunna behandla känsliga personuppgifter i testverksamhet men att det saknas lagstöd för det i utlänningsdatalagen.

I promemorian föreslås att utlänningsdatalagen ändras så att känsliga personuppgifter får behandlas i testverksamhet. Majoriteten av remissinstanserna är positiva till förslaget eller lämnar det utan invändningar. Sveriges advokatsamfund avstyrker förslaget med hänvisning till att promemorian saknar en närmare analys av dels riskerna för enskildas personliga integritet, dels alternativa och mindre integritetskränkande tillvägagångssätt, t.ex. användandet av fiktiva testdata. Advokatsamfundet pekar bl.a. på den bedömning som Datainspektionen gjorde gällande testverksamhet inför införandet av utlänningsdatalagen. 2014 års Utlänningsdatautredning hade föreslagit att känsliga personuppgifter skulle få behandlas i testverksamhet (SOU 2015:73 s. 294 f.). Datainspektionen, som var remissinstans, ansåg att det saknades underlag för att bedöma Migrationsverkets behov av att kunna behandla känsliga personuppgifter i sådan verksamhet. Regeringen instämde i Datainspektionens uppfattning att det inte fanns tillräckliga skäl att tillåta behandling av känsliga personuppgifter för testverksamhet och gick inte vidare med utredningens förslag (prop. 2015/16:65 s. 78 f.).

Som Sveriges advokatsamfund påpekar är det viktigt att integritetsriskerna beaktas. För att genomföra test och validering och nå tillförlitliga och rättssäkra resultat kan en relativt stor mängd känsliga personuppgifter behöva behandlas. Detta innebär ett integritetsintrång. Att ta ett system i drift utan testperiod riskerar dock att medföra onödiga och oproportionerliga ingrepp i enskildas personliga integritet eftersom systemet kan innehålla fel och brister. En sådan behandling av känsliga personuppgifter kan strida mot artikel 9.2 g i dataskyddsförordningen och de krav som ställs där om proportionalitet och lämpliga och särskilda

åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Möjligheten att testa ny teknik bidrar alltså till att det kan införas träffsäkra, rättssäkra och effektiva system, där risken för olägenheter i form av felbedömningar till den enskildes nackdel minimeras samtidigt som en hög säkerhetsnivå kan upprätthållas. Det intrång i enskildas personliga integritet som kan uppkomma när ett system är i skarp drift blir med andra ord mindre om systemet först kan testas. Som nämnts finns det situationer när det inte finns något alternativ till att använda verkliga personuppgifter för att testa och validera nödvändiga tekniska system, dvs. situationer där användandet av fiktiva uppgifter inte skulle ge ett tillförlitligt och rättssäkert resultat. Om inga integritetshöjande åtgärder vidtas skulle behandling av känsliga personuppgifter vid test och validering av ny teknik kunna innebära en hög risk för den enskildes personliga integritet. Under förutsättning att åtgärder vidtas för att säkerställa skyddet för personuppgifterna kan integritetsriskerna dock minimeras. Det kan i sammanhanget nämnas att Datainspektionen, i den planerade pilotstudien, bedömde att Polismyndigheten hade vidtagit de integritetshöjande åtgärder som kunde anses rimliga. I det följande föreslås att samma höga krav bör ställas på behandling av känsliga personuppgifter i testverksamhet som vid sådan behandling i skarp drift, bl.a. genom att behandling av känsliga personuppgifter bara tillåts om uppgifterna är absolut nödvändiga för syftet med behandlingen. Därutöver måste naturligtvis de krav som dataskyddsförordningen uppställer på bl.a. öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet uppfyllas även vid testverksamhet. Sammantaget anser regeringen att behandling av känsliga personuppgifter i testverksamhet bör tillåtas. Inte heller Datainspektionen invänder mot förslaget. Utlänningsdatalagen bör alltså ändras så att känsliga personuppgifter får behandlas i testverksamhet.

