Sammanfattning

Inledning

Utredningens direktiv innebär ett uppdrag att kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utifrån ett helhetsperspektiv skall utredningen granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).

Personuppgiftslagen har tillkommit som ett genomförande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Utredningens kartläggning har resulterat i slutsatsen att det av flera skäl som redovisas i detta betänkande behövs en särreglering i lag av personuppgiftsbehandlingen inom verksamhetsområdet.

En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Några utgångspunkter

Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen författningsregleras i en lag som är anpassad till personuppgiftslagen och dataskyddsdirektivet. Lagen föreslås få namnet utlänningsdatalag. Lagen ersätter den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

En av utredningens grundläggande utgångspunkter är att lagens övergripande syfte skall vara att skydda den enskilde mot otillbör-

• Sida 12
•  Original

liga intrång i dennes personliga integritet. Samtidigt avspeglar lagens bestämmelser en rimlig avvägning mellan enskildas anspråk på integritetsskydd och samhällsintresset av att myndigheterna inom verksamhetsområdet på ett rationellt och effektivt sätt skall kunna använda modern informationsteknik vid fullgörandet av sina uppgifter.

En annan utgångspunkt är att lagen skall vara teknikoberoende, bl.a. för att lämna myndigheterna utrymme att förändra sin datorstruktur och dra nytta av nya tekniska möjligheter som kan komma att bli tillgängliga. Utredningens förslag innebär bl.a. att lagens bestämmelser inte hämmar en framtida övergång till fullständig elektronisk ärendehantering inom myndigheterna.

Slutligen har utredningen, med ett undantag, inte funnit skäl att föreslå särskilda bestämmelser för register eller andra uppgiftssamlingar. Dessa samlingar omfattas således av utlänningsdatalagens allmänna bestämmelser om behandling av personuppgifter. Undantaget gäller Migrationsverkets register över fingeravtryck och fotografier för vilket vissa särbestämmelser föreslås.

Tillämpningsområde

Den föreslagna lagen skall tillämpas vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen som utförs av Regeringskansliet, Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna. Verksamhetsområdet preciseras i lagen. För att omfattas av lagens tillämpningsområde skall personuppgiftsbehandlingen företas i verksamhet som gäller

1. utlänningars inresa i Sverige eller i en stat som ingår i

Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2. mottagande av asylsökande och andra utlänningar,

3. bistånd och bidrag till utlänningar,

4. svenskt medborgarskap,

5. statlig ersättning för kostnader för utlänningar eller

6. bosättning av utlänningar.

• Sida 13
•  Original

Verksamhetspreciseringen är uttömmande. Det innebär bl.a. att behandling av personuppgifter i myndigheternas internadministrativa verksamhet inte omfattas av lagens tillämpningsområde. Vidare föreslås en uttrycklig bestämmelse som anger att personuppgiftsbehandlingen som sker med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättandet av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen faller utanför lagens tillämpningsområde. Den föreslagna lagen är alltså subsidiär i förhållande till de nämnda regelverken.

Liksom personuppgiftslagen föreslås lagen gälla all helt eller delvis automatiserad behandling av personuppgifter. Lagen är alltså tillämplig oavsett om behandlingen sker t.ex. i stora automatiserade uppgiftssamlingar i gemensamma nätverk eller register, i e-post eller i ett ordbehandlingsprogram i en enskilds tjänstemans separata persondator. Även manuell behandling omfattas av lagens bestämmelser, om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. register.

Förhållandet till personuppgiftslagen

Den föreslagna lagen innehåller bara de särbestämmelser, undantag och preciseringar i förhållande till personuppgiftslagen som utredningen bedömt nödvändiga antingen för att arbetsuppgifter inom verksamhetsområdet skall kunna utföras på ett tillfredsställande sätt eller för att garantera den enskilde registrerade ett starkare integritetsskydd än vad som annars följer av personuppgiftslagen.

Personuppgiftslagen skall således gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, om inte annat följer av utlänningsdatalagen.

Det sagda innebär bl.a. att personuppgiftslagens bestämmelser om definitioner och om grundläggande krav på behandling av personuppgifter gäller även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Vidare kan nämnas att personuppgiftslagens regler om information som skall lämnas till den registrerade, om säkerheten vid behandling och om tillsynsmyndighetens befogenheter kommer att vara tillämp-

• Sida 14
•  Original

liga. Datainspektionen skall vara tillsynsmyndighet även då personuppgifter behandlas enligt utlänningsdatalagen.

Personuppgiftsansvar

Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behandlingen. Migrationsverket föreslås dock vara personuppgiftsansvarigt för den behandling av personuppgifter som företas av Integrationsverket i samband med handläggning av ärenden om statlig ersättning för kostnader för flyktingmottagande m.m. och för utlandsmyndigheternas personuppgiftsbehandling enligt utlänningsdatalagen.

Innebörden av personuppgiftsansvaret framgår av personuppgiftslagen.

När behandling är tillåten

Personuppgifter får, enligt utredningens förslag, samlas in och fortsättningsvis behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen anges konkret i lagen. En personuppgift presumeras vara insamlad för samtliga dessa ändamål. De föreslagna ändamålen är följande.

1. Handläggning av ärenden eller en myndighets biträde i sådana ärenden (ärendehandläggning),

2. kontroll av utlänning i samband med inresa och utresa samt

kontroll under vistelsen i Sverige (yttre och inre utlänningskontroll),

3. utförande av arbetsuppgifter som gäller mottagande och bosätt-

ning av asylsökande och andra utlänningar (faktisk mottagnings- och bosättningsverksamhet),

4. uppgiftsutlämnande som sker med stöd av lag eller förordning,

följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation (uppgiftsutlämnande),

• Sida 15
•  Original

5. återsökning av avgöranden, rättsutredningar, annan rättslig in-

formation samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden (informationsåtersökning),

6. tillsyn, kontroll, uppföljning och planering, eller

7. framställning av statistik.

Utredningen föreslår att alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs skall få behandlas. Känsliga personuppgifter föreslås emellertid få behandlas endast då det är oundgängligen nödvändigt. Personuppgiftslagens regler om behandling av uppgifter om lagöverträdelser m.m. samt behandling av personnummer skall gälla även vid behandling enligt utlänningsdatalagen.

För Migrationsverkets automatiserade register över fingeravtryck och fotografier som tas med stöd av utlänningslagen (1989:529) föreslås en mer inskränkt ändamålsbestämmelse. Vidare föreslås att regeringen i en förordning som utfärdas i anslutning till lagen bl.a. föreskriver att registret endast skall få innehålla vissa uppgifter.

Sökbegrepp

Av hänsyn till enskildas integritet föreslås vissa begränsningar av myndigheternas möjligheter att söka och sammanställa personuppgifter.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen får enligt förslaget inte användas som sökbegrepp vid behandling för ändamålen ärendehandläggning, yttre och inre utlänningskontroll, faktisk mottagnings- och bosättningsverksamhet och uppgiftsutlämnande. Vid behandling för ändamålet tillsyn, kontroll, uppföljning och planering samt för ändamålet framställning av statistik föreslås att av känsliga personuppgifter enligt 13 § personuppgiftslagen skall endast sådana som avslöjar etniskt ursprung eller rör hälsa få användas som sökbegrepp.

Några motsvarande inskränkningar föreslås inte i fråga om ändamålet informationsåtersökning, eftersom det finns ett påtagligt och befogat behov hos myndigheterna av att kunna söka efter och använda just sådana uppgiftssammanställningar som referensmaterial vid bedömningar i enskilda ärenden.

• Sida 16
•  Original

Vidare föreslås att personuppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp i annat fall än då uppgifterna gäller beslut om förvar enligt utlänningslagen.

Utlämnande av personuppgifter

Personuppgifter får såsom tidigare sagts behandlas genom att lämnas ut. För att skydda enskildas personliga integritet föreslås i lagen vissa bestämmelser som tar sikte på sättet på vilket uppgifter som behandlas enligt utlänningsdatalagen lämnas ut. Motsvarande bestämmelser saknas helt i personuppgiftslagen.

För att motverka de särskilda integritetsrisker som kan vara förknippade med att personuppgifter lämnas ut på medium för automatiserad behandling, t.ex. på en CD-romskiva, innehåller lagen vissa begränsningar för när sådant utlämnande får ske till ett EU-organ eller till utländsk myndighet i ett EU-land eller i ett land som är anslutet till EES. Vidare får sådant utlämnande ske till enskild bara då regeringen har meddelat föreskrifter om det. Sådana föreskrifter bör meddelas i en förordning som utfärdas i anslutning till lagen. Någon regel som begränsar när personuppgifter skall få lämnas ut på medium för automatiserad behandling till en svensk myndighet är inte motiverad.

I lagen föreslås bestämmelser som uttömmande reglerar när personuppgifter får lämnas ut genom direktåtkomst. Direktåtkomst utgör en specialform av utlämnande på medium för automatiserad behandling. Särpräglat för direktåtkomst är att mottagaren kan, genom teknisk koppling till utlämnarens datasystem, själv söka efter och ta del av uppgifter i datasystemet.

Enligt utredningens förslag skall Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna för ändamålet ärendehandläggning få ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst skall också få användas för ändamålet yttre och inre utlänningskontroll.

Utlänningsnämnden och utlandsmyndigheterna föreslås vidare få ha direktåtkomst till Migrationsverkets personuppgifter som behandlas för ändamålet informationsåtersökning.

Annan direktåtkomst än den sagda skall alltså inte vara tillåten. För Centrala studiestödsnämndens del innebär detta att nämnden

• Sida 17
•  Original

enligt utredningens förslag inte längre kommer att få ha direktåtkomst till Migrationsverkets datasystem STAMM.

Regeringen ges rätt att meddela föreskrifter som innebär begränsningar i förhållande till vad lagen anger i fråga om direktåtkomst.

Lagens bestämmelser om utlämnande på medium för automatiserad behandling samt direktåtkomst medför ingen förpliktelse för myndigheterna att lämna ut personuppgifter på dessa sätt. Bl.a. följer av Migrationsverkets personuppgiftsansvar att verket kan helt avstå från att medge direktåtkomst, t.ex. om verket finner att personuppgifterna inte skyddas genom godtagbara säkerhetsåtgärder hos den mottagande myndigheten.

Överföring av personuppgifter till tredje land

På grund av verksamhetsområdets utpräglat internationella karaktär anser utredningen att det är nödvändigt med vissa utvidgade möjligheter att överföra personuppgifter till ett land som inte är medlem i EU eller anslutet till EES, dvs. till tredje land, än vad som följer av personuppgiftslagen. Från personuppgiftslagen avvikande bestämmelser om sådan överföring föreslås därför.

Bevarande av personuppgifter m.m.

Personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall enligt förslaget bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Det behövs ingen bestämmelse om det i utlänningsdatalagen. En särregel föreslås dock för Migrationsverkets fingeravtrycksregister, som skall gallras enligt nuvarande ordning. Den gallringsbestämmelsen föreslås införas i en förordning som utfärdas i anslutning till utlänningsdatalagen.

För att skydda enskildas personliga integritet är det emellertid viktigt att inte fler uppgifter än nödvändigt är tillgängliga för ett stort antal personer i myndighetsinterna eller myndighetsöverskridande datorsystem. Utredningen föreslår därför att personuppgifter i automatiserade uppgiftssamlingar, som används i myndigheternas löpande kärnverksamhet, skall avskiljas från dessa uppgiftssamlingar när de inte längre behövs i denna verksamhet. För verksamheten inaktuella men ändå integritetskänsliga person-

• Sida 18
•  Original

uppgifter skall alltså genom avskiljandet skyddas mot onödig åtkomst. Behörighet för åtkomst till avskilda uppgifter skall därför bara tillåtas dem som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter, t.ex. verksarkivarier.

Rättelse, skadestånd och överklagande

Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall gälla vid behandling av personuppgifter enligt utlänningsdatalagen. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.

En myndighets beslut om rättelse eller om information enligt 26 § personuppgiftslagen skall kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätten. Andra beslut får inte överklagas.

Ytterligare bestämmelser

I lagen föreskrivs att regeringen – utöver bemyndiganden rörande fingeravtrycksregistret och utlämnande till enskild på medium för automatiserad behandling – får meddela ytterligare föreskrifter som innebär begränsningar i förhållande till lagens bestämmelser såvitt avser ändamål, personuppgiftskategorier, sökbegrepp, direktåtkomst och överföring till tredje land. Vidare föreslås att regeringen får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter.

Slutligen föreslås att regeringen i vissa fall får delegera föreskriftsrätten till annan myndighet.

Ett förslag till förordning som utfärdas i anslutning till lagen lämnas.

Sekretess

Förslaget till utlänningsdatalag syftar till att personuppgifter skall kunna utlämnas i motsvarande omfattning som i dag sker. De personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen omfattas emellertid i stor utsträckning av sekretess. Främst är det utlänningssekretess enligt 7 kap.

• Sida 19
•  Original

14 § sekretesslagen (1980:100) som är tillämplig på personuppgifterna.

I utredningens kartläggning har framkommit att sekretessbelagda uppgifter bl.a. utbyts i stor omfattning och rutinmässigt mellan myndigheter som är aktiva inom verksamhetsområdet. För en väsentlig del av uppgiftsutbytet åberopas den s.k. generalklausulen i 14 kap. 3 § sekretesslagen till stöd för utlämnandet. Enligt utredningens uppfattning är denna ordning inte helt tillfredsställande. Utredningen har därför funnit skäl att föreslå vissa sekretessbrytande bestämmelser, nämligen följande.

I utlänningslagen införs en sekretessbrytande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i fråga om uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. En motsvarande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden och utlandsmyndigheterna införs i lagen (2001:82) om svenskt medborgarskap. Vidare föreslås författningsreglerad skyldighet för Migrationsverket att till landsting och kommuner lämna vissa angivna uppgifter om utlänningar.

Därutöver har kartläggningen av personuppgiftsbehandlingen påvisat behov av ytterligare författningsförslag för att lösa några sekretessproblem.

Således föreslås att bestämmelsen i 7 kap. 14 § fjärde stycket sekretesslagen ändras genom att den anpassas till den nya EGförordning som ersatt det avtal som den nuvarande lydelsen av bestämmelsen gäller, den s.k. Dublinkonventionen. Vidare föreslås att det i samma paragraf införs en bestämmelse om att sekretess inte hindrar att särskilt angivna uppgifter om utlänning i vissa fall lämnas till Svenska röda korset. Slutligen föreslås att personuppgiftslämnandet till utländska myndigheter enligt Schengenkonventionens rådfrågningssystem författningsregleras i utlänningsförordningen (1989:547).

• Sida 21
•  Original

Summary

Introduction

The assignment given to the Commission by its terms of reference has been to survey the processing of personal data in activities under the legislation on aliens and citizenship. Taking a comprehensive view, the Commission is instructed to examine the system of regulations and propose legislative amendments and other measures needed to bring the legal regulations fully into line with the Personal Data Act (1998:204).

The Personal Data Act came into being in transposition of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (generally known as the Data Protection Directive).

The survey undertaken by the Commission has led to the conclusion that for a number of reasons presented in this report, special provisions need to be introduced in the legislation to regulate the processing of personal data in this area of activities.

A new act on the processing of personal data in activities under the legislation on aliens and citizenship

Some points of departure

The proposals made by the Commission are to the effect that the processing of personal data in activities under the legislation on aliens and citizenship should be legally regulated by an act adapted to the provisions of the Personal Data Act and the Data Protection Directive. The name proposed for the act is the Personal Data of

Aliens Act. This act will replace the current Ordinance on the

• Sida 22
•  Original

Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).

One of the fundamental points of departure for the Commission has been that the overall purpose of the act must be to protect individuals against undue intrusions into their personal integrity. At the same time, the provisions of the act reflect a reasonable balance between the claims of individuals to protection of their integrity and the interest of society in the ability of public authorities in this area to make rational and effective use of modern information technology in the pursuit of their duties.

Another point of departure is that the act must not be tied to any particular technology, one consideration here being to leave the authorities free to make changes in their computer organisation and benefit from any new technology that may become available. One effect of the Commission’s proposal will be that the provisions of the act will not stand in the way of a future switch to a wholly electronic processing of business by the public authorities.

Finally, with one exception, the Commission has not found cause to propose special provisions for registers or other compilations of data. These compilations will therefore be covered by the general provisions of the Personal Data of Aliens Act concerning processing of personal data. The exception concerns the register of fingerprints and photographs kept by the Swedish Migration Board, for which certain special provisions are proposed.

Scope

The proposed act is to apply to the processing of personal data in activities under the legislation on aliens and citizenship that are carried out by the Government Offices, the Swedish Migration Board, the Aliens Appeals Board, the Swedish Integration Board, the National Police Board and police authorities, and Swedish missions abroad. The area of activity will be defined more precisely in the act. In order to come under the scope of the Act, the processing of personal data must occur in activities relating to

1. the entry of aliens into Sweden or some other state that be-

longs to the European Union or the European Economic Area, residence or work in Sweden, or exit from Sweden,

2. the reception of asylum seekers and other aliens,

3. aid and allowances paid to aliens,

• Sida 23
•  Original

4. Swedish citizenship,

5. compensation from central government for costs relating to

aliens, or

6. the taking up of residence by aliens.

This specification of activities is exhaustive. This implies, among other things, that the processing of personal data in the course of internal administrative activities at public authorities does not come under the scope of the act. Furthermore, an explicit provision is proposed stating that processing of personal data under the Police Data Protection Act (1998:622), the Act on the Schengen Information System (2000:344) or the Council Regulation (EC) No 2725/2000 of 11 December 2000 concerning the establishment of ‘Eurodac’ for the comparison of fingerprints for the effective application of the Dublin Convention, shall fall outside the scope of the act. Thus, the proposed act shall be subsidiary to the statutes mentioned.

Like the Personal Data Act, it is proposed that the new act should apply to all wholly or partially computerised processing of personal data. The act will therefore apply regardless of whether processing occurs, for example, in large computerised compilations of data existing in shared networks or registers, in e-mail or in a word processing program in an individual official’s separate personal computer. Manual processing will also come under the provisions of the Act, if the personal data is included or is intended for inclusion in an organised collection of personal data which is accessible for searching or compilation according to specific criteria, i.e. a register.

Relationship to the Personal Data Act

The proposed act will contain only such special provisions, exemptions and clarifications in relation to the Personal Data Act as the Commission has deemed necessary, either to enable working duties in the area of activities to be carried out in a satisfactory manner or to guarantee the individuals registered more effective protection of their personal integrity than they would otherwise receive under the Personal Data Act.

• Sida 24
•  Original

The Personal Data Act shall thus apply to the processing of personal data in activities under the legislation on aliens and citizenship, unless otherwise indicated in the Personal Data of Aliens Act.

One of the implications of these observations is that the provisions of the Personal Data Act on definitions and fundamental requirements as regards the processing of personal data shall also apply when personal data are processed in activities under the legislation on aliens and citizenship. Further, it may be observed that the regulations given in the Personal Data Act on the information that must be provided to registered individuals, on security aspects of data processing and on the powers of the supervisory authority will be applicable. The Data Inspection Board will be the supervisory authority when personal data is processed under the Personal Data of Aliens Act, as in other cases.

Controller of personal data

It is proposed that the authority undertaking processing or responsible for doing so should be controller of personal data in the case. However, it is proposed that the Swedish Migration Board should be controller of personal data in cases where personal data is processed by the Swedish Integration Board in connection with applications for compensation from central government for costs involved in receiving refugees, etc., and in cases where Swedish missions abroad process personal data under the Personal Data of Aliens Act.

What is meant by controller of personal data is made clear in the Personal Data Act.

When processing is permitted

The Commission proposes that personal data should be subject to collection and further processing only if this is necessary for certain purposes. The purposes will be specified in the act. Any piece of personal data collected is presumed to be available for all these purposes. The proposed purposes are as follows:

1. handling of cases or an authority’s assistance in such cases (case

handling),

• Sida 25
•  Original

2. control of aliens in connection with entry and exit and control

during residence in Sweden (external and internal control of aliens),

3. performance of working duties relating to the reception and

settling of asylum seekers and other aliens (actual reception and settling activities),

4. release of information pursuant to acts or ordinances, or in

accordance with Sweden’s membership of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag (release of information),

5. enquiries about decisions, court reports, other legal information

and information concerning circumstances in other countries that is likely to be of guidance in case handling (information enquiries),

6. supervision, monitoring, follow-up and planning, or

7. production of statistics.

The Commission proposes that all personal data that is necessary for the purpose for which the processing is being undertaken shall be subject to processing. However, it is proposed that sensitive personal data should only be subject to processing if absolutely necessary. The regulations given in the Personal Data Act concerning processing of data on violations of the law, etc., and processing of personal identity numbers shall also apply to processsing under the Personal Data of Aliens Act.

Where the Swedish Migration Board’s computerised register of fingerprints and photographs taken under the authority of the Aliens Act (1989:529) is concerned, it is proposed that the purpose be defined more restrictively. Further, it is proposed that the Government direct in an ordinance issued in conjunction with the new act that the register shall only be permitted to contain certain types of information.

Search terms

Out of respect for individual integrity, certain restrictions are proposed on the freedom of public authorities to search for and compile personal data.

• Sida 26
•  Original

Under the proposal, there will be a ban on sensitive personal data, such as are specified in Section 13 of the Personal Data Act, being used as search terms in data processing for purposes of case handling, external and internal control of aliens, actual reception and settling activities and release of information. In data processing for the purpose of supervision, monitoring, follow-up and planning and for the purpose of production of statistics, it is proposed that the only types of sensitive personal data specified in Section 13 of the Personal Data Act that may be used as a search term shall be data that reveal ethnic origin or have to do with health.

No equivalent restrictions are proposed as regards the purpose of information enquiries, since the authorities have an evident and legitimate need to be able to search for and use precisely these types of compilations of data as reference material when assessing individual cases.

Further, it is proposed that personal data relating to violations of the law, etc., should not be eligible for use as a search term unless such data refers to decisions ordering detention under the Aliens Act.

Release of personal data

As mentioned above, one form the processing of personal data may take is release. In order to protect individual personal integrity certain provisions are proposed in the act that target the manner in which data processed under the Personal Data of Aliens Act is released. There are no equivalent provisions in the Personal Data Act.

In order to neutralise the special integrity risks that can be associated with the release of personal data on media for computerised data processing, such as a CD-ROM, the act will incorporate certain restrictions on when data may be released in any such manner to an EU institution or a foreign authority in an EU or EEA country. Further, data may only be released in such a manner to an individual when the Government has issued directions to this effect. Such directions should be issued in an ordinance promulgated with reference to the act. There are no grounds for regulations restricting the release of personal data on media for computerised data processing to a Swedish public authority or agency.

• Sida 27
•  Original

Provisions are proposed in the act that will exhaustively regulate the release of personal data by direct access. Direct access represents a special form of data release on media for computerised data processing. The special characteristic of direct access is that recipients themselves can search for and study data in the provider’s data system via a technical connection with that system.

Under the Commission’s proposal, for the purpose of case handling, the Government Offices, the Aliens Appeals Board, the Swedish Integration Board, the National Police Board and police authorities, and Swedish missions abroad will be allowed direct access to personal data processed in computerised systems by the Swedish Migration Board for the same purpose. The National Police Board and police authorities will also be permitted to use their direct access facilities for the purpose of external and internal control of aliens.

Furthermore, it is proposed that the Aliens Appeals Board and Swedish missions abroad should have direct access to personal data kept by the Swedish Migration Board which is processed for the purpose of information enquiries.

No direct access other than stated here shall therefore be permitted. One consequence of this for the National Board of Student Aid is that under the Commission’s proposal it will no longer have direct access to the Swedish Migration Board’s STAMM data system.

Where direct access is concerned, the Government has the right to issue more restrictive regulations than those specified in the act.

The provisions of the act regarding the release of data on media for computerised data processing and direct access entail no obligation for the authorities to release personal data by these means. In its role as controller of personal data, for example, the Swedish Migration Board may completely refrain from permitting direct access, e.g. if the Board finds that the personal data will not be protected by acceptable security measures at the receiving authority.

Transfer of personal data to a third country

Because of the highly international nature of the area of activity, the Commission considers it necessary to provide greater freedom in certain respects to transfer personal data to a country that is not a member of the EU or the EEA, i.e. to a third country, than is

• Sida 28
•  Original

allowed under the Personal Data Act. Provisions concerning such transfers are therefore proposed that diverge from the provisions of the Personal Data Act.

Retention of personal data, etc.

Under the proposal, records of personal data occurring in activities under the legislation on aliens and citizenship shall be kept or eliminated in accordance with the provisions of the Archives Act (1990:782). No pertinent provisions are required in the Personal Data of Aliens Act. However, a special regulation is proposed for the register of fingerprints kept by the Swedish Migration Board, from which records shall be eliminated in accordance with current regulations. It is proposed that this record elimination provision be incorporated in an ordinance to be issued in conjunction with the Personal Data of Aliens Act.

In order to protect individual personal integrity, however, it is important that no more data than necessary is accessible by a large number of persons in intra- or inter-authority computer systems. The Commission therefore proposes that personal data in computerised data compilations that are used in the authorities’ day-today core activities shall be separated from these data compilations when they are no longer needed for these activities. Thus, personal data that is not of current interest but is nevertheless sensitive from the point of view of personal integrity shall be protected against unnecessary access. Authority to access the separated data shall therefore only be granted to those who have an unavoidable need of the data to be able to perform their working duties, e.g. authority archivists.

Rectification, damages and appeals

The provisions of the Personal Data Act regarding rectification of personal data and damages shall apply to the processing of personal data under the Personal Data of Aliens Act. Reference is made to the regulations concerning rectification and damages in the Personal Data Act.

It shall be possible to appeal to an administrative court against decisions made by an authority relating to rectification or to pro-

• Sida 29
•  Original

vision of information under Section 26 of the Personal Data Act. Appeals to the Administrative Court of Appeal shall only be allowed if review dispensation has been granted. No other decisions are subject to appeal.

Additional provisions

It shall be prescribed in the act that – over and above the matter of authorisation concerning the register of fingerprints and release of data to private individuals on media for computerised processing – the Government may issue additional regulations that are more restrictive than the provisions of the act itself as regards purposes, categories of personal data, search terms, direct access and the transfer of data to a third country. It is further proposed that the Government may issue regulations on the separation of personal data and on security measures to protect personal data.

Finally, it is proposed that in certain cases the Government should delegate the right to issue regulations to some other authority.

A proposal is made for an ordinance to be issued in conjunction with the act.

Secrecy

The proposed Personal Data of Aliens Act aims to allow the release of personal data to an extent corresponding to the present situation. However, the personal data processed in activities under the legislation on aliens and citizenship is largely subject to secrecy. In particular, secrecy pertaining to aliens under Chapter 7 Section 14 of the Secrecy Act (1980:100) is applicable to personal data.

The examination undertaken by the Commission has revealed, among other things, that large-scale, routine exchanges of secret data take place between authorities active in this area. In a substantial proportion of cases, the general clause in Chapter 14 Section 3 of the Secrecy Act is adduced in support of the release of data. In the opinion of the Commission, this state of affairs is not wholly satisfactory. The Commission has therefore found reason to propose certain provisions on limitations of secrecy, as follows.

A secrecy-limiting obligation to provide information shall be introduced in the Aliens Act, applying between the Swedish Migration

• Sida 30
•  Original

Board, the Aliens Appeals Board, the National Police Board and police authorities, and Swedish missions abroad, with reference to data relating to the personal circumstances of an alien or other individual, if these data are necessary for the activities conducted by the receiving authority under the Aliens Act. A corresponding duty to provide information, applying between the Swedish Migration Board, the Aliens Appeals Board and Swedish missions abroad, shall be introduced in the Swedish Citizenship Act (2001:82). A further proposal is a statutory obligation for the Swedish Migration Board to provide certain specific information about aliens to county and municipal councils.

Over and above these proposals, the examination of the processing of personal data has demonstrated a need for additional legislative proposals aimed at solving certain problems of secrecy.

Thus, it is proposed that the provision in Chapter 7, Section 14, fourth paragraph of the Secrecy Act should be amended by adapting it to the new EC regulation that has replaced the agreement to which the present wording of the provision refers, the “Dublin Convention”. It is further proposed that a provision be introduced in the same section to the effect that secrecy shall not prevent specially stipulated information about an alien being released to the Swedish Red Cross in certain cases. Finally, it is proposed that statutory provision should be made in the Aliens Ordinance (1989:547) for the release of personal data to foreign authorities under the Schengen Convention’s consultation system.

• Sida 31
•  Original

Författningsförslag

1. Förslag till utlänningsdatalag

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Regeringskansliets, Migrationsverkets, Utlänningsnämndens, Integrationsverkets, Rikspolisstyrelsens och polismyndigheternas samt utlandsmyndigheternas verksamhet som gäller

1. utlänningars inresa i Sverige eller i en stat som ingår i Euro-

peiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2. mottagande av asylsökande och andra utlänningar,

3. bistånd och bidrag till utlänningar,

4. svenskt medborgarskap,

5. statlig ersättning för kostnader för utlänningar, eller

6. bosättning av utlänningar.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier

.

2 § Lagen tillämpas inte då personuppgifter behandlas med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen¹.

¹ EGT L 316, 15.12.2000 (Celex 32000R2725)

• Sida 32
•  Original

^{Lagens förhållande till} personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i verksamhet enligt 1 § första stycket, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

^{Personuppgiftsansvar}

4 § Migrationsverket är personuppgiftsansvarigt för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter för ändamål som anges i 5 § första stycket 1. I övrigt är den myndighet som anges i 1 § personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.

När behandling av personuppgifter är tillåten

5 § Personuppgifter får behandlas om det är nödvändigt för

1. handläggning av ärenden eller en myndighets biträde i sådana

ärenden,

2. kontroll av utlänning i samband med inresa och utresa samt

kontroll under vistelsen i Sverige,

3. utförande av arbetsuppgifter som gäller mottagande och bosätt-

ning av asylsökande och andra utlänningar,

4. uppgiftsutlämnande som sker med stöd av lag eller förordning,

följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation,

5. återsökning av avgöranden, rättsutredningar, annan rättslig infor-

mation samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden,

6. tillsyn, kontroll, uppföljning och planering, eller

7. framställning av statistik.

Personuppgifter som behandlas enligt lagen skall anses insamlade för samtliga ändamål som anges i första stycket, om inte annat angetts vid insamlingen.

• Sida 33
•  Original

6 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om uppgifterna är oundgängligen nödvändiga för syftet med behandlingen.

7 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.

8 § Migrationsverket får föra ett automatiserat register över fingeravtryck och fotografier (fingeravtrycksregister) som tas med stöd av 5 kap. 5 § utlänningslagen (1989:529). Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas samt i ärenden om avvisning och utvisning. Närmare föreskrifter om registret meddelas av regeringen.

^Sökbegrepp

9 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 5 § första stycket 1–4. Vid behandling för ändamål som anges i 5 § första stycket 6 eller 7 får inga andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller rör hälsa användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.

Begränsningar i fråga om utlämnande av personuppgifter på medium för automatiserad behandling

10 § Personuppgifter får lämnas ut på medium för automatiserad behandling till en institution inrättad av Europeiska unionen eller en utländsk myndighet i en stat som ingår i Europeiska unionen eller som är ansluten till Europeiska ekonomiska samarbetsområdet endast om det är nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.

• Sida 34
•  Original

Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Direktåtkomst m.m.

11 § För ändamål som anges i 5 § första stycket 1 får Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst gäller även för ändamål som anges i 5 § första stycket 2.

Direktåtkomsten får inte avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras.

12 § För ändamål som anges i 5 § första stycket 5 får Utlänningsnämnden och utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål.

13 § Behörighet för åtkomst till personuppgifter som behandlas automatiserat får endast ges till de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.

^Sekretess

14 § I sekretesslagen (1980:100) finns begränsningar i fråga om utlämnande av personuppgifter som behandlas i verksamhet som anges i 1 § första stycket.

Överföring av personuppgifter till tredje land

15 § Personuppgifter får föras över till en stat som inte ingår i Europeiska unionen och heller inte är ansluten till Europeiska ekonomiska samarbetsområdet (tredje land), om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.