Samma krav bör ställas på behandling av känsliga personuppgifter i testverksamhet som vid behandling av känsliga personuppgifter i övrigt

I promemorian föreslås, i likhet med vad som gäller för de övriga ändamål som anges i 14 § utlänningsdatalagen, att bestämmelsen ska omfatta samtliga kategorier av känsliga personuppgifter. Justitiekanslern ifrågasätter om det är nödvändigt och Riksdagens ombudsmän efterfrågar en analys av om det finns behov av att helt slopa förbudet mot att behandla känsliga personuppgifter i testverksamhet.

Vid behandling av känsliga personuppgifter i skarp drift finns det inga begränsningar när det gäller vilka slags uppgifter som får behandlas eller vilka myndigheter som får behandla uppgifterna (14 § första stycket 1 utlänningsdatalagen). Som nämnts föreslås nedan att samma höga krav ska gälla för behandling av känsliga personuppgifter i testverksamhet som uppställs vid behandling i skarp drift. Det kommer t.ex. bara vara tillåtet att behandla känsliga personuppgifter om det är absolut nödvändigt. Enligt regeringen talar detta för att det inte heller bör finnas några begränsningar när det gäller vilka kategorier av känsliga personuppgifter som får behandlas i testverksamhet eller vilka myndigheter som får behandla uppgifterna. Vidare har den tekniska utvecklingen förändrat förutsättningarna för att använda ny teknik, framför allt biometri. Det har

under de senaste åren t.ex. utvecklats helt nya möjligheter att använda ansiktsigenkänning, vilket återspeglas i bl.a. EU-rättsakter som rör utlänningars inresa, utresa och vistelse i medlemsstaterna. Utvecklingen går fort och det är svårt att förutse vad som kommer att vara möjligt inom några år och vilka krav som då kommer att ställas på medlemsstaterna. Utlänningsdatalagens regler är tänkta att vara flexibla för att passa de olika myndigheternas verksamhet och för att möjliggöra utveckling och effektivisering av myndigheternas verksamhet och it-stöd. På grund av den snabba tekniska utvecklingen har målsättningen också varit att i så stor utsträckning som möjligt göra utlänningsdatalagen teknikneutral (prop. 2015/16:65 s. 37). Regeringen anser sammantaget att förbudet mot att behandla känsliga personuppgifter i testverksamhet bör slopas helt. Det innebär att samtliga kategorier av känsliga personuppgifter bör omfattas av bestämmelsen och att det inte bör finnas någon begränsning gällande vilka myndigheter som får behandla sådana uppgifter i testverksamhet.

Polismyndigheten önskar ett förtydligande av vad som utgör behandling av biometriska uppgifter. Som nämns i avsnitt 4 definieras biometriska uppgifter i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14). Definitionen av biometriska uppgifter är unionsrättslig och uttolkas ytterst av EU-domstolen. Det är inte möjligt för regeringen att närmare slå fast vad som faller inom definitionen av biometriska uppgifter. Det är i stället en fråga för rättstillämparen att ta ställning till i det enskilda fallet. Regeringen har tidigare dock bedömt att fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma identifiering faller utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen (jfr prop. 2017/18:232 s. 86 och prop. 2017/18:254 s. 33 f.).

Regeringen gör ingen annan bedömning nu.

I promemorian föreslås att det ska krävas att uppgifterna är absolut nödvändiga för syftet med behandlingen för att känsliga personuppgifter ska få behandlas i testverksamhet. Enligt Migrationsverket vore det värdefullt med ytterligare vägledning när det gäller bedömningen av vad som är absolut nödvändigt. Sveriges advokatsamfund anser att begreppet är olämpligt eftersom det lämnar ett brett tolkningsutrymme för de tillämpande myndigheterna.

Redan i dag får behandling av känsliga personuppgifter endast ske om behandlingen är absolut nödvändig. Regleringen i utlänningsdatalagen bör enligt regeringen vara enhetlig. Det är därför inte lämpligt att använda ett annat rekvisit för behandling känsliga personuppgifter i testverksamhet. Genom kravet på att uppgifterna ska vara absolut nödvändiga tydliggörs att behandlingen av känsliga personuppgifter ska ske med försiktighet och att behovet ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av den redan insamlade uppgiften (prop. 2015/16:65 s. 81). I testverksamhet kan behandling av känsliga personuppgifter normalt inte anses vara absolut nödvändig om det är möjligt att nå ett rättssäkert och tillförlitligt resultat genom att använda

alternativa och mindre integritetskänsliga tillvägagångssätt, t.ex. fiktiva eller avidentifierade uppgifter.

Andra bestämmelser till skydd för den personliga integriteten

Utlänningsdatalagen innehåller även andra bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. behörighetsregler och regler om förbud mot att söka på bl.a. känsliga personuppgifter i databaser. I propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning bedömde regeringen att den nuvarande regleringen uppfyllde dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen och att utlänningsdatalagens bestämmelser om känsliga personuppgifter var förenliga med dataskyddsförordningen (prop. 2017/18:254 s. 33). Det saknas skäl att nu göra en annan bedömning. Den personuppgiftsbehandling som möjliggörs genom förslaget uppfyller alltså de krav som uppställs i artikel 9.2 g i dataskyddsförordningen. Förslaget ligger också i linje med annan lagstiftning, t.ex. lagen om polisens behandling av personuppgifter inom brottsdatalagens område.

Som nämnts måste naturligtvis de krav som dataskyddsförordningen ställer på bl.a. öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet uppfyllas även vid testverksamhet. En myndighet som önskar behandla känsliga personuppgifter med stöd av den föreslagna bestämmelsen är i vissa fall också skyldig att samråda med Datainspektionen före behandling (artikel 36.1 i dataskyddsförordningen).

Polismyndigheten efterfrågar ett klargörande gällande tillämpningsområdet för den föreslagna bestämmelsen med hänsyn till testverksamhet som kommer att genomföras i centrala EU-system inom ramen för det europeiska samarbetet. Förslaget innebär ingen ändring av tillämpningsområdet i förhållande till i dag. Avgörande för om utlänningsdatalagen är tillämplig i ett enskilt fall är således om det är fråga om behandling av personuppgifter som Migrationsverket, Polismyndigheten eller utlandsmyndigheterna vidtar i sådan verksamhet som räknas upp i, när det gäller Migrationsverket och utlandsmyndigheterna, 2 § eller, när det gäller Polismyndigheten, 3 § och som inte omfattas av något av de undantag som listas i lagen, t.ex.

avseende vissa EU-rättsakter (se avsnitt 4 ).

Hänvisningar till S5

6. Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Lagändringen ska träda i kraft den 1 december 2020.

Regeringens bedömning: Det finns inte något behov av övergångsbestämmelser.

Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås ett senare ikraftträdande.

Remissinstanserna: Polismyndigheten anser att lagändringen bör träda i kraft den 1 augusti 2020. I övrigt yttrar sig ingen remissinstans särskilt i denna del.

Skälen för regeringens förslag och bedömning: I promemorian föreslås att lagändringarna ska träda i kraft den 1 januari 2021. Enligt

Polismyndigheten blir detta för sent, bl.a. i förhållande till den tidsplan som tagits fram inom det europeiska samarbetet. Polismyndigheten anser att lagändringen i stället bör träda i kraft den 1 augusti 2020 och påpekar att även med ett sådant ikraftträdande kan planerade förberedelser komma att behöva bedrivas på kort tid.

Även regeringen anser att lagändringen bör träda i kraft så snart som möjligt. Ett tidigare ikraftträdande än den 1 december 2020 bedöms dock inte vara möjligt.

Det finns inte något behov av övergångsbestämmelser.

7. Konsekvenser

Regeringens bedömning: Förslaget innebär inga ökade kostnader.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Genom förslaget undanröjs förbudet för Polismyndigheten, Migrationsverket och utlandsmyndigheterna att behandla känsliga personuppgifter i testverksamhet.

Det innebär att myndigheterna, om det är absolut nödvändigt, kan få behandla sådana personuppgifter för att t.ex. kontrollera att befintliga itsystem fungerar på ett effektivt och rättssäkert sätt och pröva och utveckla ny teknik. Om förslaget inte genomförs blir möjligheterna till kontroll och utveckling av tekniska system begränsad. Sverige skulle t.ex. inte kunna införa de tekniska system som krävs enligt det europeiska samarbetet.

Förslaget innebär i sig inga ökade kostnader, vare sig för det allmänna eller för enskilda. Förslaget bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser.

När det gäller den personliga integriteten innebär förslaget att känsliga personuppgifter får användas i fler situationer än i dag. Konsekvenserna beskrivs i avsnitt 5.

Hänvisningar till S7

8. Författningskommentar

Förslaget till lag om ändring i utlänningsdatalagen (2016:27)

14 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas

1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och

2. föreskrifter om gallring.

Paragrafen reglerar behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 5.

Ändringen i första stycket 1 innebär att känsliga personuppgifter får behandlas i testverksamhet om uppgifterna är absolut nödvändiga för syftet med behandlingen. Genom ändringen får myndigheterna möjlighet att använda känsliga personuppgifter t.ex. för att kontrollera att befintliga tekniska system fungerar eller för att pröva och utveckla nya tekniska system. Att behandlingen av de känsliga personuppgifterna ska vara absolut nödvändig innebär att behandlingen bör ske med försiktighet och aldrig slentrianmässigt. Det innebär däremot inte att känsliga personuppgifter endast får behandlas i undantagsfall. Verksamheten på utlännings- och medborgarskapsområdet kräver inte sällan att känsliga personuppgifter kan behandlas. Genom kravet på absolut nödvändighet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla sådana uppgifter ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter (jfr prop. 2015/16:65 s. 81 och 121). I testverksamhet kan behandling av känsliga personuppgifter normalt inte anses vara absolut nödvändig om det är möjligt att nå ett rättssäkert och tillförlitligt resultat genom att använda alternativa och mindre integritetskänsliga tillvägagångssätt, t.ex. fiktiva eller avidentifierade uppgifter.

Hänvisningar till US1

Sammanfattning av promemorian Behandling av känsliga personuppgifter i testverksamhet

Enligt utlänningsdatalagen (2016:27) är det normalt förbjudet att behandla känsliga personuppgifter i testverksamhet. I promemorian föreslås att sådana personuppgifter ska få behandlas i testverksamhet om uppgifterna är absolut nödvändiga för syftet med behandlingen. Förslaget innebär att Migrationsverket, Polismyndigheten och utlandsmyndigheterna kan få behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga itsystem fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet.

Lagändringen föreslås träda i kraft den 1 januari 2021.

Promemorians lagförslag

Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

14 §1

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas

1. för de ändamål som anges i 11 § 1–4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och

2. föreskrifter om gallring.

Denna lag träder i kraft den 1 januari 2021.

1 Senaste lydelse 2018:1611.

Förteckning över remissinstanserna

Efter remiss har yttranden över promemorian Behandling av känsliga personuppgifter i testverksamhet kommit in från Datainspektionen, Diskrimineringsombudsmannen, Förvaltningsrätten i Stockholm, Justitiekanslern, Kammarrätten i Stockholm, Migrationsverket, Polismyndigheten, Riksdagens ombudsmän, Sveriges advokatsamfund, Sveriges ambassad i Amman, Sveriges ambassad i Peking, Sveriges Ambassad i Teheran, Säkerhets- och integritetsskyddsnämnden samt Säkerhetspolisen.

Swedavia har erbjudits att lämna synpunkter men avstått.

Lagrådsremissens lagförslag

Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

14 §1

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas

1. för de ändamål som anges i 11 § 1–4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller

2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och

2. föreskrifter om gallring.

Denna lag träder i kraft den 1 januari 2021.

1 Senaste lydelse 2018:1611.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2020-06-16

Närvarande: F.d. justitierådet Ella Nyström samt justitieråden

Per Classon och Stefan Johansson

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Enligt en lagrådsremiss den 4 juni 2020 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i utlänningsdatalagen (2016:27).

Förslaget har inför Lagrådet föredragits av rättssakkunniga Viktoria Haglund.

Lagrådet lämnar förslaget utan erinran.

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 10 september 2020

Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Johansson, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Ygeman, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lind, Hallberg, Nordmark, Micko

Föredragande: statsrådet Johansson

Regeringen beslutar proposition Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen