SOU 2003:40
Utlänningsdatalag
Till Statsrådet Jan O. Karlsson
Regeringen beslutade den 20 december 2001 att tillkalla en särskild utredare för att kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren skall utifrån ett helhetsperspektiv granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).
Den 5 februari 2002 förordnades lagmannen Sigurd Heuman att fr.o.m. den 1 februari 2002 vara särskild utredare.
Som experter har fr.o.m. den 1 februari 2002 medverkat kammarrättsrådet, tillika vice ordförande på avdelning, Gerhard Gammer, Kammarrätten i Stockholm, rådmannen Lars Henriksson, Malmö tingsrätt, kammarrättsassessorn Bo Nordelius, Utrikesdepartementet, verksjuristen Elisabet Permvall, Migrationsverket, ordföranden Gunilla Persson, Utlänningsnämnden, och avdelningsdirektören Anna-Karin Waldton, Datainspektionen. Departementssekreteraren Lars Sjögren, Utrikesdepartementet, medverkade som expert t.o.m. den 30 juni 2002. Departementsrådet Lars Påhlsson, Utrikesdepartementet, har medverkat som expert fr.o.m. den 1 juli 2002.
Sekreterare åt utredningen har varit hovrättsassessorn Anna Tansjö.
Utredningen har antagit namnet Utlänningsdatautredningen (UD 2001:05).
Härmed överlämnar utredningen sitt betänkande Utlänningsdatalag (SOU 2003:40).
Utredningens uppdrag är därmed slutfört.
Helsingborg i april 2003
Sigurd Heuman
/Anna Tansjö
Sammanfattning
Inledning
Utredningens direktiv innebär ett uppdrag att kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utifrån ett helhetsperspektiv skall utredningen granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).
Personuppgiftslagen har tillkommit som ett genomförande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Utredningens kartläggning har resulterat i slutsatsen att det av flera skäl som redovisas i detta betänkande behövs en särreglering i lag av personuppgiftsbehandlingen inom verksamhetsområdet.
En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
Några utgångspunkter
Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen författningsregleras i en lag som är anpassad till personuppgiftslagen och dataskyddsdirektivet. Lagen föreslås få namnet utlänningsdatalag. Lagen ersätter den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
En av utredningens grundläggande utgångspunkter är att lagens övergripande syfte skall vara att skydda den enskilde mot otillbör-
liga intrång i dennes personliga integritet. Samtidigt avspeglar lagens bestämmelser en rimlig avvägning mellan enskildas anspråk på integritetsskydd och samhällsintresset av att myndigheterna inom verksamhetsområdet på ett rationellt och effektivt sätt skall kunna använda modern informationsteknik vid fullgörandet av sina uppgifter.
En annan utgångspunkt är att lagen skall vara teknikoberoende, bl.a. för att lämna myndigheterna utrymme att förändra sin datorstruktur och dra nytta av nya tekniska möjligheter som kan komma att bli tillgängliga. Utredningens förslag innebär bl.a. att lagens bestämmelser inte hämmar en framtida övergång till fullständig elektronisk ärendehantering inom myndigheterna.
Slutligen har utredningen, med ett undantag, inte funnit skäl att föreslå särskilda bestämmelser för register eller andra uppgiftssamlingar. Dessa samlingar omfattas således av utlänningsdatalagens allmänna bestämmelser om behandling av personuppgifter. Undantaget gäller Migrationsverkets register över fingeravtryck och fotografier för vilket vissa särbestämmelser föreslås.
Tillämpningsområde
Den föreslagna lagen skall tillämpas vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen som utförs av Regeringskansliet, Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna. Verksamhetsområdet preciseras i lagen. För att omfattas av lagens tillämpningsområde skall personuppgiftsbehandlingen företas i verksamhet som gäller
1. utlänningars inresa i Sverige eller i en stat som ingår i
Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. mottagande av asylsökande och andra utlänningar,
3. bistånd och bidrag till utlänningar,
4. svenskt medborgarskap,
5. statlig ersättning för kostnader för utlänningar eller
6. bosättning av utlänningar.
Verksamhetspreciseringen är uttömmande. Det innebär bl.a. att behandling av personuppgifter i myndigheternas internadministrativa verksamhet inte omfattas av lagens tillämpningsområde. Vidare föreslås en uttrycklig bestämmelse som anger att personuppgiftsbehandlingen som sker med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättandet av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen faller utanför lagens tillämpningsområde. Den föreslagna lagen är alltså subsidiär i förhållande till de nämnda regelverken.
Liksom personuppgiftslagen föreslås lagen gälla all helt eller delvis automatiserad behandling av personuppgifter. Lagen är alltså tillämplig oavsett om behandlingen sker t.ex. i stora automatiserade uppgiftssamlingar i gemensamma nätverk eller register, i e-post eller i ett ordbehandlingsprogram i en enskilds tjänstemans separata persondator. Även manuell behandling omfattas av lagens bestämmelser, om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. register.
Förhållandet till personuppgiftslagen
Den föreslagna lagen innehåller bara de särbestämmelser, undantag och preciseringar i förhållande till personuppgiftslagen som utredningen bedömt nödvändiga antingen för att arbetsuppgifter inom verksamhetsområdet skall kunna utföras på ett tillfredsställande sätt eller för att garantera den enskilde registrerade ett starkare integritetsskydd än vad som annars följer av personuppgiftslagen.
Personuppgiftslagen skall således gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, om inte annat följer av utlänningsdatalagen.
Det sagda innebär bl.a. att personuppgiftslagens bestämmelser om definitioner och om grundläggande krav på behandling av personuppgifter gäller även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Vidare kan nämnas att personuppgiftslagens regler om information som skall lämnas till den registrerade, om säkerheten vid behandling och om tillsynsmyndighetens befogenheter kommer att vara tillämp-
liga. Datainspektionen skall vara tillsynsmyndighet även då personuppgifter behandlas enligt utlänningsdatalagen.
Personuppgiftsansvar
Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behandlingen. Migrationsverket föreslås dock vara personuppgiftsansvarigt för den behandling av personuppgifter som företas av Integrationsverket i samband med handläggning av ärenden om statlig ersättning för kostnader för flyktingmottagande m.m. och för utlandsmyndigheternas personuppgiftsbehandling enligt utlänningsdatalagen.
Innebörden av personuppgiftsansvaret framgår av personuppgiftslagen.
När behandling är tillåten
Personuppgifter får, enligt utredningens förslag, samlas in och fortsättningsvis behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen anges konkret i lagen. En personuppgift presumeras vara insamlad för samtliga dessa ändamål. De föreslagna ändamålen är följande.
1. Handläggning av ärenden eller en myndighets biträde i sådana ärenden (ärendehandläggning),
2. kontroll av utlänning i samband med inresa och utresa samt
kontroll under vistelsen i Sverige (yttre och inre utlänningskontroll),
3. utförande av arbetsuppgifter som gäller mottagande och bosätt-
ning av asylsökande och andra utlänningar (faktisk mottagnings- och bosättningsverksamhet),
4. uppgiftsutlämnande som sker med stöd av lag eller förordning,
följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation (uppgiftsutlämnande),
5. återsökning av avgöranden, rättsutredningar, annan rättslig in-
formation samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden (informationsåtersökning),
6. tillsyn, kontroll, uppföljning och planering, eller
7. framställning av statistik.
Utredningen föreslår att alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs skall få behandlas. Känsliga personuppgifter föreslås emellertid få behandlas endast då det är oundgängligen nödvändigt. Personuppgiftslagens regler om behandling av uppgifter om lagöverträdelser m.m. samt behandling av personnummer skall gälla även vid behandling enligt utlänningsdatalagen.
För Migrationsverkets automatiserade register över fingeravtryck och fotografier som tas med stöd av utlänningslagen (1989:529) föreslås en mer inskränkt ändamålsbestämmelse. Vidare föreslås att regeringen i en förordning som utfärdas i anslutning till lagen bl.a. föreskriver att registret endast skall få innehålla vissa uppgifter.
Sökbegrepp
Av hänsyn till enskildas integritet föreslås vissa begränsningar av myndigheternas möjligheter att söka och sammanställa personuppgifter.
Känsliga personuppgifter som anges i 13 § personuppgiftslagen får enligt förslaget inte användas som sökbegrepp vid behandling för ändamålen ärendehandläggning, yttre och inre utlänningskontroll, faktisk mottagnings- och bosättningsverksamhet och uppgiftsutlämnande. Vid behandling för ändamålet tillsyn, kontroll, uppföljning och planering samt för ändamålet framställning av statistik föreslås att av känsliga personuppgifter enligt 13 § personuppgiftslagen skall endast sådana som avslöjar etniskt ursprung eller rör hälsa få användas som sökbegrepp.
Några motsvarande inskränkningar föreslås inte i fråga om ändamålet informationsåtersökning, eftersom det finns ett påtagligt och befogat behov hos myndigheterna av att kunna söka efter och använda just sådana uppgiftssammanställningar som referensmaterial vid bedömningar i enskilda ärenden.
Vidare föreslås att personuppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp i annat fall än då uppgifterna gäller beslut om förvar enligt utlänningslagen.
Utlämnande av personuppgifter
Personuppgifter får såsom tidigare sagts behandlas genom att lämnas ut. För att skydda enskildas personliga integritet föreslås i lagen vissa bestämmelser som tar sikte på sättet på vilket uppgifter som behandlas enligt utlänningsdatalagen lämnas ut. Motsvarande bestämmelser saknas helt i personuppgiftslagen.
För att motverka de särskilda integritetsrisker som kan vara förknippade med att personuppgifter lämnas ut på medium för automatiserad behandling, t.ex. på en CD-romskiva, innehåller lagen vissa begränsningar för när sådant utlämnande får ske till ett EU-organ eller till utländsk myndighet i ett EU-land eller i ett land som är anslutet till EES. Vidare får sådant utlämnande ske till enskild bara då regeringen har meddelat föreskrifter om det. Sådana föreskrifter bör meddelas i en förordning som utfärdas i anslutning till lagen. Någon regel som begränsar när personuppgifter skall få lämnas ut på medium för automatiserad behandling till en svensk myndighet är inte motiverad.
I lagen föreslås bestämmelser som uttömmande reglerar när personuppgifter får lämnas ut genom direktåtkomst. Direktåtkomst utgör en specialform av utlämnande på medium för automatiserad behandling. Särpräglat för direktåtkomst är att mottagaren kan, genom teknisk koppling till utlämnarens datasystem, själv söka efter och ta del av uppgifter i datasystemet.
Enligt utredningens förslag skall Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna för ändamålet ärendehandläggning få ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst skall också få användas för ändamålet yttre och inre utlänningskontroll.
Utlänningsnämnden och utlandsmyndigheterna föreslås vidare få ha direktåtkomst till Migrationsverkets personuppgifter som behandlas för ändamålet informationsåtersökning.
Annan direktåtkomst än den sagda skall alltså inte vara tillåten. För Centrala studiestödsnämndens del innebär detta att nämnden
enligt utredningens förslag inte längre kommer att få ha direktåtkomst till Migrationsverkets datasystem STAMM.
Regeringen ges rätt att meddela föreskrifter som innebär begränsningar i förhållande till vad lagen anger i fråga om direktåtkomst.
Lagens bestämmelser om utlämnande på medium för automatiserad behandling samt direktåtkomst medför ingen förpliktelse för myndigheterna att lämna ut personuppgifter på dessa sätt. Bl.a. följer av Migrationsverkets personuppgiftsansvar att verket kan helt avstå från att medge direktåtkomst, t.ex. om verket finner att personuppgifterna inte skyddas genom godtagbara säkerhetsåtgärder hos den mottagande myndigheten.
Överföring av personuppgifter till tredje land
På grund av verksamhetsområdets utpräglat internationella karaktär anser utredningen att det är nödvändigt med vissa utvidgade möjligheter att överföra personuppgifter till ett land som inte är medlem i EU eller anslutet till EES, dvs. till tredje land, än vad som följer av personuppgiftslagen. Från personuppgiftslagen avvikande bestämmelser om sådan överföring föreslås därför.
Bevarande av personuppgifter m.m.
Personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall enligt förslaget bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Det behövs ingen bestämmelse om det i utlänningsdatalagen. En särregel föreslås dock för Migrationsverkets fingeravtrycksregister, som skall gallras enligt nuvarande ordning. Den gallringsbestämmelsen föreslås införas i en förordning som utfärdas i anslutning till utlänningsdatalagen.
För att skydda enskildas personliga integritet är det emellertid viktigt att inte fler uppgifter än nödvändigt är tillgängliga för ett stort antal personer i myndighetsinterna eller myndighetsöverskridande datorsystem. Utredningen föreslår därför att personuppgifter i automatiserade uppgiftssamlingar, som används i myndigheternas löpande kärnverksamhet, skall avskiljas från dessa uppgiftssamlingar när de inte längre behövs i denna verksamhet. För verksamheten inaktuella men ändå integritetskänsliga person-
uppgifter skall alltså genom avskiljandet skyddas mot onödig åtkomst. Behörighet för åtkomst till avskilda uppgifter skall därför bara tillåtas dem som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter, t.ex. verksarkivarier.
Rättelse, skadestånd och överklagande
Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall gälla vid behandling av personuppgifter enligt utlänningsdatalagen. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.
En myndighets beslut om rättelse eller om information enligt 26 § personuppgiftslagen skall kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätten. Andra beslut får inte överklagas.
Ytterligare bestämmelser
I lagen föreskrivs att regeringen – utöver bemyndiganden rörande fingeravtrycksregistret och utlämnande till enskild på medium för automatiserad behandling – får meddela ytterligare föreskrifter som innebär begränsningar i förhållande till lagens bestämmelser såvitt avser ändamål, personuppgiftskategorier, sökbegrepp, direktåtkomst och överföring till tredje land. Vidare föreslås att regeringen får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter.
Slutligen föreslås att regeringen i vissa fall får delegera föreskriftsrätten till annan myndighet.
Ett förslag till förordning som utfärdas i anslutning till lagen lämnas.
Sekretess
Förslaget till utlänningsdatalag syftar till att personuppgifter skall kunna utlämnas i motsvarande omfattning som i dag sker. De personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen omfattas emellertid i stor utsträckning av sekretess. Främst är det utlänningssekretess enligt 7 kap.
14 § sekretesslagen (1980:100) som är tillämplig på personuppgifterna.
I utredningens kartläggning har framkommit att sekretessbelagda uppgifter bl.a. utbyts i stor omfattning och rutinmässigt mellan myndigheter som är aktiva inom verksamhetsområdet. För en väsentlig del av uppgiftsutbytet åberopas den s.k. generalklausulen i 14 kap. 3 § sekretesslagen till stöd för utlämnandet. Enligt utredningens uppfattning är denna ordning inte helt tillfredsställande. Utredningen har därför funnit skäl att föreslå vissa sekretessbrytande bestämmelser, nämligen följande.
I utlänningslagen införs en sekretessbrytande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i fråga om uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. En motsvarande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden och utlandsmyndigheterna införs i lagen (2001:82) om svenskt medborgarskap. Vidare föreslås författningsreglerad skyldighet för Migrationsverket att till landsting och kommuner lämna vissa angivna uppgifter om utlänningar.
Därutöver har kartläggningen av personuppgiftsbehandlingen påvisat behov av ytterligare författningsförslag för att lösa några sekretessproblem.
Således föreslås att bestämmelsen i 7 kap. 14 § fjärde stycket sekretesslagen ändras genom att den anpassas till den nya EGförordning som ersatt det avtal som den nuvarande lydelsen av bestämmelsen gäller, den s.k. Dublinkonventionen. Vidare föreslås att det i samma paragraf införs en bestämmelse om att sekretess inte hindrar att särskilt angivna uppgifter om utlänning i vissa fall lämnas till Svenska röda korset. Slutligen föreslås att personuppgiftslämnandet till utländska myndigheter enligt Schengenkonventionens rådfrågningssystem författningsregleras i utlänningsförordningen (1989:547).
Summary
Introduction
The assignment given to the Commission by its terms of reference has been to survey the processing of personal data in activities under the legislation on aliens and citizenship. Taking a comprehensive view, the Commission is instructed to examine the system of regulations and propose legislative amendments and other measures needed to bring the legal regulations fully into line with the Personal Data Act (1998:204).
The Personal Data Act came into being in transposition of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (generally known as the Data Protection Directive).
The survey undertaken by the Commission has led to the conclusion that for a number of reasons presented in this report, special provisions need to be introduced in the legislation to regulate the processing of personal data in this area of activities.
A new act on the processing of personal data in activities under the legislation on aliens and citizenship
Some points of departure
The proposals made by the Commission are to the effect that the processing of personal data in activities under the legislation on aliens and citizenship should be legally regulated by an act adapted to the provisions of the Personal Data Act and the Data Protection Directive. The name proposed for the act is the Personal Data of
Aliens Act. This act will replace the current Ordinance on the
Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).
One of the fundamental points of departure for the Commission has been that the overall purpose of the act must be to protect individuals against undue intrusions into their personal integrity. At the same time, the provisions of the act reflect a reasonable balance between the claims of individuals to protection of their integrity and the interest of society in the ability of public authorities in this area to make rational and effective use of modern information technology in the pursuit of their duties.
Another point of departure is that the act must not be tied to any particular technology, one consideration here being to leave the authorities free to make changes in their computer organisation and benefit from any new technology that may become available. One effect of the Commission’s proposal will be that the provisions of the act will not stand in the way of a future switch to a wholly electronic processing of business by the public authorities.
Finally, with one exception, the Commission has not found cause to propose special provisions for registers or other compilations of data. These compilations will therefore be covered by the general provisions of the Personal Data of Aliens Act concerning processing of personal data. The exception concerns the register of fingerprints and photographs kept by the Swedish Migration Board, for which certain special provisions are proposed.
Scope
The proposed act is to apply to the processing of personal data in activities under the legislation on aliens and citizenship that are carried out by the Government Offices, the Swedish Migration Board, the Aliens Appeals Board, the Swedish Integration Board, the National Police Board and police authorities, and Swedish missions abroad. The area of activity will be defined more precisely in the act. In order to come under the scope of the Act, the processing of personal data must occur in activities relating to
1. the entry of aliens into Sweden or some other state that be-
longs to the European Union or the European Economic Area, residence or work in Sweden, or exit from Sweden,
2. the reception of asylum seekers and other aliens,
3. aid and allowances paid to aliens,
4. Swedish citizenship,
5. compensation from central government for costs relating to
aliens, or
6. the taking up of residence by aliens.
This specification of activities is exhaustive. This implies, among other things, that the processing of personal data in the course of internal administrative activities at public authorities does not come under the scope of the act. Furthermore, an explicit provision is proposed stating that processing of personal data under the Police Data Protection Act (1998:622), the Act on the Schengen Information System (2000:344) or the Council Regulation (EC) No 2725/2000 of 11 December 2000 concerning the establishment of ‘Eurodac’ for the comparison of fingerprints for the effective application of the Dublin Convention, shall fall outside the scope of the act. Thus, the proposed act shall be subsidiary to the statutes mentioned.
Like the Personal Data Act, it is proposed that the new act should apply to all wholly or partially computerised processing of personal data. The act will therefore apply regardless of whether processing occurs, for example, in large computerised compilations of data existing in shared networks or registers, in e-mail or in a word processing program in an individual official’s separate personal computer. Manual processing will also come under the provisions of the Act, if the personal data is included or is intended for inclusion in an organised collection of personal data which is accessible for searching or compilation according to specific criteria, i.e. a register.
Relationship to the Personal Data Act
The proposed act will contain only such special provisions, exemptions and clarifications in relation to the Personal Data Act as the Commission has deemed necessary, either to enable working duties in the area of activities to be carried out in a satisfactory manner or to guarantee the individuals registered more effective protection of their personal integrity than they would otherwise receive under the Personal Data Act.
The Personal Data Act shall thus apply to the processing of personal data in activities under the legislation on aliens and citizenship, unless otherwise indicated in the Personal Data of Aliens Act.
One of the implications of these observations is that the provisions of the Personal Data Act on definitions and fundamental requirements as regards the processing of personal data shall also apply when personal data are processed in activities under the legislation on aliens and citizenship. Further, it may be observed that the regulations given in the Personal Data Act on the information that must be provided to registered individuals, on security aspects of data processing and on the powers of the supervisory authority will be applicable. The Data Inspection Board will be the supervisory authority when personal data is processed under the Personal Data of Aliens Act, as in other cases.
Controller of personal data
It is proposed that the authority undertaking processing or responsible for doing so should be controller of personal data in the case. However, it is proposed that the Swedish Migration Board should be controller of personal data in cases where personal data is processed by the Swedish Integration Board in connection with applications for compensation from central government for costs involved in receiving refugees, etc., and in cases where Swedish missions abroad process personal data under the Personal Data of Aliens Act.
What is meant by controller of personal data is made clear in the Personal Data Act.
When processing is permitted
The Commission proposes that personal data should be subject to collection and further processing only if this is necessary for certain purposes. The purposes will be specified in the act. Any piece of personal data collected is presumed to be available for all these purposes. The proposed purposes are as follows:
1. handling of cases or an authority’s assistance in such cases (case
handling),
2. control of aliens in connection with entry and exit and control
during residence in Sweden (external and internal control of aliens),
3. performance of working duties relating to the reception and
settling of asylum seekers and other aliens (actual reception and settling activities),
4. release of information pursuant to acts or ordinances, or in
accordance with Sweden’s membership of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag (release of information),
5. enquiries about decisions, court reports, other legal information
and information concerning circumstances in other countries that is likely to be of guidance in case handling (information enquiries),
6. supervision, monitoring, follow-up and planning, or
7. production of statistics.
The Commission proposes that all personal data that is necessary for the purpose for which the processing is being undertaken shall be subject to processing. However, it is proposed that sensitive personal data should only be subject to processing if absolutely necessary. The regulations given in the Personal Data Act concerning processing of data on violations of the law, etc., and processing of personal identity numbers shall also apply to processsing under the Personal Data of Aliens Act.
Where the Swedish Migration Board’s computerised register of fingerprints and photographs taken under the authority of the Aliens Act (1989:529) is concerned, it is proposed that the purpose be defined more restrictively. Further, it is proposed that the Government direct in an ordinance issued in conjunction with the new act that the register shall only be permitted to contain certain types of information.
Search terms
Out of respect for individual integrity, certain restrictions are proposed on the freedom of public authorities to search for and compile personal data.
Under the proposal, there will be a ban on sensitive personal data, such as are specified in Section 13 of the Personal Data Act, being used as search terms in data processing for purposes of case handling, external and internal control of aliens, actual reception and settling activities and release of information. In data processing for the purpose of supervision, monitoring, follow-up and planning and for the purpose of production of statistics, it is proposed that the only types of sensitive personal data specified in Section 13 of the Personal Data Act that may be used as a search term shall be data that reveal ethnic origin or have to do with health.
No equivalent restrictions are proposed as regards the purpose of information enquiries, since the authorities have an evident and legitimate need to be able to search for and use precisely these types of compilations of data as reference material when assessing individual cases.
Further, it is proposed that personal data relating to violations of the law, etc., should not be eligible for use as a search term unless such data refers to decisions ordering detention under the Aliens Act.
Release of personal data
As mentioned above, one form the processing of personal data may take is release. In order to protect individual personal integrity certain provisions are proposed in the act that target the manner in which data processed under the Personal Data of Aliens Act is released. There are no equivalent provisions in the Personal Data Act.
In order to neutralise the special integrity risks that can be associated with the release of personal data on media for computerised data processing, such as a CD-ROM, the act will incorporate certain restrictions on when data may be released in any such manner to an EU institution or a foreign authority in an EU or EEA country. Further, data may only be released in such a manner to an individual when the Government has issued directions to this effect. Such directions should be issued in an ordinance promulgated with reference to the act. There are no grounds for regulations restricting the release of personal data on media for computerised data processing to a Swedish public authority or agency.
Provisions are proposed in the act that will exhaustively regulate the release of personal data by direct access. Direct access represents a special form of data release on media for computerised data processing. The special characteristic of direct access is that recipients themselves can search for and study data in the provider’s data system via a technical connection with that system.
Under the Commission’s proposal, for the purpose of case handling, the Government Offices, the Aliens Appeals Board, the Swedish Integration Board, the National Police Board and police authorities, and Swedish missions abroad will be allowed direct access to personal data processed in computerised systems by the Swedish Migration Board for the same purpose. The National Police Board and police authorities will also be permitted to use their direct access facilities for the purpose of external and internal control of aliens.
Furthermore, it is proposed that the Aliens Appeals Board and Swedish missions abroad should have direct access to personal data kept by the Swedish Migration Board which is processed for the purpose of information enquiries.
No direct access other than stated here shall therefore be permitted. One consequence of this for the National Board of Student Aid is that under the Commission’s proposal it will no longer have direct access to the Swedish Migration Board’s STAMM data system.
Where direct access is concerned, the Government has the right to issue more restrictive regulations than those specified in the act.
The provisions of the act regarding the release of data on media for computerised data processing and direct access entail no obligation for the authorities to release personal data by these means. In its role as controller of personal data, for example, the Swedish Migration Board may completely refrain from permitting direct access, e.g. if the Board finds that the personal data will not be protected by acceptable security measures at the receiving authority.
Transfer of personal data to a third country
Because of the highly international nature of the area of activity, the Commission considers it necessary to provide greater freedom in certain respects to transfer personal data to a country that is not a member of the EU or the EEA, i.e. to a third country, than is
allowed under the Personal Data Act. Provisions concerning such transfers are therefore proposed that diverge from the provisions of the Personal Data Act.
Retention of personal data, etc.
Under the proposal, records of personal data occurring in activities under the legislation on aliens and citizenship shall be kept or eliminated in accordance with the provisions of the Archives Act (1990:782). No pertinent provisions are required in the Personal Data of Aliens Act. However, a special regulation is proposed for the register of fingerprints kept by the Swedish Migration Board, from which records shall be eliminated in accordance with current regulations. It is proposed that this record elimination provision be incorporated in an ordinance to be issued in conjunction with the Personal Data of Aliens Act.
In order to protect individual personal integrity, however, it is important that no more data than necessary is accessible by a large number of persons in intra- or inter-authority computer systems. The Commission therefore proposes that personal data in computerised data compilations that are used in the authorities’ day-today core activities shall be separated from these data compilations when they are no longer needed for these activities. Thus, personal data that is not of current interest but is nevertheless sensitive from the point of view of personal integrity shall be protected against unnecessary access. Authority to access the separated data shall therefore only be granted to those who have an unavoidable need of the data to be able to perform their working duties, e.g. authority archivists.
Rectification, damages and appeals
The provisions of the Personal Data Act regarding rectification of personal data and damages shall apply to the processing of personal data under the Personal Data of Aliens Act. Reference is made to the regulations concerning rectification and damages in the Personal Data Act.
It shall be possible to appeal to an administrative court against decisions made by an authority relating to rectification or to pro-
vision of information under Section 26 of the Personal Data Act. Appeals to the Administrative Court of Appeal shall only be allowed if review dispensation has been granted. No other decisions are subject to appeal.
Additional provisions
It shall be prescribed in the act that – over and above the matter of authorisation concerning the register of fingerprints and release of data to private individuals on media for computerised processing – the Government may issue additional regulations that are more restrictive than the provisions of the act itself as regards purposes, categories of personal data, search terms, direct access and the transfer of data to a third country. It is further proposed that the Government may issue regulations on the separation of personal data and on security measures to protect personal data.
Finally, it is proposed that in certain cases the Government should delegate the right to issue regulations to some other authority.
A proposal is made for an ordinance to be issued in conjunction with the act.
Secrecy
The proposed Personal Data of Aliens Act aims to allow the release of personal data to an extent corresponding to the present situation. However, the personal data processed in activities under the legislation on aliens and citizenship is largely subject to secrecy. In particular, secrecy pertaining to aliens under Chapter 7 Section 14 of the Secrecy Act (1980:100) is applicable to personal data.
The examination undertaken by the Commission has revealed, among other things, that large-scale, routine exchanges of secret data take place between authorities active in this area. In a substantial proportion of cases, the general clause in Chapter 14 Section 3 of the Secrecy Act is adduced in support of the release of data. In the opinion of the Commission, this state of affairs is not wholly satisfactory. The Commission has therefore found reason to propose certain provisions on limitations of secrecy, as follows.
A secrecy-limiting obligation to provide information shall be introduced in the Aliens Act, applying between the Swedish Migration
Board, the Aliens Appeals Board, the National Police Board and police authorities, and Swedish missions abroad, with reference to data relating to the personal circumstances of an alien or other individual, if these data are necessary for the activities conducted by the receiving authority under the Aliens Act. A corresponding duty to provide information, applying between the Swedish Migration Board, the Aliens Appeals Board and Swedish missions abroad, shall be introduced in the Swedish Citizenship Act (2001:82). A further proposal is a statutory obligation for the Swedish Migration Board to provide certain specific information about aliens to county and municipal councils.
Over and above these proposals, the examination of the processing of personal data has demonstrated a need for additional legislative proposals aimed at solving certain problems of secrecy.
Thus, it is proposed that the provision in Chapter 7, Section 14, fourth paragraph of the Secrecy Act should be amended by adapting it to the new EC regulation that has replaced the agreement to which the present wording of the provision refers, the “Dublin Convention”. It is further proposed that a provision be introduced in the same section to the effect that secrecy shall not prevent specially stipulated information about an alien being released to the Swedish Red Cross in certain cases. Finally, it is proposed that statutory provision should be made in the Aliens Ordinance (1989:547) for the release of personal data to foreign authorities under the Schengen Convention’s consultation system.
Författningsförslag
1. Förslag till utlänningsdatalag
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i Regeringskansliets, Migrationsverkets, Utlänningsnämndens, Integrationsverkets, Rikspolisstyrelsens och polismyndigheternas samt utlandsmyndigheternas verksamhet som gäller
1. utlänningars inresa i Sverige eller i en stat som ingår i Euro-
peiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. mottagande av asylsökande och andra utlänningar,
3. bistånd och bidrag till utlänningar,
4. svenskt medborgarskap,
5. statlig ersättning för kostnader för utlänningar, eller
6. bosättning av utlänningar.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier
.
2 § Lagen tillämpas inte då personuppgifter behandlas med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen1.
1 EGT L 316, 15.12.2000 (Celex 32000R2725)
Lagens förhållande till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i verksamhet enligt 1 § första stycket, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.
Personuppgiftsansvar
4 § Migrationsverket är personuppgiftsansvarigt för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter för ändamål som anges i 5 § första stycket 1. I övrigt är den myndighet som anges i 1 § personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.
När behandling av personuppgifter är tillåten
5 § Personuppgifter får behandlas om det är nödvändigt för
1. handläggning av ärenden eller en myndighets biträde i sådana
ärenden,
2. kontroll av utlänning i samband med inresa och utresa samt
kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosätt-
ning av asylsökande och andra utlänningar,
4. uppgiftsutlämnande som sker med stöd av lag eller förordning,
följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation,
5. återsökning av avgöranden, rättsutredningar, annan rättslig infor-
mation samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden,
6. tillsyn, kontroll, uppföljning och planering, eller
7. framställning av statistik.
Personuppgifter som behandlas enligt lagen skall anses insamlade för samtliga ändamål som anges i första stycket, om inte annat angetts vid insamlingen.
6 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om uppgifterna är oundgängligen nödvändiga för syftet med behandlingen.
7 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
8 § Migrationsverket får föra ett automatiserat register över fingeravtryck och fotografier (fingeravtrycksregister) som tas med stöd av 5 kap. 5 § utlänningslagen (1989:529). Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas samt i ärenden om avvisning och utvisning. Närmare föreskrifter om registret meddelas av regeringen.
Sökbegrepp
9 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 5 § första stycket 1–4. Vid behandling för ändamål som anges i 5 § första stycket 6 eller 7 får inga andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller rör hälsa användas som sökbegrepp.
Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.
Begränsningar i fråga om utlämnande av personuppgifter på medium för automatiserad behandling
10 § Personuppgifter får lämnas ut på medium för automatiserad behandling till en institution inrättad av Europeiska unionen eller en utländsk myndighet i en stat som ingår i Europeiska unionen eller som är ansluten till Europeiska ekonomiska samarbetsområdet endast om det är nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.
Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Direktåtkomst m.m.
11 § För ändamål som anges i 5 § första stycket 1 får Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst gäller även för ändamål som anges i 5 § första stycket 2.
Direktåtkomsten får inte avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras.
12 § För ändamål som anges i 5 § första stycket 5 får Utlänningsnämnden och utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål.
13 § Behörighet för åtkomst till personuppgifter som behandlas automatiserat får endast ges till de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.
Sekretess
14 § I sekretesslagen (1980:100) finns begränsningar i fråga om utlämnande av personuppgifter som behandlas i verksamhet som anges i 1 § första stycket.
Överföring av personuppgifter till tredje land
15 § Personuppgifter får föras över till en stat som inte ingår i Europeiska unionen och heller inte är ansluten till Europeiska ekonomiska samarbetsområdet (tredje land), om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.
Avskiljande
16 § Personuppgifter som behandlas automatiserat för ändamål som anges i 5 § första stycket 1–3 skall avskiljas från register, ärendehanteringssystem eller andra automatiserat behandlade uppgiftssamlingar, som används i löpande verksamhet, då uppgifterna inte längre är nödvändiga för denna verksamhet.
Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om avskiljande av personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Rättelse och skadestånd
17 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller författningar som har meddelats i anslutning till denna lag.
Överklagande
18 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Ytterligare föreskrifter
19 § Regeringen meddelar föreskrifter som innebär begränsningar, utöver vad som följer av denna lag, av de ändamål för vilka personuppgifter får behandlas, av vilka slags personuppgifter som får behandlas, av de sökbegrepp som får användas, av vilken direktåtkomst som får förekomma och av i vilken utsträckning personuppgifter får överföras till tredje land.
Regeringen får överlåta åt annan myndighet att för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar meddela föreskrifter om sådana begränsningar som avses i första stycket och som gäller ändamål, personuppgiftsslag eller överföring till tredje land.
20 § Regeringen meddelar närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas.
Regeringen får överlåta åt annan myndighet att meddela sådana föreskrifter för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
1. Denna lag träder i kraft den ….
2. Med undantag för bestämmelsen i 15 § skall lagens bestämmelser inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.
2. Förslag till lag om ändring i sekretesslagen (1980:100)
Härigenom föreskrivs att 7 kap. 14 § sekretesslagen (1980:100)1 skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
14 § 2
Sekretess gäller för uppgift som rör utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar.
Utöver vad som följer av första stycket gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. I verksamhet för kontroll över utlänningar gäller sekretess också för anmälan eller annan utsaga av enskild, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon närstående till honom eller henne utsätts för våld eller annat allvarligt men om uppgiften röjs Beträffande beslut i ärende som avses i detta stycke gäller sekretessen dock endast för uppgifter i skälen.
Utöver vad som följer av första stycket gäller sekretess hos Integrationsverket
1. i ärende om statlig ersättning för kostnader för mottagande av
flyktingar och andra skyddsbehövande som beviljats uppehållstillstånd och av personer som beviljats uppehållstillstånd på grund av anknytning till sådana utlänningar och
2. i verksamhet som avser medverkan till bosättning för personer
som omfattas av 1, för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.
1 Lagen omtryckt 1992:1474 2 Senaste lydelse 2002:1124
Utöver vad som följer av första stycket gäller sekretess hos Totalförsvarets pliktverk och Migrationsverket i verksamhet som avser mottagande och vidarebefordran av upplysningar m.m. om krigsfångar och andra skyddade personer som avses i Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter och tilläggsprotokollen till konventionerna, för uppgift om enskilds vistelseort, hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men.
Sekretess gäller, i den mån riksdagen har godkänt avtal om detta med främmande stat eller mellanfolklig organisation, för uppgifter som avses i första och andra styckena och som en myndighet fått enligt avtalet. Föreskrifterna i 14 kap. 1–3 §§ får i fråga om denna sekretess inte tillämpas i strid med avtalet.
Sekretess gäller för uppgifter som avses i första och andra styckena och som en myndighet fått enligt rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat3. Föreskrifterna i 14 kap. 1–3 §§ får i fråga om denna sekretess inte tillämpas i strid med förordningen.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.
Utan hinder av sekretess enligt första eller fjärde stycket eller enligt 2 kap. 1 eller 2 § får uppgifter som avses i fjärde stycket lämnas till den nationella upplysningsbyrån enligt vad som föreskrivs i 8 kap. 13 § lagen (1994:1720) om civilt försvar och förordningen (1996:1475) om skyldighet att lämna uppgifter m.m. om krigsfångar och andra skyddade personer.
Utan hinder av sekretess enligt andra stycket får Migrationsverket lämna uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset i angelägenhet som gäller sådan verksamhet för återförening av splittrade
3 EGT L 050, 25.2.2003 s. 1 (Celex 32003R0343)
familjer som avses i artikel 74 i tilläggsprotokoll I till Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter eller som gäller efterforskning i fredstid av personer som har förlorat kontakten med närstående på grund av krig, väpnad konflikt eller naturkatastrof.
Denna lag träder i kraft den .…
Äldre bestämmelse gäller fortfarande i fråga om uppgifter som avses i paragrafens första och andra stycke och som en myndighet fått enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
3. Förslag till lag om ändring i utlänningslagen (1989:529)
Härigenom föreskrivs att det i utlänningslagen (1989:529)1 införs en ny paragraf, 11 kap. 6 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
11 kap.
6 a §
Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna skall till varandra lämna uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.
Första stycket gäller även utlandsmyndighet som efter bemyndigande av Migrationsverket handlägger ärenden om viseringar, uppehållstillstånd och arbetstillstånd.
Denna lag träder i kraft den ….
1 Lagen omtryckt 1994:515
4. Förslag till lag om ändring i lagen (2001:82) om svenskt medborgarskap
Härigenom föreskrivs att det i lagen (2001:82) om svenskt medborgarskap införs en ny paragraf, 29 §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
29 §
Migrationsverket och Utlänningsnämnden skall till varandra lämna uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.
Första stycket gäller även utlandsmyndighet som utreder ärenden om svenskt medborgarskap.
Denna lag träder i kraft den ….
5. Förslag till utlänningsdataförordning
Härigenom föreskrivs följande.
Inledning
1 § I denna förordning ges kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen (0000:000).
I 10 och 11 §§ finns bestämmelser om Migrationsverkets fingeravtrycksregister.
Personuppgifter om vissa personkategorier m.m.
2 § För ändamål som anges i 5 § första stycket 1–3 utlänningsdatalagenlagen (0000:000) får personuppgifter om anhöriga, kontakt- eller referenspersoner i Sverige, uppgiftslämnare och andra personer, som inte själva omfattas eller har omfattats av verksamhet som anges i 1 § första stycket samma lag, behandlas bara om det är oundgängligen nödvändigt.
Vad som sägs i första stycket gäller även för behandling av personuppgifter om en registrerad, som omfattas eller har omfattats av verksamhet som där sägs, i ärende eller angelägenhet som rör en annan person.
3 § För ändamål som anges i 5 § första stycket 5 utlänningsdatalagen (0000:000) får inte personuppgifter som direkt pekar ut den registrerade behandlas för återsökning av avgöranden, rättsutredningar och annan rättslig information.
Känsliga personuppgifter
4 § För ändamål som avses i 5 § första stycket 2 eller 3 utlänningsdatalagen (0000:000) får inga andra känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa.
För ändamål som anges i 5 § första stycket 5 samma lag får känsliga personuppgifter endast behandlas i löpande text.
Utlämnande på medium för automatiserad behandling
5 § Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling, om den registrerade samtycker till det eller om uppgifterna hör till ett ärende eller en angelägenhet som gäller den enskilde. Även i andra fall får personuppgifter lämnas ut till enskild på medium för automatiserad behandling, om det är nödvändigt för ändamål som anges i 5 § första stycket 1 eller 3 utlänningsdatalagen (0000:000).
6 § Migrationsverket får till Svenska röda korset lämna ut personuppgifter om registrerades namn, födelsedatum och adress på medium för automatiserad behandling.
Direktåtkomst
7 § Regeringskansliets, Utlänningsnämndens samt utlandsmyndigheternas direktåtkomst enligt 11 § utlänningsdatalagen (0000:000) får enbart avse personuppgifter som är oundgängligen nödvändiga för att myndigheterna skall kunna handlägga eller utreda ärenden enligt utlänningslagen (1989:529) eller lagen (2001:82) om svenskt medborgarskap.
Integrationsverkets direktåtkomst får enbart avse uppgifter som är oundgängligen nödvändiga för att verket skall kunna handlägga ärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m.
Direktåtkomsten enligt första och andra styckena får inte avse personuppgifter i fingeravtrycksregistret eller andra känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) än sådana som röjer den registrerades etniska ursprung. Inte heller får direktåtkomsten omfatta andra uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen än beslut om förvar enligt utlänningslagen.
8 § Rikspolisstyrelsens och polismyndigheternas direktåtkomst enligt 11 § utlänningsdatalagen (0000:000) till personuppgifter som behandlas av Migrationsverket får endast avse uppgift om
1. dossiernummer,
2. namn och person- eller samordningsnummer,
3. kön,
4. nuvarande och tidigare medborgarskap,
5. adress,
6. samhörigheter,
7. inresedatum,
8. individstatus (avliden, avviken, verkställd utresa eller hämt-
ning, konstaterad utresa, trolig utresa, frivillig hemresa, avhyst).
9. spärruppgifter, 10. förekomsten av LMA-kort, 11. öppna och avslutade ärenden, samt 12. beslut.
Migrationsverket får, efter samråd med Datainspektionen, föreskriva att direktåtkomsten får avse också andra personuppgifter som är oundgängligen nödvändiga för att Rikspolisstyrelsen eller polismyndigheterna skall kunna utföra arbetsuppgifter enligt utlänningslagen (1989:529). Direktåtkomst till uppgifter i fingeravtrycksregistret eller till känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får dock inte tillåtas.
Överföring av personuppgifter till tredje land
9 § Personuppgifter som behandlas för ändamål som anges i 5 § första stycket 5 utlänningsdatalagen (0000:000) får föras över till tredje land endast om uppgifterna inte direkt pekar ut den registrerade.
Utlandsmyndighet får, förutom med den registrerades samtycke, föra över personuppgifter till tredje land endast om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1 samma lag.
Migrationsverkets fingeravtrycksregister
10 § Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.
11 § En uppgift i registret skall gallras när den registrerade blir svensk medborgare. I andra fall skall gallring ske senast tio år efter det att uppgiften registrerades.
Ytterligare föreskrifter
12 § Migrationsverket får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. För sådan behandling får Migrationsverket även föreskriva ytterligare begränsningar än vad som följer av denna förordning eller av utlänningsdatalagen (0000:000) om ändamål för vilka personuppgifter får behandlas och om vilka slags personuppgifter som får överföras till tredje land eller annars behandlas.
Denna förordning träder i kraft den .…, då förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall upphöra att gälla.
6. Förslag till förordning om ändring i förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande
Härigenom föreskrivs att det i förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande förs in en ny paragraf, 10 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 a §
Migrationsverket skall till landsting lämna uppgifter om utlänningar som är registrerade enligt lagen ( 1994:137 ) om mottagande av asylsökande m.fl. vid en förläggning inom landstinget. Uppgifterna skall avse namn, födelsedatum, dossiernummer hos Migrationsverket, adress och, i förekommande fall, familjesamhörighet samt tolkbehov.
Denna förordning träder i kraft den….
7. Förslag till förordning om ändring i utlänningsförordningen (1989:547)
Härigenom föreskrivs att det i utlänningsförordningen (1989:547)1förs in en ny paragraf, 6 kap. 17 §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 kap.
17 §
Myndighet som handlägger viseringsärende får vid sådan hänvändelse som avses i artikel 17.2 i Schengenkonventionen till centrala myndigheter i Schengenstater lämna uppgifter om en utlänning eller enskilds personliga förhållanden. Uppgifter får lämnas i följande omfattning.
1. Personuppgifter om sökande, och i förekommande fall, hans eller hennes familjemedlemmar eller referensperson (sökandes fullständig namn och eventuellt tidigare namn, födelsedatum och födelseort, kön, ursprungligt och nuvarande medborgarskap, yrke/ sysselsättning, föräldrars namn, makes eller makas fullständiga namn, födelsedatum och födelseort samt namn och adress på referensperson vid resmålet).
2. Uppgifter om sökandes viseringsansökan (den begärda vistelsens längd, syftet med vistelsen, huvudsakligt resmål, planerade datum för in- och utresa, antal inresor som begärts,
1 Förordningen omtryckt 1995:254
gränsövergång vid inresan, datum för ansökan samt vilken typ av visum ansökan avser).
3. Uppgifter om resehandling (pass, resedokument eller liknande identitetshandling, nummer och utfärdare).
Denna förordning träder i kraft den….
8. Förslag till förordning om ändring i förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl.
Härigenom föreskrivs att det i förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl. införs en ny paragraf, 10 §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 §
Migrationsverket skall i fråga om barn och ungdomar som avses i 1 § lämna uppgift om deras namn, födelsedatum och bostadsadress till den hemkommun som enligt 8 § svarar för att utbildning, förskoleverksamhet och skolbarnomsorg kommer till stånd.
Denna förordning träder i kraft den ….
BAKGRUND BAKGRUND BAKGRUND BAKGRUND
1. Uppdraget
1.1. Utredningens direktiv
Utgångspunkten för utredningsuppdraget är att kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utifrån ett helhetsperspektiv skall utredningen granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).
En ytterligare utgångspunkt för utredningsuppdraget är att skapa enkla, tydliga och moderna regler som inte är beroende av att vissa tekniska lösningar används. Reglerna skall uppfylla de krav i dataskyddshänseende som ställs i nationell och internationell rätt. Överlappande lagstiftning – dvs. att flera olika regler är tillämpliga beträffande samma behandling av personuppgifter i en myndighets verksamhet enligt utlännings- och medborgarskapslagstiftningen – skall undvikas.
Den rättsliga analysen skall vidare utgå från att myndigheterna skall kunna arbeta minst lika effektivt som i dag och att regelverket ger möjligheter att utveckla datasystem som underlättar utbytet av information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheter. Samtidigt skall utredningen väga in rättssäkerhetsaspekter, främst enskildas behov av skydd för sin personliga integritet.
I utredningsuppdraget ingår också att följa reformarbetet med en ny instans- och processordning i utlännings- och medborgarskapsärenden. Förslag till författningsändringar eller andra åtgärder skall därvid vara anpassade till den framtida nya ordningen.
Slutligen skall utredningen beakta vad Utredningen om sekretess hos utlandsmyndigheterna m.m. (UD 2000:05, dir 2000:82 och SOU 2001:110) kommer fram till i frågor om sekretess och överfö-
ring av uppgifter samt vid behov föreslå kompletterande författningsändringar eller andra åtgärder.
Direktiven i sin helhet framgår av bilaga 1. Regeringen har överlämnat en skrivelse till utredningen. Skrivelsen är lämnad till regeringen av Svenska röda korset och gäller bl.a. utlämnande av personuppgifter från Migrationsverket. Skrivelsen är intagen som bilaga 2 till betänkandet.
1.2. Utredningsarbetet
Den särskilde utredaren och sekreteraren har besökt Migrationsverket. Besökets syfte har varit dels att få information om den behandling av personuppgifter som för närvarande pågår eller planeras i verksamhet enligt utlännings- och medborgarskapslagstiftningen, dels att inhämta synpunkter. Den särskilde utredaren har vidare samrått med företrädare för Datainspektionen och Riksarkivet. Sekreteraren har i kartläggningsarbetet (se avsnitt 1.1) besökt Migrationsverkets regionkontor i Malmö samt har under arbetets gång haft kontakter med företrädare för Migrationsverket, Integrationsverket och Rikspolisstyrelsen.
Arbetet har bedrivits i nära samråd med de förordnade experterna. I utredningen har elva sammanträden med experterna hållits. Resultatet av utredningens arbete redovisas i detta betänkande.
2. Rättslig reglering av behandling av personuppgifter
Enligt 2 kap. 3 § andra stycket regeringsformen skall den enskilde medborgaren skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Utlänningar här i riket är likställda med svenska medborgare i fråga om detta skydd. Den närmare omfattningen av skyddet skall enligt bestämmelsen anges i lag.
Den lag som i första hand reglerar detta skydd är personuppgiftslagen (1998:204) som trädde i kraft den 24 oktober 1998. Lagen ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (i fortsättningen dataskyddsdirektivet).
Vidare finns inom flera områden särskilda registerförfattningar, vilka innebär en specialreglering i förhållande till personuppgiftslagen i syfte att komplettera lagen eller att helt eller delvis ersätta denna. Det kan även nämnas att det i sekretesslagen (1980:100) finns bestämmelser som skyddar den personliga integriteten vid behandling av personuppgifter.
Detta avsnitt innehåller en kortfattad beskrivning av vissa internationella överenskommelser (avsnitten 2.1 och 2.2), dataskyddsdirektivet (avsnitt 2.3) samt en redogörelse i huvuddrag för personuppgiftslagens bestämmelser (avsnitt 2.4). Vidare behandlas i korthet registerförfattningar samt den särskilda författning som sedan den 1 oktober 2001 reglerar behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (avsnitten 2.5 och 2.6).
2.1. Europarådets dataskyddskonvention
Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av rätten till skydd för privatliv enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen).
Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.
Europarådet har vidare antagit ett flertal rekommendationer om dataskydd inom olika områden.
Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen (i fortsättningen EU) har i princip övertagits av dataskyddsdirektivet i och med att detta har införlivats i medlemsstaternas nationella lagstiftningar.
2.2. OECD:s riktlinjer
Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Riktlinjerna antogs år 1980. Sverige tillhör de medlemsländer som åtagit sig att följa riktlinjerna i nationell lagstiftning. Vidare har ett antal internationella organisationer och företag antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen.
2.3. Dataskyddsdirektivet
Den 24 oktober 1995 antogs dataskyddsdirektivet. Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av principerna i dataskyddskonventionen från år 1981. Syftet med direktivet är att garantera dels
en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.
Dataskyddsdirektivet har varit direkt bindande för medlemsstaterna i fråga om det resultat som skall uppnås. Det har ålegat medlemsstaterna att införliva direktivet i nationell lagstiftning senast den 24 oktober 1998 men staterna har själva kunnat välja form och metod för införlivandet. Medlemsstaterna har dock inte kunnat föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.
Dataskyddsdirektivet gäller enbart behandling av personuppgifter om fysiska personer som är i livet. Verksamhet som faller utanför gemenskapsrätten – däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område – omfattas inte av direktivets bestämmelser.
Dataskyddsdirektivet omfattar inte bara automatiserad behandling av personuppgifter utan även manuell behandling av personuppgifter, dock endast om uppgifterna ingår i eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Direktivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligt angivna vid tiden för insamlingen av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa särskilt angivna fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt
intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.
Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. I vissa särskilt angivna fall får behandling ske även utan den registrerades samtycke. Medlemsstaterna får vidare – under förutsättning av lämpliga skyddsåtgärder och om det krävs av hänsyn till ett viktigt allmänt intresse – besluta om ytterligare undantag från förbudet.
Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utan särskilt stöd i nationell lagstiftning utföras endast under kontroll av en myndighet.
Dataskyddsdirektivet innehåller också bestämmelser om bl.a. rätt för den registrerade att motsätta sig uppgiftsbehandling i vissa fall, begränsningar vad gäller möjligheterna att grunda för den enskilde betydelsefulla beslut enbart på automatiserad databehandling av uppgifter som avser dennes personliga egenskaper, information till den registrerade, den enskildes rätt till insyn och rättelse samt om datasäkerhet och sekretess.
Medlemsstaterna får föreskriva begränsningar av vissa skyldigheter och rättigheter, bl.a. i fråga om informationsskyldigheten och rätten att på begäran få tillgång till uppgifter. En sådan begränsning får dock göras bara då det är en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.
I direktivet föreskrivs ett anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. Undantag från anmälningsplikt alternativt ett förenklat förfarande får under vissa förutsättningar föreskrivas.
Som huvudregel gäller att personuppgifter får föras över till ett land utanför EU eller Europeiska ekonomiska samarbetsområdet (EES), dvs. till tredje land, endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå.
Medlemsstaterna skall föreskriva att var och en har rätt att föra talan inför domstol om kränkningar av sådana rättigheter som
skyddas av den nationella lagstiftning som är tillämplig på behandlingen i fråga. Vidare skall föreskrivas att var och en som lidit skada till följd av en otillåten eller annars med bestämmelserna oförenlig behandling, har rätt till ersättning av den registeransvarige för skadan.
Dataskyddsdirektivet skulle vara införlivat i medlemsstaternas nationella lagstiftning senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skulle denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år från direktivets ikraftträdande, dvs. fram till den 24 oktober 2007.
2.4. Personuppgiftslagen
2.4.1. Allmänt om personuppgiftslagen
Med anledning av att dataskyddsdirektivet skulle antas, tillsattes i juni 1995 Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).
Personuppgiftslagen (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180), som trädde i kraft den 24 oktober 1998, bygger i allt väsentligt på det förslag som lades fram i Datalagskommitténs betänkande. Lagen följer i huvudsak dataskyddsdirektivets text och disposition.
Liksom dataskyddsdirektivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten. Redan i lagens förarbeten konstaterade regeringen att en framtida ordning med en mer missbruksorienterad reglering är önskvärd, men att en sådan ordning måste föregås av ett reviderat dataskyddsdirektiv (prop. 1997/98:44 s. 36 f.). En utredning har dock tillsatts, Personuppgiftslagsutredningen (Ju 2002:02, dir. 2002:31) som har i uppdrag att göra en översyn av personuppgiftslagen i syfte att, inom ramen för dataskyddsdirektivet, åstadkomma ett regelverk som mer tar sikte på missbruk av personuppgifter. Om möjligt skall utredningen föreslå lättnader i hanteringsreglerna. Det kan också nämnas
att Sverige tillsammans med Storbritannien, Finland och Österrike i september 2002 gemensamt presenterade ett förslag till EUkommissionen om vissa ändringar i direktivet i en mer missbruksorienterad riktning.
I personuppgiftsförordningen (1998:1191) finns kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av personuppgiftslagen. I 2 § personuppgiftsförordningen har Datainspektionen utsetts att vara tillsynsmyndighet enligt personuppgiftslagen. I denna egenskap har Datainspektionen bemyndigats att meddela föreskrifter i vissa frågor. Några sådana föreskrifter har meddelats.
2.4.2. Personuppgiftslagens tillämpningsområde
Personuppgiftslagen är teknikoberoende genom att den omfattar all behandling av personuppgifter som är helt eller delvis automatiserad samt även manuell behandling av personuppgifter som ingår i, eller är avsedd att ingå i, en strukturerad samling av personuppgifter vilken är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen har därmed ett bredare tillämpningsområde än datalagen, som endast gällde personregister som inrättades eller fördes med hjälp av automatisk databehandling (ADB).
Till skillnad från dataskyddsdirektivet omfattar personuppgiftslagen även sådan behandling av personuppgifter som sker inom ramen för verksamheter som inte omfattas av gemenskapsrätten, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör allmän säkerhet eller försvar. Dock gäller att om det i annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, skall de bestämmelserna gälla (2 §). De särregler som kan vara nödvändiga på vissa områden förutsätts få sin plats i särskilda registerförfattningar som helt eller delvis tar över den generella regleringen i personuppgiftslagen (prop. 1997/98:44 s. 40 f.).
Personuppgiftslagen gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). I förtydligande syfte görs dessutom undantag för all sådan behandling av personuppgifter som skyddas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen (7 § första stycket). Vidsträckta undantag från lagens regler gäller även i fråga
om sådan behandling som annars utförs uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (7 § andra stycket). Dessutom får personuppgiftslagen inte inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Vidare anges att personuppgiftslagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket).
Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i nationell lagstiftning. Ofta är dessa huvudregler och principer allmänt hållna i direktivet. För att kunna tillämpas av personuppgiftsansvariga har de preciserats och konkretiserats i personuppgiftslagen. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att, inom den ram som personuppgiftslagen drar upp, göra nödvändiga preciseringar och konkretiseringar.
2.4.3. Definitioner
Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 §. Med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Uppgifter om avlidna omfattas alltså inte personuppgiftslagens tillämpningsområde. Den registrerade är den som en personuppgift avser. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Tredje man är någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenheter att behandla personuppgifter.
I lagen definieras eller används även andra begrepp till vilka utredningen återkommer i det följande.
2.4.4. Förutsättningar för behandling av personuppgifter
Grundläggande krav (9 §)
Enligt personuppgiftslagen skall personuppgifter alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in, vilket bl.a. innebär att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis eller genom föreskrifter från regeringen eller Datainspektionen. De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt, skall uppgifterna också vara aktuella. Uppfyller personuppgifterna inte kraven, skall den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras.
För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särregler. Det anses t.ex. inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för nämnda ändamål. Vidare får personuppgifter bevaras under en längre tid än vad som annars gäller, om de skall användas för historiska, statistiska eller vetenskapliga ändamål.
När behandling av personuppgifter är tillåten (10-12 §§)
Lagens 10 § innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas, måste behandlingen dessutom vara tillåten enligt 13-22 §§. Innebär behandlingen att personuppgifter överförs till tredje land,
dvs. till en stat som inte ingår i EU eller är ansluten till EES, måste också 33-35 §§ följas.
Enligt 10 § är det tillåtet att behandla personuppgifter om den registrerade, dvs. den som en personuppgift avser, samtycker till behandlingen. Med samtycke avses enligt 3 § varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Återkallar den registrerade sitt samtycke, får ytterligare personuppgifter om denne inte behandlas. Behandlingen av redan insamlade uppgifter får däremot trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket (12 § första stycket).
I vissa fall får dock personuppgifter behandlas trots att samtycke från den registrerade saknas. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta automatiserade behandlingar av personuppgifter också kan utföras manuellt. Datalagskommittén har tolkat nödvändighetsrekvisitet så att personuppgifter får behandlas även i de fall det faktiskt är möjligt att utföra behandlingen på annat sätt, om förfarandet underlättas genom användning av automatiserad databehandling (SOU 1997:39 s. 359).
De ändamål för vilka personuppgifter får behandlas utan samtycke är följande.
a) Ett avtal med den registrerade skall kunna fullgöras eller åtgär-
der som den registrerade har begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig
skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller tredje man till vilken person-
uppgifterna lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den person-
uppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkningar av den personliga integriteten.
Förbud mot behandling av känsliga personuppgifter (13 §)
I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får alltså inte behandlas. Likaså är det förbjudet att behandla personuppgifter som rör hälsa eller sexualliv.
Undantag från förbudet (14-20 §§)
Förbudet mot att behandla känsliga personuppgifter är inte undantagslöst. Sådana uppgifter får liksom andra uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga personuppgifter samtycket vara uttryckligt. Även när den registrerade på ett tydligt sätt har offentliggjort uppgifterna får de behandlas.
Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.
Förbudet gäller inte heller om behandlingen rör uppgifter som är nödvändiga för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke samt inte heller nödvändig behandling för att rättsliga anspråk skall kunna slås fast, göras gällande eller försvaras.
Vidare får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke.
Ytterligare undantag från förbudet är behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av
hälso- och sjukvård. Inte heller gäller förbudet, om uppgifterna behandlas av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt. Slutligen undantas, under vissa förutsättningar, behandling för forskning och statistik från förbudet.
Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse. Regeringen har i personuppgiftsförordningen föreskrivit att, utöver undantagen i lagen, känsliga personuppgifter får behandlas av myndigheter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet.
Behandling av uppgifter om lagöverträdelser m.m. och personnummer (21 och 22 §§)
Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen, eller den myndighet regeringen bestämmer (Datainspektionen), får dock meddela föreskrifter om undantag från förbudet eller besluta om undantag i enskilda fall.
Uppgifter om personnummer och samordningsnummer får behandlas bara när den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
2.4.5. Information och rättelse
Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att bl.a. kontrollera om behandling av personuppgifter om honom eller henne pågår och begära rättelse av personuppgifter som har behandlats felaktigt.
Information (23-27 §§)
Personuppgiftslagen innehåller bestämmelser om information till den registrerade.
Den personuppgiftsansvarige skall självmant lämna den registrerade information om behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, skall den registrerade informeras när uppgifterna registreras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut första gången. Informationen skall omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas.
Har uppgifterna hämtats in från en annan källa än den registrerade själv, behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Inte heller behöver information lämnas om det i lag eller annan författning finns bestämmelser om registreringen eller utlämnandet av personuppgifter.
Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per kalenderår, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte har fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller behandlingen inte har pågått under längre tid än ett år.
Bestämmelserna om informationsskyldighet gäller över huvud taget inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.
Rättelse (28 §)
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella uppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren samt för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 §).
Om felaktiga uppgifter har lämnats ut till tredje man, skall denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. Tredje man behöver dock inte underrättas, om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
2.4.6. Säkerhet vid behandling
Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§personuppgiftslagen. Den personuppgiftsansvarige har ett stort ansvar för säkerheten.
Bl.a. får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. För det allmännas verksamhet gäller att särskilda bestämmelser i lag eller författning i stället skall tillämpas. Härmed avses framför allt bestämmelser om sekretess och tystnadsplikt.
Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtas för att skydda de behandlade personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga personuppgifterna är.
Enligt 50 § b personuppgiftslagen får regeringen eller en myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Kraven kan t.ex. gälla säkerhetsåtgärder. Datainspektionen har i personuppgiftsförordningen bemyndigats att
meddela sådan föreskrifter. Några generella föreskrifter har emellertid ännu inte utfärdats.
Datainspektionen får också i enskilda fall besluta om vilka skyddsåtgärder en personuppgiftsansvarig skall vidta (32 §). Om ett sådant beslut inte följs, kan inspektionen föreskriva vite (45 §).
2.4.7. Överföring av personuppgifter till tredje land
Det är enligt 33 § personuppgiftslagen förbjudet att föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller både uppgifter som är under behandling och uppgifter som skall undergå behandling i det tredje landet.
Vid bedömningen av om ett tredje land har en adekvat skyddsnivå skall hänsyn tas till samtliga omständigheter som har samband med överföringen. I lagen anges uttryckligen att särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.
Från förbudet mot överföring av personuppgifter till tredje land finns undantag i 34 och 35 §§. Överföring får för det första ske med den registrerades samtycke. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.
Uppgifter får även i andra fall föras över till tredje land, om behandlingen är nödvändig för att fullgöra ett avtal – mellan den personuppgiftsansvarige och den registrerade eller mellan den personuppgiftsansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske, om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.
Regeringen får meddela ytterligare föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen och Data-
inspektionen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.
2.4.8. Datainspektionens befogenheter som tillsynsmyndighet
Enligt dataskyddsdirektivet skall en särskild tillsynsmyndighet utses. Enligt 2 § personuppgiftsförordningen är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen. Vissa av de befogenheter som enligt direktivet tillkommer tillsynsmyndigheten regleras i 43-47 §§. Lagen innehåller bl.a. bestämmelser om att Datainspektionen skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter skall utplånas.
2.4.9. Anmälan till Datainspektionen m.m.
Anmälningsskyldighet (36 §)
Helt eller delvis automatiserad behandling av personuppgifter omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra sådan anmälan till Datainspektionen. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.
Från anmälningsskyldigheten finns vissa undantag. I lagen anges att anmälan inte behöver göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige (37 §).
Vidare får regeringen eller den myndighet regeringen bestämmer (Datainspektionen) meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörliga intrång i den personliga integriteten. I personuppgiftsförordningen har regeringen från anmälningsskyldigheten bl.a. undantagit behandling som regleras genom särskilda föreskrifter i lag eller förordning.
Enligt 41 § kan anmälan vara obligatorisk såvitt avser sådan behandling som innebär särskilda risker för otillbörligt intrång i den personliga integriteten. Regeringen kan nämligen föreskriva att sådana behandlingar skall anmälas till Datainspektionen för
förhandskontroll. Finns sådana föreskrifter måste anmälan göras även om det finns ett personuppgiftsombud.
Personuppgiftsombud (37-40 §§)
Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personuppgiftsansvarige. Ombudet skall också ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.
I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige. Om den ansvarige inte rättar till bristerna, är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige utför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Ombudet kan även hjälpa registrerade personer att få till stånd en utredning om rättelse bör ske.
2.4.10. Sanktioner
Skadestånd (48 §)
Om behandling av personuppgifter i strid mot personuppgiftslagen orsakar skada för den registrerade har han rätt till ersättning från den personuppgiftsansvarige. Rätten till ersättning omfattar inte bara personskada, sakskada och ren förmögenhetsskada utan även den kränkning av den personliga integriteten som behandlingen kan ha medfört.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Straff (49 §)
Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i information eller anmälan enligt lagen straffas enligt 49 §. Samma bestämmelse straffbelägger vidare den som i strid mot lagens bestämmelser behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. eller för över personuppgifter till tredje land eller låter bli att göra en anmälan om behandling till Datainspektionen. Straffskalan är böter eller fängelse i högst sex månader. Om brottet är grovt, får dömas till fängelse i högst två år. Vid förfaranden som är ringa skall det dock inte dömas till ansvar.
2.4.11. Ikraftträdande- och övergångsbestämmelser
Personuppgiftslagen trädde som tidigare sagts i kraft den 24 oktober 1998. Samtidigt upphörde datalagen att gälla. Enligt övergångsbestämmelserna började personuppgiftslagen tillämpas först den 1 oktober 2001 för sådana helt eller delvis automatiserade behandlingar som påbörjats före den 24 oktober 1998. Detsamma gällde helt eller delvis automatiserad behandling av nya personuppgifter som utfördes för ett visst bestämt ändamål, om behandlingen för ändamålet hade påbörjats före ikraftträdandet.
Motsvarande övergångsbestämmelse gällde även för redan pågående manuell behandling av personuppgifter. Vissa bestämmelser i lagen skall dock tillämpas först fr.o.m. den 1 oktober 2007 när det gäller manuell behandling av personuppgifter. Bestämmelserna i fråga är 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.
2.5. Registerförfattningar
Särskilda författningar som reglerar behandling av personuppgifter i offentlig verksamhet har funnits i många år. Före personuppgiftslagens införande reglerade dessa registerförfattningar i allmänhet inrättandet och förandet av vissa personregister med särskilt integritetskänsligt innehåll. I och med personuppgiftslagen har det emellertid blivit allt mer vanligt med särförfattningar som kompletterar eller i vissa delar ersätter personuppgiftslagen. I allmänhet
gäller dessa nyare särförfattningar, i likhet med personuppgiftslagen, behandling av personuppgifter över huvud taget och inte endast behandling i datoriserade register.
Registerförfattningar finns i dag inom flera områden och omfattar bl.a. behandling av personuppgifter om totalförsvarspliktiga, inom skatte-, tull- och exekutionsväsendet, inom socialtjänsten samt inom polisen.
2.6. Utlänningsdataförordningen
Personuppgiftslagens övergångsbestämmelser har för den offentliga förvaltningens del i allmänhet inneburit att personuppgiftslagen började tillämpas på den pågående automatiserade behandlingen först fr.o.m. den 1 oktober 2001. Detta gällde bl.a. för den verksamhet som utredningens arbete avser. Eftersom vissa särregler i förhållande till personuppgiftslagen bedömdes nödvändiga, infördes förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (i fortsättningen utlänningsdataförordningen). Förordningen trädde i kraft den 1 oktober 2001 och är ett komplement till personuppgiftslagen. I förordningen anges uttryckligen att den gäller utöver personuppgiftslagen. Enligt kommittédirektiven är förordningen avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.
I utlänningsdataförordningen regleras endast automatiserad behandling av personuppgifter i register. Förordningen omfattar behandling av personuppgifter som företas av Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna verksamhet definieras som att gälla utlänningars vistelse i och avlägsnande från landet, utlänningars rätt att arbeta i landet, mottagande av asylsökande och vissa andra utlänningar samt bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket. Vidare omfattar förordningen verksamhet som gäller förvärv, förlust eller bibehållande av svenskt medborgarskap samt ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Integrationsverket.
Enligt förordningen får myndigheterna föra automatiserade verksamhetsregister för ändamålen författningsreglerad handläggning av ärenden och underrättelseskyldighet. Dessutom får registret användas för tillsyn, kontroll, uppföljning och planering av verksamheten samt för framställning av statistik. I förordningen specificeras vilka personuppgifter som får behandlas i ett verksamhetsregister. Vidare anges att känsliga personuppgifter som avses i 13 § personuppgiftslagen får behandlas endast om uppgifterna är oundgängligen nödvändiga för ändamålen handläggning av ärenden respektive fullgörande av underrättelseskyldighet. Till Migrationsverkets verksamhetsregister får de andra myndigheterna som tillämpar förordningen ha direktåtkomst. Känsliga personuppgifter får inte användas som sökbegrepp.
Migrationsverket får dessutom föra automatiserade rättfallsregister, fingeravtrycksregister samt landinformationsregister. Även Utlänningsnämnden får föra rättsfallsregister. Utredningen återkommer i avsnitt 4 till dessa register och vad som enligt utlänningsdataförordningen gäller för dem.
3. Verksamhet enligt utlännings- och medborgarskapslagstiftningen
Utredningen har i uppdrag att se över behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Främst är det Migrationsverket och Utlänningsnämnden som bedriver sådan verksamhet. I direktiven anges att också Integrationsverket, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna bedriver verksamhet inom rättsområdet. Någon närmare avgränsning av vad som avses med verksamheten har emellertid inte getts i direktiven. Självfallet avses i första hand handläggning av utlänningsärenden enligt utlänningslagen (1989:529) samt handläggning av ärenden enligt lagen (2001:82) om svenskt medborgarskap (i fortsättningen medborgarskapslagen).
Därutöver bedriver flera av de ovannämnda myndigheterna viss annan verksamhet som emellertid har ett mycket nära samband med åligganden enligt utlänningslagen. I utlänningsdataförordningen ges en verksamhetsdefinition som omfattar också verksamhet som inte regleras av utlännings- och medborgarskapslagarna.
I detta avsnitt lämnas en översiktlig beskrivning av verksamheten enligt utlänningslagen (avsnitt 3.1) och enligt medborgarskapslagen (avsnitt 3.2). Dessutom beskrivs, med utgångspunkt i tillämpliga författningar, den övriga verksamhet som utlänningsdataförordningen avser samt även viss annan verksamhet (avsnitt 3.3).
Här bör påpekas att i det följande avses med utlänning varje fysisk person som inte är svensk medborgare, vare sig denne är medborgare i annat land eller statslös.
3.1. Verksamhet enligt utlänningslagen
EU-samarbete
Utlänningslagen har sedan den trädde i kraft den 1 juli 1989 ändrats ett flertal gånger. Vissa ändringar har föranletts av Sveriges anslutning till EES men också av det senare medlemskapet i EU. Sverige har bl.a. bundits av bestämmelser om arbetskraftens fria rörlighet inom gemenskapen och mellan gemenskapen och EESländerna. Under senare år har utvecklingen inom EU fått en allt större betydelse för frågor som i Sverige regleras genom utlänningslagen. Nedan följer en beskrivning av denna utveckling i mycket korta drag.
Redan i Maastrichtfördraget, som trädde i kraft den 1 november 1993, beslutades om mellanstatligt samarbete inom gemenskapen i frågor rörande bl.a. den fria rörligheten, asylpolitiken, kontrollen vid passage av medlemsstaternas yttre gränser och invandringspolitiken gentemot tredjelandsmedborgare, den s.k. tredje pelaren. Genom Amsterdamfördraget – som Sverige godkänt och som trädde i kraft den 1 maj 1999 – flyttades dessa frågor från det mellanstatliga samarbetet till gemenskapssamarbetet i första pelaren (se bl.a. prop. 1997/98:58 s. 53 f.). Dessförinnan, den 1 september 1997, hade Konventionen rörande bestämmandet av den ansvariga staten för prövningen av en ansökan om asyl som framställts i en av medlemsstaterna i de Europeiska gemenskaperna (i fortsättningen Dublinkonventionen) trätt i kraft. Konventionen tillkom för att garantera att var och en som söker asyl i någon medlemsstat skall få sin asylansökan prövad och att en asylsökande inte sänds från en medlemsstat till en annan utan att någon stat anser sig ha ansvar för prövningen.
Dublinkonventionens bestämmelser har bl.a. medfört ändringar i utlänningslagen och ett förfrågningsförfarande som beskrivs kortfattat i avsnitt 4.1.7. Den 15 januari 2003 startades en EU-gemensam central databas för fingeravtryck från asylsökande m.fl. Databasen regleras av rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen.
Dublinkonventionen har nyligen ersatts av rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett
in i någon medlemsstat. Under en övergångstid kommer konventionen dock fortfarande att vara tillämplig i vissa fall.
Dublinkonventionen och EG-förordningen fastställer alltså vilken medlemsstat som är skyldig att behandla en asylansökan som har lämnats in i en medlemsstat. Enligt konventionen och EGförordningen gäller den s.k. första asyllandsprincipen, dvs. att det land som en asylsökande först kommer till skall ansvara för asylprövningen. En medlemsstat som bedömer att en annan medlemsstat är ansvarig för prövningen av en asylansökan som man mottagit, kan begära att den senare staten övertar ansvaret för sökanden. Varje medlemsstat är skyldig att överlämna till annan medlemsstat som så begär den information om enskilda ärenden som är nödvändig för att avgöra vilken stat som är skyldig att pröva asylansökan. I konventionen och i EG-förordningen finns närmare reglerat vilka personuppgifter som får ingå i den överlämnade informationen.
Enligt artikel 21.2 EG-förordningen omfattar informationsskyldigheten följande personuppgifter. (a) Personuppgifter om sökande och i förekommande fall familjemedlemmar (fullständigt namn, i förekommande fall tidigare namn, smeknamn eller pseudonymer, nuvarande och tidigare medborgarskap samt födelsedatum och födelseort), (b) identitets- och resehandlingar (referenser, giltighetstid, datum för utfärdande, utfärdande myndighet, plats för utfärdande m.m.), (c) annan information som är nödvändig för att fastställa sökandens identitet, inklusive fingeravtryck enligt bestämmelserna i förordning (EG) 2725/2000 (Eurodacförordningen), (d) orter där sökanden uppehållit sig och resvägar, (e) uppehållstillstånd och viseringar som utfärdats av en medlemsstat, (f) platsen där ansökan lämnades in samt (g) datum för en eventuell tidigare asylansökan, datum för den aktuella ansökan, hur långt handläggningen framskridit och innehållet i ett eventuellt beslut.
Vidare omfattar informationsskyldigheten uppgifter om grunder för asylansökan och skälen för eventuella beslut som fattas rörande asylsökanden, om sökanden samtycker till att dessa uppgifter kommuniceras. En stat får under vissa förutsättningar vägra lämna ut dessa uppgifter.
Efter Amsterdamfördragets ikraftträdande har arbetet inom EU med en harmonisering av asyl- och migrationspolitiken intensifierats. Ett antal rättsakter har tillkommit utöver den nyss nämnda förordningen som ersätter Dublinkonventionen. Här kan nämnas rådets förordning (EG) nr 333/02 om införandet av en enhetlig utformning av viseringar och uppehållstillstånd. Dessutom kan nämnas rådets direktiv 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta. Direktivet har genomförts genom bl.a. ändringar i utlänningslagen och i lagen (1994:137) om mottagande av asylsökande m.fl. (SFS 2002:1111 respektive SFS 2002:1112). Den 27 januari 2003 antogs rådets direktiv 2003/9/EG om miniminormer för mottagande av asylsökande i medlemsstaterna.
Förhandlingar inom EU om ett betydande antal nya rättsakter pågår, bl.a. ett förslag till direktiv om rätten till familjeåterförening och ett förslag till direktiv om miniminormer för när medborgare i tredje land skall betraktas som flyktingar. För närvarande bereds dessutom frågan om en central databas med identifieringssystem för viseringar där det bl.a. planeras att personuppgifter, digitala fotografier och biometriska data skall lagras (se regeringens skrivelse 2002/03:60 s. 157 f.) .
I detta sammanhang kan även nämnas att Sverige den 25 mars 2001 blev operativ medlem i Schengensamarbetet, vilket har förändrat verksamheten enligt utlänningslagen. Samarbetets huvudsyfte är att uppnå fri rörlighet för personer inom samarbetsområdet genom att personkontrollen vid inre gräns slopas. Samarbetet bygger på att de deltagande staterna tillsammans ansvarar för kontrollen av de gemensamma yttre gränserna. Detta har krävt harmonisering av viseringsbestämmelser och regler för personkontroll vid yttre gränser. För Sveriges del har samarbetet inneburit att inresekontrollen mot inre gräns upphört medan, å andra sidan, utresekontroll vid yttre gränser införts.
I samarbetet ingår också ett gemensamt datoriserat informationssystem. Schengens informationssystem (SIS) är uppbyggt som ett spanings- och efterlysningshjälpmedel. Systemet består av en nationell enhet för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Schengens informationssystem innehåller bl.a. uppgifter om personer som skall nekas inresa i Schengenområdet, den s.k. spärrlistan. I avsnitt
4.1.3 kommer ett annat system som utvecklats inom Schengensamarbetet, Vision, att närmare behandlas.
Utlänningslagens materiella regler i korta drag
Utlänningars rätt att vistas i Sverige är reglerad. Utlänningslagen innehåller närmare föreskrifter om utlänningars inresa, utresa, vistelse i Sverige och arbete i Sverige som anställd. Dessutom finns i lagen bestämmelser om rätten till asyl i Sverige. Denna reglering medför i sin tur att det i lagen ställs upp krav på utlänningars passinnehav, visering, uppehållstillstånd eller arbetstillstånd som förutsättning för vistelse i Sverige. Från dessa krav finns emellertid åtskilliga undantag, främst vad gäller nordbor och EU-medborgare. I utlänningslagen anges också under vilka förutsättningar en utlänning kan avvisas eller utvisas ur landet. Utlänningslagens bestämmelser kompletteras av bestämmelser i utlänningsförordningen (1989:547).
Grundregeln är att utlänningar skall ha pass vid inresa och vistelse i Sverige. Schengenmedborgare är undantagna från detta krav liksom utlänningar med permanent uppehållstillstånd i Sverige.
Visering är ett tillstånd att resa in i och vistas i Sverige under en viss kortare tid, högst tre månader. Har man gällande visering krävs inget uppehållstillstånd för samma vistelse. Viseringar är normalt enhetliga, dvs. gäller inom sin giltighetstid för inresa och vistelse i samtliga Schengenstater. Av svenska myndigheter beviljade viseringar gäller således i alla andra Schengenstater och vice versa.
Nationella viseringar, som enbart gäller i Sverige, kan emellertid i undantagsfall utfärdas. En rad undantag ger medborgare från många länder möjlighet att resa in i och uppehålla sig i Sverige i tre månader utan visering.
Uppehållstillstånd innebär tillstånd att resa in i och vistas i
Sverige under viss tid eller utan tidsbegränsning. Asyl innebär uppehållstillstånd som beviljas flyktingar såsom dessa närmare definieras enligt 3 kap. 2 § utlänningslagen. Skyddsbehövande i övrigt definieras i 3 kap. 3 § och har liksom flyktingar rätt att få uppehållstillstånd.
Arbetstillstånd innebär rätt att arbeta i Sverige som anställd. En mängd undantag från kravet på arbetstillstånd gäller för kategorier
av utlänningar, bl.a. är EU- och EES-medborgare helt undantagna från krav på arbetstillstånd.
Under vissa förutsättningar får en utlänning avvisas eller utvisas från Sverige. Dessa åtgärder innebär olika sätt för avlägsnande av utlänningar som saknar tillstånd att vistas i Sverige.
Förvar och uppsikt. För att kunna utreda en utlännings identitet eller för att kunna verkställa ett beslut om avvisning eller utvisning av någon som kan befaras hålla sig undan finns bestämmelser om frihetsberövande i form av förvar. År 1997 övertog Migrationsverket från polisen uppgiften att ansvara för behandlingen av förvarstagna utlänningar och ålades samtidigt att hålla särskilda förvarslokaler där förvarstagna utlänningar som huvudregel skall placeras. Om det bedöms tillräckligt, får utlänningen i stället hållas under uppsikt, vilket kan innebära att utlänningen förpliktas att på vissa tider anmäla sig hos polismyndigheten i en ort.
I 6 kap. utlänningsförordningen föreskrivs en omfattande underrättelseskyldighet myndigheter emellan i verksamhet som gäller utlänningars vistelse m.m. i Sverige.
Handläggande myndigheter enligt utlänningslagen
Regleringen i utlänningslagen ger upphov till en mycket stor mängd förvaltningsärenden som brukar sammanfattas under benämningen utlänningsärenden. Flera myndigheter är inbegripna i handläggningen av dessa ärenden.
Beslut om visering, uppehållstillstånd och arbetstillstånd meddelas enligt 2 kap. 7 § utlänningslagen av Migrationsverket med möjlighet till bemyndigande av beslutanderätten från Migrationsverket till utlandsmyndigheter, dvs. beskickningar eller konsulat. För närvarande beviljar, med stöd av bemyndiganden, utlandsmyndigheterna upp emot 90 procent av alla viseringar. Utlandsmyndigheterna prövar dessutom en stor andel ansökningar om tidsbegränsade uppehållstillstånd och arbetstillstånd för utlänningar som ännu befinner sig utanför Sverige och som inte åberopar asylskäl. Föreskrifter härom finns bl.a. i Migrationsverkets författningssamling, MIGRFS 2001:6.
Regeringen prövar ett mindre antal utlänningsärenden – s.k. säkerhetsärenden och ärenden av prejudikatintresse – som överlämnas från Migrationsverket eller Utlänningsnämnden. Regeringen får också besluta att grupper av fördrivna utlänningar får ges
uppehållstillstånd med tillfälligt skydd här (2 a kap. 3 § utlänningslagen).
Alla ansökningar om asyl handläggs och prövas av Migrationsverket som första instans. Det förekommer att utlandsmyndigheterna medverkar i Migrationsverkets – eller andrainstansen Utlänningsnämndens – handläggning av asylutredningar genom att göra faktakontroller av en asylsökandes uppgifter i sökandens hemland eller i övrigt göra undersökningar som har betydelse för ett enskilt ärende. Denna form av utlandsmyndigheternas medverkan i utlänningsärenden (samt även medborgarskapsärenden) är författningsreglerad i förordningen (1992:247) med instruktion för utrikesrepresentationen och har nyligen utretts av Utredningen om sekretess hos utlandsmyndigheter m.m. I sitt betänkande Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110) har utredningen föreslagit vissa ändringar i sekretesshänseende som rör denna medverkan. Förslagen har ännu inte lett till någon lagstiftning.
Polismyndighet får, efter medgivande av Migrationsverket, bevilja nödfallsviseringar för viseringsskyldig utlänning som vid inresa saknar visum på grund av att han eller hon av tidsbrist eller tvingande skäl inte har kunnat ansöka om sådant. Polismyndighet får vidare utfärda sjömansviseringar för utlänning som är sjöman och som i samband med av- eller påmönstring skall resa in i landet för att kunna fortsätta till en annan Schengenstat.
När det gäller arbetstillstånd får, i den utsträckning som Migrationsverket medger, en polismyndighet, Arbetsmarknadsstyrelsen och länsarbetsnämnder bevilja tillstånd.
Migrationsverket prövar ärenden om avvisning av asylsökande och vissa andra utlänningar. I övriga fall prövas ärendena av polismyndigheten. Anser polismyndigheten det tveksamt om avvisning bör ske, skall ärendet överlämnas till Migrationsverket. Ärenden om utvisning prövas av Migrationsverket eller, för det fall ärendet rör utvisning på grund av brott, av allmän domstol.
Beslut om förvar eller uppsikt fattas av den myndighet som handlägger ärendet, vilken kan vara polismyndigheten, Migrationsverket eller Utlänningsnämnden. Polismyndighet verkställer egna avvisningsbeslut, utvisningar på grund av brott och i regel avvisning och utvisning i säkerhetsärenden. I övrigt ansvarar Migrationsverket för verkställighet av sådana beslut, dock med möjlighet att överlämna verkställigheten av avvisning eller utvisning till polis-
myndighet eller att begära polismyndighets bistånd för genomförande av ett beslut om förvar.
Brott mot utlänningslagen utreds och åtalas av allmän åklagare samt prövas av allmän domstol.
Många beslut i utlänningsärenden, dock inte viseringsärenden, får överklagas. Polismyndigheternas beslut om avvisning får överklagas till Migrationsverket. Migrationsverkets beslut om avvisning och utvisning, avslag eller återkallelse av uppehållstillstånd eller, i vissa fall, arbetstillstånd m.m. får överklagas till Utlänningsnämnden. Allmän förvaltningsdomstol prövar vissa överklaganden, t.ex. beslut om tagande i förvar och omhändertagande av pass. Även ärenden om resning prövas av allmän förvaltningsdomstol.
Förutom handläggning av utlänningsärenden bör nämnas den verksamhet som polismyndigheterna har huvudansvaret för och som gäller kontroll av att utlänningar inte reser in i eller vistas i Sverige i strid mot utlänningslagen. Närmare bestämmelser härom finns i 5 kap. utlänningslagen och i utlänningsförordningen. Kontrollen utförs dels som en gränskontroll, dels som den s.k. inre utlänningskontrollen. Den förstnämnda avser kontroll av samtliga inresande och utresande utlänningar till eller från gränskontrollorter vid yttre gränser som inte räknas som inre gräns mot Schengenstat. Kustbevakningen och Tullverket är skyldiga att bistå polisen i denna kontroll. Den inre utlänningskontrollen avser kontroll av att utlänningar som vistas i Sverige har tillstånd att uppehålla sig här eller att utlänningar som arbetar som anställda här har erforderligt arbetstillstånd. Kustbevakningen är skyldig att i sin sjötrafikövervakning bistå polisen även med den inre utlänningskontrollen. Migrationsverket medverkar både i den yttre och den inre utlänningskontrollen.
Avslutningsvis kan påpekas att regeringen i en lagrådsremiss av den 6 juni 2002 lämnat förslag till bl.a. en ny utlänningslag. Förslaget avser bl.a. en ny instans- och processordning enligt vilken Migrationsverkets beslut skall kunna överklagas till vissa länsrätter och en kammarrätt. Dessa domstolar skall handlägga ärendena som migrationsdomstolar respektive Migrationsöverdomstol. Förslaget följer riksdagens beslut om att Utlänningsnämnden skall läggas ned och att överprövningen av asylärenden skall flyttas till domstolsväsendet. Efter det att Lagrådet framfört kritik mot regeringens förslag har ärendet beretts vidare i Regeringskansliet. Regeringen har nyligen beslutat att tillsätta en parlamentarisk kommitté som bl.a. skall se över utlänningslagens materiella regler och anpassa
dessa till en övergång från handläggning hos förvaltningsmyndighet och regering till ett system där överprövning sker i domstol (dir. 2003:28). Enligt direktivet skall uppdraget redovisas senast den 15 december 2003. Dessförinnan kommer regeringen således inte att lägga fram ett nytt förslag om ändrad instansordning.
3.2. Verksamhet enligt medborgarskapslagen
Regler om förvärv, förlust och befrielse från svenskt medborgarskap finns i medborgarskapslagen. Tillämpningsbestämmelser finns i medborgarskapsförordningen (2001:218).
En utlänning kan beviljas svenskt medborgarskap efter ansökan (naturalisation), om han eller hon uppfyller vissa krav, som finns angivna i 11 § medborgarskapslagen (en del lättnader i kraven ges i 12 §). Han eller hon skall bl.a. ha styrkt sin identitet, ha permanent uppehållstillstånd i Sverige samt ha haft hemvist här under vissa minimitider (olika tider beroende på till vilken kategori utlänningen hör) samt haft och kan förväntas komma att ha ett hederligt levnadssätt. Det sistnämnda kravet medför att uppgifter ur misstanke- och belastningsregistren normalt hämtas in i naturalisationsärenden liksom upplysningar från kronofogdemyndigheten om eventuella obetalda skulder. Dessutom kan upplysningar inhämtas från socialnämnd om sökandens personliga förhållanden för att bringa klarhet i hur utlänningen försörjer sig.
Svenska medborgares barn – som inte förvärvar svenskt medborgarskap genom födelse, adoption eller föräldrars äktenskap – kan erhålla svenskt medborgarskap efter anmälan. Detsamma gäller vissa andra särskilt angivna utlänningar, företrädesvis barn och ungdomar, med permanent uppehållstillstånd i Sverige. Medborgare i nordiska länder som haft hemvist här sedan fem år kan normalt förvärva medborgarskap efter anmälan.
Svenska medborgare kan förlora sitt medborgarskap under förutsättningar som anges i 14 §. I 15 § finns regler om befrielse från svenskt medborgarskap.
Länsstyrelserna prövar anmälningar om svenskt medborgarskap som gäller medborgare i ett annat nordiskt land. Utlänningsnämnden prövar ärenden om förklaring om svenskt medborgarskap.
I övrigt prövas medborgarskapsärenden av Migrationsverket som första instans. I vissa fall skall emellertid anmälningar och ansök-
ningar om medborgarskap, som prövas av Migrationsverket, ges in till en svensk utlandsmyndighet inom vars verksamhetsområde utlänningen är bosatt. Detta gäller bl.a. ansökningar om naturalisation från utlänningar som har fyllt 15 år och som inte är folkbokförda i Sverige.
Utlandsmyndigheterna skall därvid göra den utredning som behövs för ärendets prövning och sedan sända handlingarna till Migrationsverket för fortsatt handläggning. Även i andra medborgarskapsärenden skall utlandsmyndigheterna, på motsvarande sätt som beträffande utlänningsärenden, se avsnitt 3.1, medverka i enskilda ärenden på begäran av utlänningsmyndighet.
Migrationsverket och Utlänningsnämnden får i prejudikatsyfte överlämna vissa medborgarskapsärenden, däribland naturalisationsärenden, till regeringen.
Underrättelse om förvärv av svenskt medborgarskap efter ansökan eller anmälan skall ske till skattemyndigheten och, i förekommande fall, till den utlandsmyndighet som har tagit emot anmälan eller ansökan.
Migrationsverkets eller en länsstyrelses beslut om förvärv av svenskt medborgarskap efter anmälan får överklagas till allmän förvaltningsdomstol. Detsamma gäller Utlänningsnämndens beslut om förklaring. Övriga Migrationsverkets beslut får överklagas till Utlänningsnämnden, dock med undantag för säkerhetsärenden som överklagas till regeringen. Med säkerhetsärende avses ett ärende där Rikspolisstyrelsen hos Migrationsverket har föreslagit att ansökan avslås av skäl som rör rikets säkerhet eller allmän säkerhet.
Vid handläggningen av naturalisationsärenden brukar Migrationsverket begära ett s.k. kontrollbesked från Rikspolisstyrelsen (Säkerhetspolisen) då annan klar avslagsgrund inte bedöms föreligga. Syftet är att utröna om det finns några hinder av säkerhetsmässig karaktär mot att bevilja sökanden svenskt medborgarskap.
3.3. Övrig verksamhet
Som inledningsvis framgått är det inte helt självklart vad som skall avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Ser man till de myndigheter som i direktiven nämns som verksamma inom rättsområdet, är det närmast Utlänningsnämnden som i princip inte bedriver annan egentlig verksamhet än
att handlägga ärenden enligt utlänningslagen och medborgarskapslagen. Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna har annan verksamhet som sina huvudsakliga uppgifter.
Integrationsverket, som är den centrala förvaltningsmyndigheten för integrationsfrågor, bedriver ingen verksamhet enligt utlännings- eller medborgarskapslagarna. Enligt förordningen (1998:201) med instruktion för Integrationsverket skall verket bl.a. arbeta för att kommunerna har beredskap och kapacitet att ta emot skyddsbehövande som beviljats uppehållstillstånd och, vid behov, medverka vid deras bosättning. Därutöver skall verket följa upp kommunernas introduktion för skyddsbehövande och andra nyanlända utlänningar för vilka kommunerna får statlig ersättning samt återföra resultatet till kommunerna, andra myndigheter och regeringen. Vidare beslutar Integrationsverket om viss statlig ersättning till kommuner och landsting för flyktingmottagande och sjukvårdskostnader.
Migrationsverket är den centrala utlänningsmyndigheten i Sverige. Enligt förordningen (1988:429) med instruktion för Migrationsverket är verket en central myndighet för migrations- och medborgarskapsfrågor i den mån dessa inte skall prövas av annan myndighet. Enligt instruktionen har Migrationsverket vidare att fullgöra de uppgifter som verket har enligt utlänningslagstiftningen, medborgarskapslagstiftningen eller andra författningar. Därutöver skall verket svara för överföring av organiserat uttagna flyktingar, de s.k. kvotflyktingarna, som i samarbete med FN:s flyktingkommissariat (UNHCR) tas emot i Sverige för medel som varje år anslås av riksdagen och regeringen till flyktingkvoten. Dessutom skall Migrationsverket svara för mottagandet av asylsökande och vissa andra utlänningar med tidsbegränsade uppehållstillstånd samt för dessa ändamål ha huvudansvaret för boendet, besluta om statlig ersättning för vissa sjukvårdskostnader, fortlöpande bevaka att myndigheternas handläggning av frågor enligt utlännings- och medborgarskapslagstiftningen är effektiv, föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten samt vara den i Sverige ansvariga myndigheten i frågor som rör den europeiska flyktingfonden.
Nedan följer en översiktlig beskrivning av verksamhet enligt författningar med nära koppling till utlänningslagen. Beskrivningen tar sin utgångspunkt i verksamhetsdefinitionen i 1 § utlänningsdataförordningen.
Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet
Utöver utlänningslagen finns regler om utvisning i lagen (1991:572) om särskild utlänningskontroll. En utlänning som inte avvisas eller utvisas enligt utlänningslagen får nämligen utvisas ur landet enligt sistnämnda lag, om det behövs av hänsyn till rikets säkerhet eller det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han kommer att begå eller medverka till brottslig gärning som innefattar våld, hot eller tvång för politiska syften.
Utvisningsbeslut enligt lagen om särskild utlänningskontroll fattas av regeringen som enda instans. Frågan tas upp på ansökan av Rikspolisstyrelsen eller av regeringen självmant. En polismyndighet, en länsstyrelse eller Migrationsverket skall anmäla till Rikspolisstyrelsen om myndigheten finner anledning att anta att ett beslut om utvisning bör meddelas. Förhandling i frågan skall som regel hållas vid Stockholms tingsrätt varvid Rikspolisstyrelsen är utlänningens motpart. Yttrande skall inhämtas från Migrationsverket.
Utlänningsnämnden prövar överklagade beslut om offentligt biträde.
I tidigare nämnda lagrådsremiss om ny instans- och processordning, se avsnitt 3.1, har regeringen föreslagit väsentliga ändringar i lagen om särskild utlänningskontroll. Ett av förslagen är att Migrationsverket skall fatta beslut om utvisning i första instans med regeringen som överklagandeinstans.
Verksamhet som gäller utlänningars rätt att arbeta i landet
Utlänningars rätt att arbeta i Sverige regleras uttömmande i utlänningslagen och utlänningsförordningen eller av föreskrifter som meddelats efter bemyndigande i dessa författningar.
Enligt lagen (1989:532) om tillstånd för anställning på fartyg får Arbetsmarknadsstyrelsen och, efter bemyndigande av regeringen respektive Utrikesdepartementet, sjöarbetsförmedling eller svensk utlandsmyndighet ge tillstånd för att vissa utlänningar skall få ta anställning på svenska fartyg i utrikes trafik.
Mottagande av asylsökande och vissa andra utlänningar och verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket
I lagen (1994:137) om mottagande av asylsökande m.fl. (LMA) ges bestämmelser om sysselsättning för och bistånd till 1) utlänningar som är asylsökande, 2) utlänningar som har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd med stöd av bestämmelserna i 2 a kap. 2-4 eller 6 § utlänningslagen och som inte är folkbokförda här eller 3) utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas (1 § första stycket LMA).
Enligt LMA har Migrationsverket huvudansvaret för mottagandet av de två förstnämnda kategorierna utlänningar, 1) och 2), och är för detta ändamål ålagt att driva förläggningar. Migrationsverket får emellertid uppdra åt andra att driva förläggningar. Den som är eller har varit verksam vid en förläggning som drivs av enskild är enligt LMA ålagd tystnadsplikt och får alltså inte obehörigen röja vad han eller hon erfarit om enskildas personliga förhållanden.
Alla utlänningar av kategorierna 1) och 2) skall erbjudas plats och i vart fall registreras vid en förläggning. Migrationsverket svarar sedan för att bistånd lämnas enligt bestämmelserna i LMA. För bistånd till utlänningar enligt kategori 3) svarar socialnämnden i den kommun där utlänningen vistas.
Enligt LMA skall Migrationsverket ge de utlänningar verket ansvarar för sysselsättning i lämplig omfattning genom deltagande i svenskundervisning, skötseln av förläggningen och annan verksamhet som bidrar till att göra vistelsen meningsfull. Vid en förläggning registrerade utlänningar har under angivna förutsättningar rätt till bistånd av olika slag, nämligen logi, bostadsersättning, dagersättning eller särskilt bidrag. Beslut om bistånd fattas av Migrationsverket. När det gäller särskilt bidrag avser de inte sällan bidrag för en utlännings vårdavgift, dvs. den avgift som utlänningen själv skall betala för hälso- och sjukvård m.m. enligt förordningen (1994:362) om vårdavgifter m.m. för vissa utlänningar. Alla registrerade vid en förläggning får en personlig handling med sitt foto och sin namnteckning, ett s.k. LMA-kort, som visar att de är registrerade.
Även utlänningar enligt LMA:s kategori 3) har rätt till visst bistånd i form av dagersättning och särskilt bidrag. Beslut om dessa bistånd fattas av den socialnämnd som ansvarar för utlänningen.
Migrationsverkets och socialnämndens beslut enligt LMA får överklagas till allmän förvaltningsdomstol.
Enligt LMA har kommun som har lämnat bistånd rätt till ersättning från staten för biståndet.
I förordningen (1994:361) om mottagande av asylsökande m.fl. ges ytterligare föreskrifter om sysselsättning och bistånd m.m. Migrationsverket har dessutom utfärdat föreskrifter och allmänna råd som komplement till LMA och förordningen.
Enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land får Migrationsverket besluta om statligt bidrag till utlänning som önskar lämna Sverige för bosättning i ett annat land. Sådant bidrag får ges till kvotflyktingar, till dem som fått uppehållstillstånd efter att ha sökt asyl här eller till dem som har anknytning till en sådan utlänning.
Enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigas resor till Sverige får Migrationsverket bevilja bidrag för vissa anhörigas resor hit till landet.
Verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Integrationsverket
Enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. skall Integrationsverket träffa överenskommelser med kommuner om mottagande av kvotflyktingar, utlänningar som har fått uppehållstillstånd efter att ha varit registrerade vid en förläggning för asylsökande samt vissa andra utlänningar. Förordningen innehåller omfattande och detaljerade bestämmelser om kommuners rätt att få schablonbelopp eller ersättning för särskilda eller extraordinära kostnader som de haft för mottagna utlänningar i en mängd olika hänseenden. Ersättning lämnas t.ex. för ekonomisk hjälp som kommuner lämnat enligt lagen (1992:1068) om introduktionsersättning för flyktingar och vissa andra utlänningar. Även landsting har enligt förordningen rätt till ersättning för vissa kostnader.
Kommuner och landsting är skyldiga att lämna Integrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning. Det kan t.ex. gälla uppgifter som visar att kommunen är
berättigad till ersättning för särskilda kostnader som kommunen haft på grund av en utlännings sjukdom eller funktionshinder, som utlänningen hade vid ankomsten till Sverige eller som annars kan antas ha ett samband med utlänningens situation som flykting etc.
Övrigt
Den 31 maj 1996 träffade staten och Landstingsförbundet en överenskommelse om landstingens åtagande och statens ersättning för hälso- och sjukvård till asylsökande m.fl. Enligt överenskommelsen erbjuds asylsökande m.fl. akut sjuk- och tandvård m.m. Överenskommelsen har förlängts och justerats ett antal gånger. I den omfattning som landstingen ger vård lämnas ersättning enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande. Även kommuner och apotek ersätts för kostnader som de har för sådana utlänningar som avses i 1 § första stycket 1) och 2) LMA. Ersättning enligt förordningen beslutas och betalas av Migrationsverket. Landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömning av deras rätt till ifrågavarande ersättning. Beslut om ersättning för kostnader kan i vissa fall överklagas till regeringen.
Enligt förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. beslutar Migrationsverket om bl.a. ersättning för bistånd och annat som en kommun utgett enligt LMA eller förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl.
Förordningen (2000:415) om statlig ersättning till kommuner och landsting för kostnader för vissa utlänningar med tidsbegränsade uppehållstillstånd innehåller bestämmelser om statlig ersättning till kommuner och landsting för vissa kostnader som kommunerna och landstingen haft för medborgare i Förbundsrepubliken Jugoslavien som kommer från provinsen Kosovo och som beviljats tidsbegränsade uppehållstillstånd enligt utlänningslagen och som inte heller omfattas av LMA.
Ersättning ges bl.a. för kostnader för bistånd enligt socialtjänstlagen (2001:453) av motsvarande karaktär som bistånd enligt lagen om mottagande av asylsökande m.fl. för hälso- och sjukvård, undervisning, tolkkostnader m.m. Ersättning betalas av Migrationsverket efter ansökan i efterskott för varje kalenderår.
Landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning enligt förordningen.
Förordningen (2000:216) om statsbidrag till organisationer som främjar integration innehåller bestämmelser om statliga bidrag som kan ges i form av organisationsbidrag, verksamhetsbidrag eller projektbidrag till organisationer som till övervägande delen har medlemmar med invandrarbakgrund. Integrationsverket handlägger dessa bidragsärenden.
Enligt förordningen (2001:22) om den europeiska flyktingfonden prövar Migrationsverket frågor om stöd till insatser från den europeiska flyktingfonden som inrättats enligt rådets beslut 2000/596/EG. Ekonomiskt stöd kan för vissa ändamål och efter ansökan lämnas till myndigheter eller organisationer. Migrationsverket skall höra Integrationsverket innan beslut fattas.
Enligt förordning (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar skall Centrala studiestödsnämnden handlägga ärenden om lån till hemutrustning för flyktingar och vissa andra utlänningar som har fått uppehållstillstånd. Förordningen innehåller en mängd bestämmelser om under vilka förutsättningar lån får beviljas m.m. Migrationsverket och Integrationsverket är skyldiga att på nämndens begäran lämna vissa uppgifter om enskilda utlänningar.
4. Behandling av personuppgifter inom verksamhetsområdet
I utredningens direktiv anges att utredaren som en utgångspunkt för uppdraget skall kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Utredningen har vid genomförandet av denna kartläggning tagit del av ett antal tillstånd från Datainspektionen rörande ett flertal personregister, främst tillstånd för Migrationsverket men också för Utlänningsnämnden och Integrationsverket. Andra dokument och handböcker med beskrivningar av automatiserade system och dess innehåll har i olika skeden presenterats för utredningen.
Den särskilde utredaren och sekreteraren har dessutom företagit ett studiebesök vid Migrationsverkets huvudkontor i Norrköping. Vid besöket presenterades och förevisades nuvarande system för automatiserad behandling av personuppgifter. På sekretariatsnivå har kontakter förekommit med systemansvariga inom Migrationsverket samt med företrädare för Integrationsverket och Rikspolisstyrelsen.
I detta avsnitt redovisas vad som inhämtats om behandling av personuppgifter inom de aktuella myndigheterna. Det bör noteras att redogörelsen inte gör anspråk på att vara annat än en översiktlig redovisning av den kartläggning som utredningen genomfört. Beskrivningen inskränker sig vidare till behandling som sker i personregister eller annars ingår i eller är kopplade till större automatiserade system. Annan fristående behandling i ordbehandlingsprogram, e-post etc. lämnas utanför redogörelsen.
Redan här kan nämnas att åtskilliga av de personuppgifter som behandlas inom verksamhetsområdet omfattas av sekretess. Utredningen tar i avsnitt 7 upp olika sekretessfrågor. Även i avsnitt 6 berörs i viss mån sekretess för personuppgifter.
4.1. Migrationsverket
Som framgått av avsnitt 3 är Migrationsverket en central utlänningsmyndighet som har ett visst övergripande ansvar för migrations- och medborgarskapsfrågor inom landet. Regeringen har i den senaste budgetpropositionen och i regleringsbrev angett att Migrationsverket har ett processansvar i förhållande till utlandsmyndigheterna samt ett samordningsansvar gentemot övriga berörda myndigheter i migrationsprocessen, dvs. polismyndigheterna och Utlänningsnämnden (prop. 2002/03:1 utgiftsområde 8 s. 43). Det är också Migrationsverket som under de senare årtiondena utvecklat de största systemen för automatiserad behandling av personuppgifter i den ifrågavarande verksamheten. Det kan nämnas att det enligt myndighetsinstruktionen åligger verket att föra register och statistik över utlänningar i den utsträckning som behövs för verksamheten.
Inledningsvis beskrivs översiktligt verkets stora verksamhetsstödjande systemet som benämns STAMM (avsnitt 4.1.1). Beskrivningen omfattar även de automatiserade kopplingar av olika slag som finns mellan STAMM och andra externa datorsystem för informationsutbyte (avsnitten 4.1.1.2 och 4.1.2). Vidare beskrivs bl.a. myndighetsöverskridande system (avsnitt 4.1.3) samt pågående utvecklingsarbete (avsnitt 4.1.4). I efterföljande avsnitt beskrivs de särskilda databaserna för statistikrapportering m.m., för länder- och praxiskunskap, registrering av utlänningars fingeravtryck samt vissa övriga register vid verket (avsnitten 4.1.5 - 4.1.8).
4.1.1. STAMM ett verksamhetsstödjande datasystem
4.1.1.1 Allmänt om STAMM
Den centrala databasen inom Migrationsverket heter STAMM, vilket står för System för Tillstånd, Asyl, Mottagning och Medborgarskap. Enligt ett nyligen fattat beslut vid verket skall databasens namn bytas till Centrala Utlänningsdatabasen (CUD). I det följande används dock genomgående beteckningen STAMM, som databasen fortfarande kallas inom verksamheten.
STAMM utvecklades som ett personregister under förra hälften av 1990-talet. Fram till den 1 oktober 2001 var STAMM i drift med tillstånd från Datainspektionen. Med tiden har STAMM utvecklats till Migrationsverkets centrala databas, STAMM-basen, i vilken det
ursprungliga personregistret är en av flera beståndsdelar i ett verksamhetsstödjande ärendehanteringssystem som drivs med stöd av personuppgiftslagen och av utlänningsdataförordningen.
Inledningsvis bör anmärkas att Migrationsverket för närvarande hanterar information i manuella personakter, dossierer, i vilka alla dokument som rör en individ samlas. Alla automatiserade dokument som framställs i STAMM-basen skrivs ut på papper och läggs i dossiern som originaldokument. En dossier läggs upp, när en individ för första gången blir aktuell genom en ansökan av något slag, t.ex. genom en ansökan om tidsbegränsat uppehållstillstånd. Dossiern följer sedan individen i skilda slag av ärenden som kan aktualiseras. Dossiern är alltså "levande" till dess utlänningen i fråga beviljas svenskt medborgarskap eller avlider. Under denna tid, som kan vara under åtskilliga år, kan dossiern vandra mellan verkets regionkontor och avdelningar om utlänningen flyttar eller blir aktuell i olika slags ärenden. Det förekommer även att dossiern lämnas till Utlänningsnämnden i samband med ett överklagande eller lånas ut till andra myndigheter, t.ex. en polismyndighet.
STAMM-basen betjänar samtliga Migrationsverkets enheters ärendehantering av tillståndsfrågor, medborgarskapsärenden, diarieföring, asylprövningar, flyktingmottagning på slussar och förläggningar, bidragshantering, kommunplaceringar m.m.
Inom Migrationsverket sker en prövning om och i så fall till vilka delsystem varje anställd skall ha åtkomst. Endast de som behöver åtkomst för att kunna fullgöra sina arbetsuppgifter ges behörighet att logga in sig på hela STAMM-basen. En mängd behörighetsnivåer förekommer.
STAMM-basen innehåller en mängd personuppgifter om alla utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att besöka, bo, arbeta eller studera i Sverige. Dessutom finns personuppgifter om alla utlänningar som ansökt om uppehålls- eller arbetstillstånd m.m. men som fått avslag på sina ansökningar. Utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är också registrerade liksom de som ingår i förfrågningar från andra myndigheter eller privatpersoner.
I STAMM-basen är således ett stort antal utlänningar registrerade, för närvarande drygt en miljon individer. Dessutom förekommer personuppgifter om svenska medborgare som har anknytning till utlänningar, t.ex. som referenter, eller som nyligen har beviljats svenskt medborgarskap. Utlänningar vars ansökan om
tillstånd prövas av utlandsmyndigheter som inte är anslutna till ärendehanteringssystemet Wilma (se avsnitt 4.1.3) liksom utlänningar som besöker Sverige och som omfattas av viseringar beviljade av andra Schengenstater eller är viseringsfria registreras dock inte i STAMM-basen.
Personuppgifter registreras såväl i s.k. funktionsfält där kodsystem kan förekomma, som i fritexter eller dokument med löpande text som lagras i STAMM-basen, exempelvis utredningar eller motiverade beslut. I dylika dokument kan alla slags känsliga personuppgifter enligt 13 § personuppgiftslagen förekomma liksom uppgifter om lagöverträdelser och annan integritetskänslig information. Dessa lagrade dokument är åtkomliga för andra behöriga tjänstemän än den som skriver eller skrivit texten, oavsett om handlingen är upprättad eller om den ännu är under arbete. Upprättade dokument är normalt åtkomliga för behörig personal inom hela verket medan dokument under arbete normalt endast är åtkomliga på lokal nivå. Lagrade dokument med löpande text, exempelvis avslagsbeslut på asylansökningar, lagras lika länge i STAMM-basen som övriga registrerade uppgifter om individen. Fördelen med detta är, enligt vad verket framhållit, t.ex. att personal i Malmö kan beträffande en nyanländ asylsökande, som redan är registrerad i STAMM, läsa ett eventuellt avslagsbeslut i ett tidigare asylärende utan att behöva rekvirera dossiern.
Vad gäller sökbegrepp föreskrev tidigare tillstånd från Datainspektionen att fritextfält inte fick vara sökbara. Numera gäller enligt utlänningsdataförordningen endast den begränsningen att sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen inte får användas som sökbegrepp i verksamhetsregister. För närvarande är fritexter inte sökbara för den enskilda användaren. Sökning på personnummer och samordningsnummer samt dossiernummer kan göras. Vidare kan sökning göras på registrerade utlänningars referenspersoner, exempelvis släktingar, arbetsgivare etc.
Personuppgifter i STAMM-basen som bedöms vara inaktuella förs över till en från STAMM-basen avskild databas för avställda uppgifter. Överflyttningen sker efter vissa tidsramar, t.ex. efter det att utlänningen i fråga blivit svensk medborgare eller då åtta år gått från det att utlänningen senast erhöll något arbets- eller uppehållstillstånd eller vars senaste ärende är ett viseringsärende och beslutet är äldre än fyra år. Via STAMM-basen kan man dock söka i databasen efter avställda uppgifter.
Innehåll och systembeskrivning
STAMM innehåller flera systemdelar som arbetar mot samma databas, STAMM-basen. Följande delar ingår i systemet.
STAMM-applikationen är ett personregister bestående av tekniskt skilda delsystem som bearbetar information på olika sätt. Delsystemen är emellertid sammankopplade och visar information för användaren parallellt i tabeller.
I delsystemet Gemensam plattform ingår ett antal undersystem.
Individ är ett system som hanterar ärendeanknuten information om utlänningar, exempelvis medborgarskap, språk, och släktskapsrelationer. Etnicitet kan inte registreras i applikationen. Dossierlån är ett eget system i vilket varje dossiers fysiska placering, utlåningssystem och arkivering administreras. Systemet har av Datainspektionen ansetts utgöra ett tillståndspliktigt personregister i datalagens mening. I systemet Organisation finns en organisationsbeskrivning över Migrationsverket med adressuppgifter m.m. till regionenheter, flyktingförläggningar i Migrationsverkets eller annans regi. Här finns också uppgifter om vilken personal som arbetar på respektive enhet och vilka telefonnummer dessa har. Även uppgifter om tidigare anställda finns här. Systemadministration är ett undersystem i vilket behörighetsfrågor, rapportering m.m. registreras. Kvotsystemet är ett system i vilket resor och boende för kvotflyktingar registreras och administreras. Infobas är ett system för uttag av uppgifter ur STAMM-databasen för utlandsmyndigheternas räkning. Uppgifterna görs sedan automatiserat tillgängliga för utlandsmyndigheterna genom att lagras på CD-romskiva som utlämnas till utlandsmyndigheten. Denna hantering beskrivs närmare i avsnitt 4.1.3 nedan.
I delsystemet Ärende finns Migrationsverkets ärendehanteringssystem rörande handläggning av frågor om asyl, tillstånd, medborgarskap och mottagning. Här registreras ärenden och beslut samt korrespondens. Det finns möjlighet att spara ett beslut för att när som helst läsa eller skriva ut beslutet i efterhand. I en särskild listfunktion kan enhetens eller den enskilde handläggarens planeringsunderlag plockas fram. Listorna kan till stora delar utformas efter personliga önskemål.
Mottagning är ett annat delsystem i vilket administration av de asylsökandes boende hanteras, t.ex. finns uppgifter om boendetyp, inskrivningar och utflyttningar. Systemet används i den verksamhet som sker på slussar, förläggningar och regionkontor. Uppgifter
som registreras i denna systemdel är koncentrerade till aktiviteter rörande individen under tiden handläggningen av ett asylärende pågår. Genom systemet kan man söka fram lediga platser efter vissa kriterier, exempelvis efter språkgrupp, kön, barnfamilj m.m.
Diarium är delsystemet för Migrationsverkets diarieföring av allmänna handlingar som inte är ärende- eller dossieranknutna.
Ersättningar är ett administrativt system i vilket utbetalningar i form av dag- och bostadsersättningar, särskilda bidrag, kommun- och landstingsersättningar och ersättningar enligt lagen (1994:137) om mottagande av asylsökande m.fl. hanteras. Systemet beräknar storleken av de bidrag som skall betalas ut för varje individ eller familj och gör slutsummeringar. Uppgifterna sparas för att utgöra underlag till uppföljningar och för beräkning av statliga ersättningar till kommun och landsting.
Slutligen ingår det system som administrerar tillfälliga personliga handlingar för asylsökande, s.k. LMA-kort. Detta system, som benämns Kort, lagrar bl.a. skannade fotografier och namnteckningar av asylsökande, beställningar av ID-handlingar samt utbetalningar förknippade med korthanteringen.
4.1.1.2 STAMM:s externa kopplingar
STAMM-basen har kopplingar till andra myndigheters datorsystem från eller till vilka information hämtas eller lämnas. Hur kopplingarna fungerar skiftar. Vissa kopplingar mellan STAMM och andra har karaktär av direktåtkomst, dvs. en direkt och automatiserad tillgång till uppgifter i STAMM med möjlighet att kunna söka efter information, dock utan möjlighet att kunna påverka innehållet i STAMM. I 6 § utlänningsdataförordningen föreskrivs att Rikspolisstyrelsen, polismyndigheterna, Utlänningsnämnden, Integrationsverket och utlandsmyndigheterna får ha direktåtkomst till Migrationsverkets verksamhetsregister, dvs. STAMM. Direktåtkomsten skall emellertid begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen såsom denna verksamhet närmare definieras i förordningens 1 §.
Flertalet av de myndigheter som har direktåtkomst har också möjlighet att inregistrera uppgifter i STAMM.
Centrala studiestödsnämnden
Centrala studiestödsnämnden behandlar ansökningar enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar, se avsnitt 3.3. Enligt 28 § i förordningen får nämnden med hjälp av automatisk behandling föra ett personregister för administration av dessa hemutrustningslån. I 29 § anges vilka uppgifter som får förekomma i registret. Enligt 30 § samma förordning är Migrationsverket skyldigt att på begäran lämna vissa uppgifter till nämnden, det gäller exempelvis uppgifter om personnummer eller dossiernummer hos Migrationsverket, namn, adress, medborgarskap, språkgrupp, familjeförhållanden, boendeförhållanden, uppgift om att personen är flykting eller asylsökande m.m. Denna uppgiftsskyldighet uppfylls på det sätt att nämnden har direktåtkomst till STAMM.
Migrationsverket är vidare skyldigt att lämna nämnden vissa uppgifter i ärenden om studiestöd, se 6 kap. 13 a § studiestödsförordningen (2002:618), samt i ärenden om rekryteringsbidrag till vuxna, se förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Enligt uppgift från verket har nämnden inte direktåtkomst till STAMM på grund av dessa uppgiftsskyldigheter.
Någon direktåtkomst för nämnden finns inte föreskriven i utlänningsdataförordningen.
Integrationsverket
Integrationsverket har inte utvecklat något eget system för sin bidragshantering enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. Detta hänger samman med att Integrationsverket i samband med sitt bildande år 1998 övertog vissa uppgifter från dåvarande Statens invandrarverk, däribland ersättningsärenden enligt den nämnda förordningen. Verket arbetar i systemet ROSE, som utvecklats av Migrationsverket som en av flera systemdelar i Migrationsverkets STAMM-bas. Det som en gång var ett av flera interna system för Migrationsverket är alltså numera ett verksamhetsstödjande system för såväl Migrationsverket som Integrationsverket, dock alltjämt utgörande en del av STAMM-basen.
År 1998 fick Integrationsverket och Migrationsverket tillstånd av Datainspektionen att gemensamt inrätta och föra person-
registret ROSE. Utan direktåtkomst till STAMM-basen kan Integrationsverket inte arbeta i ROSE.
I ROSE registreras personuppgifter om asylsökande och kvotflyktingar. Ändamålet med registreringen är att ta fram uppgifter om personer för att kunna utbetala korrekta ersättningar till kommuner och landsting enligt den nämnda förordningen. Personuppgifterna hämtas från STAMM-applikationens delsystem Gemensam plattform. Integrationsverket har således direktåtkomst till denna del av Migrationsverkets verksamhetsstödjande system.
Det kan nämnas att Migrationsverket enligt utlänningsdataförordningen är personuppgiftsansvarigt för Integrationsverkets behandling av personuppgifter inom den verksamhet som förordningen avser. Det ansvaret omfattar bl.a. behandlingen i ROSE.
Inga andra myndigheter har automatiserad tillgång till personuppgifterna i ROSE.
Som nämnts innehåller ROSE en mängd personuppgifter hämtade från övriga delsystem i STAMM-basen. Många uppgifter är integritetskänsliga. Exempelvis gäller detta enskilda individers asylskäl, för vilka finns särskilda koder i STAMM-basen. Denna information är nödvändig för Integrationsverket eftersom kommunernas rätt till statlig ersättning varierar med vad för slags flykting som mottagits. Integrationsverkets inregistering och lagring av personuppgifter i ROSE sprider sig till andra delsystem i STAMM.
Vad gäller övrig automatiserad behandling av personuppgifter inom Integrationsverket hänvisas till avsnitt 4.3 nedan.
Rikspolisstyrelsen och polismyndigheterna
Fram till dess Migrationsverket övertog ansvaret från polisen för asylärendenas initiala handläggning, förvarstagande och verkställighet hade polismyndigheterna ett stort behov av tillgång till registrerade uppgifter i STAMM. Det fanns tidigare tillstånd från Datainspektionen att ge polisen åtkomst till vissa slags personuppgifter i STAMM-basen. Polisen har alltså haft och har alltjämt direktåtkomst till STAMM-basens särskilda polisbild där det bl.a. framgår vilka tillstånd en utlänning har och enligt vilken klassningskod, utlänningens boendehistorik, samhörigheter med andra, ev. förekomst på spärrlista m.m. Polisen har även efter det att Migrationsverket övertog ansvaret för förvarstagna, verkställighet m.m. medgetts direktåtkomst till STAMM-basen. Detta
sammanhänger med att polisen alltjämt har huvudansvaret för den yttre och inre utlänningskontrollen. Tullverket och Kustbevakningen har ingen åtkomst till STAMM-basen.
Migrationsverket har för sin del åtkomst till flera av Rikspolisstyrelsen förda register nämligen belastningsregistret, misstankeregistret och spärrlistan i Schengens informationssystem (SIS), se mer om sökning i spärrlistan i avsnitt 4.1.2.
Utlandsmyndigheter
Ett femtontal större utlandsmyndigheter har direktåtkomst till STAMM-basen. Till de utlandsmyndigheter som inte har direktåtkomst utlämnas på annat sätt ett urval uppgifter som bedömts nödvändiga för deras ärendehantering, se avsnitt 4.1.3 om Wilma och Alma.
Arbetsmarknadsstyrelsen
Från STAMM-basen utlämnas beviljade arbetstillstånd till Arbetsmarknadsstyrelsen genom direktöverföring på datafil. Datainspektionen gav i beslut år 1999 tillstånd till denna form av utlämnande som i vart fall då var avsedd att ske en gång per månad.
Utlänningsnämnden
Utlänningsnämnden har direktåtkomst till STAMM. Nämnden kan bl.a. se inregistrerad information om beslut, individ- och adressuppgifter samt fritexter som avser planering rörande hemresor för utlänningar som avvisats eller utvisats i samband med verkets avslag på ansökningar om uppehållstillstånd. I fritexter kan exempelvis läsas när och till vilket land en resa planeras. För nämndens egen prövning är denna information av stor vikt. Utlänningsnämnden registrerar vidare beslut, korrigerar namn- och födelseuppgifter, uppgift om medborgarskap m.m. direkt i STAMM.
Landstingen
Till de olika landstingen utlämnas personuppgifter från STAMMbasen via disketter. Uppgifterna avser i allmänhet vilka utlänningar som har skrivits in på olika flyktingförläggningar. Dessa uppgifter behöver landstingen för att kunna bereda de asylsökande hälso- och sjukvård under tiden som asylutredningarna pågår. Uppgifterna används också som landstingens underlag då ersättning för vården begärs från staten.
Riksskatteverket
Riksskatteverket lämnar uppgifter till STAMM-basen om folkbokförda utlänningars adressändringar, namnändringar, dödsfall, utflyttning ur Sverige m.m. genom ett automatiserat förfarande som söker av registrerade utlänningar i STAMM-basen. Detta sker varje natt via en s.k. on-lineförbindelse. Migrationsverket lämnar i sin tur i vissa fall uppgifter om utlänningars adress till Riksskatteverket i enlighet med en i folkbokföringsförordningen (1991:481) föreskriven uppgiftsskyldighet. För närvarande behandlas inom Regeringskansliet en begäran från Riksskatteverket om att Migrationsverket också skall förpliktas lämna uppgift om alla utlänningar vars tillfälliga uppehållstillstånd löpt ut och som inte begärt förnyelse inom tre månader därefter.
Migrationsverket informerar Riksskatteverket om alla beviljade medborgarskap. Uppgiftsutlämnandet sker för närvarande per post. Riksskatteverket, som varje år mottar drygt 30 000 brev om beviljade medborgarskap, har begärt elektronisk överföring och inom Migrationsverket planeras en övergång till sådan överföring.
AB Svenska Pass
Migrationsverket utfärdar resedokument för flyktingar som en ersättningshandling för pass. Dessutom utfärdas s.k. främlingspass. Migrationsverket skickar till AB Svenska Pass utlänningens fotografi och namnteckning samt övrigt underlag lagrat på CD-romskiva. Inom kort kommer denna informationsöverföring i stället att ske elektroniskt via on-lineförbindelse.
Nordea (Postgirot)
Till Postgirot sänds via filöverföring biståndsbelopp enligt lagen om mottagande av asylsökande m.fl. som skall utbetalas till asylsökandes personliga konton. Kontona är knutna till utlänningarnas LMA-kort.
4.1.2. SIRENE
Enligt 1 § lagen (2000:344) om Schengens informationssystem är Rikspolisstyrelsen ålagd att med hjälp av automatiserad behandling föra ett register som skall vara den svenska nationella enheten i Schengens informationssystem (SIS). I en central databas i Strasbourg finns bl.a. en särskild spärrlista där uppgifter införs om personer som avvisats eller utvisats ur Schengenstat med återreseförbud och som därför skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (artikel 96 i Schengenkonventionen). I den nationella enheten vid Rikspolisstyrelsens SIRENE-kontor lagras en exakt kopia av uppgifterna i den centrala databasen i Strasbourg.
Migrationsverket har enligt 9 och 10 §§ förordningen (2000:836) om Schengens informationssystem direktåtkomst till dessa uppgifter i spärrlistan för ändamålet att pröva ansökningar om visering och uppehållstillstånd. Dessutom får verket ha direktåtkomst till övriga delar av registret då verket bistår en polismyndighet i gränskontrollverksamhet. Någon regelrätt direktåtkomst finns emellertid inte för närvarande.
Migrationsverket har i stället utvecklat ett automatiserat system för att kunna göra sökningar på grundval av sin direktåtkomst. Från Rikspolisstyrelsen sänds en textfil som lagras i en särskild databas på Migrationsverket. Textfilen uppdateras av Rikspolisstyrelsen varje natt. I textfilen gör Migrationsverket sedan automatiserade sökningar på individer. Ger sökningen en träff, får man endast reda på att personen förekommer i spärrlistan, vilket land som har fört in personen på listan och hur lång tid spärren gäller. Därefter vidtar ett samrådsförfarande med det land som har lagt in uppgiften i spärrlistan. En automatiserad förfrågan om anledningen till spärren m.m. sänds via SIRENE till behörig myndighet i landet i fråga. Svar och eventuell fortsatt kommunikation sker emellertid icke automatiserat utan per post.
I systemet lagras bl.a. personuppgifter om namn, personnummer, dossiernummer samt förfrågningar.
4.1.3. Myndighetsöverskridande system
År 1998 tillsatte regeringen en arbetsgrupp, IT-Hjalmargruppen, bestående av deltagare från Utrikesdepartementet, Justitiedepartementet, Rikspolisstyrelsen, Migrationsverket och Utlänningsnämnden. Arbetsgruppen fick bl.a. i uppdrag att projektera ett framtida IT-stöd vid ärendehantering av ansökningar om visering, uppehållstillstånd och arbetstillstånd som lämnas in på en utlandsmyndighet. Projektet föranleddes av att Sveriges inträde i Schengensamarbetet ställde nya krav på främst utlandsmyndigheterna. Bl.a. förutsätter Schengensamarbetet att staterna skall konsultera varandra i viseringsärenden, att sökning i SIS spärrlista skall göras innan visering eller uppehållstillstånd beviljas samt att Schengenenhetlig maskinläsbar text skall skrivas ut på viseringsmärken, s.k. stickers. I projektet har systemen Vision, Wilma och Alma utvecklats. Av dessa är endast Wilma fortfarande under utveckling. Systemen beskrivs översiktligt nedan.
I Hjalmarprojektet ingick att en samlad syn skulle anläggas på hela handläggningsprocessen samt att Migrationsverket skulle som ”processansvarig” i förhållande till utlandsmyndigheter, Rikspolisstyrelsen och Utlänningsnämnden ha ett helhetsansvar för processen (se bl.a. Statskontorets promemoria den 10 juni 2002 Dnr 2001/490-5 s. 21).
Vision
Vision är ett datasystem som har byggts upp inom Schengensamarbetet som ett automatiserat rådfrågningssystem i enlighet med Artikel 17 i Schengenkonventionen. Där föreskrivs att Verkställande kommittén definierar de fall då visering inte får utfärdas utan föregående hänvändelse till den berörda avtalsslutande partens centrala myndighet samt, i förekommande fall, till andra avtalsslutande parters centrala myndigheter. Ett Schengenland kan nämligen begära att bli konsulterat i ärenden om visering och uppehållstillstånd såvitt avser olika kategorier av utlänningar. Exempelvis kan Tyskland begära att bli konsulterat då irakiska medborgare
söker visum eller uppehållstillstånd i ett eller flera övriga Schengenländer.
I Schengenkonventionen regleras inte närmare vilka personuppgifter som konsultationerna skall avse. En under Verkställande kommittén lydande arbetsgrupp för viseringsfrågor (VISION) har dock utarbetat formulär och anvisningar för vilka personuppgifter som skall överföras vid konsultationerna. Följande uppgifter överförs regelmässigt i enlighet med dessa formulär. (1) Personuppgifter om sökande, och i förekommande fall, hans eller hennes familjemedlemmar eller referensperson (sökandes fullständiga namn och eventuellt tidigare namn, födelsedatum och födelseort, kön, ursprungligt och nuvarande medborgarskap, yrke/ sysselsättning, föräldrars namn, makes eller makas fullständiga namn, födelsedatum och födelseort samt vid resmålet angiven referenspersons namn och adress).
(2)
Uppgifter om sökandes viseringsansökan (den begärda vistelsens längd, syftet med vistelsen, huvudsakligt resmål, planerade datum för in- och utresa, antal inresor som begärts, gränsövergång vid inresan.
(3)
Uppgifter om resehandling (pass, resedokument eller liknande identitetshandling, nummer och utfärdare).
Sverige har i och med inträdet i Schengensamarbetet förbundit sig att utföra dessa konsultationer. Migrationsverket har ansvar för den svenska delen av Vision. Utlandsmyndigheterna, som prövar flertalet visumansökningar, gör konsultationerna via krypterad epost till och från Migrationsverket centrala Visionsystem, som i sin tur kommunicerar med andra Schengenländers Visionsystem. Några utlandsmyndigheter har genom Wilma direktåtkomst till Vision. Konsultationerna sker genom ett fullständigt automatiserat sökningsförfarande. Konsultationer, som innehåller personuppgifter och som berör Sverige, lagras i Vision.
Wilma
Wilma, eller ”Web-based Information system Linking Migration Authorities”, är ett webbaserat ärendehanteringssystem som förbinder utlandsmyndigheterna elektroniskt med Migrationsverkets STAMM-bas i den ärendehantering kring besöks- och bosättningsprocess som det ankommer på utlandsmyndigheterna att handha.
Handläggningen av ärenden om visering, uppehållstillstånd och arbetstillstånd som ges in till utlandsmyndigheter genom ansökan hanteras elektroniskt i Wilma på i korthet följande sätt. Ansökningar inregistreras elektroniskt i STAMM av en utlandsmyndighet genom Wilma och en sökning görs mot STAMM-basen för kontroll huruvida sökanden eller av denne angivna referenspersoner förekommer sedan tidigare i STAMM-basen. Syftet är att utlandsmyndigheten skall kunna få del av information av betydelse för prövningen av en ansökan om visum eller annat tillstånd.
Genom Wilma lagrar utlandsmyndigheten personuppgifter om sökanden och eventuella referenspersoner i STAMM-basen. Exempelvis tilldelar utlandsmyndigheten en utlänning, som inte förekommit tidigare i STAMM-basen, genom Wilma en dossierbeteckning i STAMM-basen varunder personuppgifter, dokument m.m. fortsättningsvis lagras. En tjänsteman på utlandsmyndighet med högsta behörighet kan söka i hela STAMM-basen utifrån vissa särskilda sökbegrepp.
Via Wilma kan utlandsmyndigheternas personal genom direktåtkomst till Migrationsverkets kopia av Sirenekontorets spärrlista göra sökningar i listan. Wilma är också kopplat ”on line” till Visionsystemet.
Om ett ärende skall överlämnas till Migrationsverket för prövning (gäller ärenden om uppehållstillstånd), planeras att ingivna handlingar i ärendet skall skannas och lagras, kopplade till ett ärende, i en dokumentdatabas och i STAMM-basen. De skannade handlingarna kommer därigenom att vara tillgängliga för alla handläggare med rätt behörighet. Dokument som skapats av utlandsmyndigheten kommer att lagras elektroniskt i en dokumentdatabas som textfiler. Om den sökande beviljas tillstånd, registreras det i Wilma. Sökanden får tillståndet, en s.k. stickers, infört i sitt pass och numren på pass respektive stickers registreras i Wilma. Får sökanden i stället avslag på sin ansökan, registreras också detta. Vid ett eventuellt överklagande (möjligt endast då ansökan avser uppehållstillstånd) registreras överklagandet och, som det planeras framöver, skall ärendet överlämnas elektroniskt via Wilma till Utlänningsnämnden. Utlänningsnämnden avses i sin tur registrera sitt beslut i Wilma.
Wilma är fortfarande under uppbyggnad och endast ett femtontal större utlandsmyndigheter är för närvarande anslutna. Utbyggnaden sker stegvis. Utlänningsnämnden och Rikspolisstyrelsen är
inlemmade i nätverket. Rikspolisstyrelsens och polismyndigheternas åtkomst avses successivt byggas ut ytterligare.
Tanken är bl.a. att när resande, som har fått visering eller tillstånd som utfärdats av svensk myndighet, anländer till Sverige, kan viseringen eller tillståndet kontrolleras av anslutna myndigheter mot registrerade uppgifter i Wilma. En gränskontrollant kan kontakta en polisman för vidare utredning. Polismannen kan sedan kontrollera utlänningen i för polisen tillgängliga register bl.a. i STAMM-basen. Utlänningens inresa eller utresa planeras att fr.o.m. år 2003 kunna registreras via Wilma i STAMM av polisens gränskontrollenheter.
Förutom den tillgång till STAMM som Rikspolisstyrelsen redan haft sedan tidigare, är alltså avsikten att Rikspolisstyrelsen nu via Wilma skall ges tillgång till i STAMM-basen lagrade dokument och eventuellt även skannade fotografier av sökanden i enskilda ärenden. Dessutom avses polisen, till skillnad från tidigare, kunna få uppdatera STAMM-basen med nya uppgifter. Dessa uppgifter kan gälla beviljade nödfalls- och sjömansviseringar samt in- och utresor av tredjelandsmedborgare via yttre Schengengräns. I beslut av Datainspektionen har Rikspolisstyrelsen, Utlandsmyndigheterna och Utlänningsnämnden getts tillstånd att uppdatera uppgifter i STAMM-basen via Wilma.
Frågor om åtkomstbehörighet för personal vid utlandsmyndigheterna har varit föremål för särskilt samråd mellan Migrationsverket, som ansvarar för tilldelningen av behörigheter, och Utrikesdepartementet. Lokalanställd personal har därvid getts endast mycket begränsad tillgång till personuppgifter genom Wilma. De lokalanställda får exempelvis inte tillgång till uppgifter som är belagda med utlänningssekretess eller som rör annat än av utlänningen själv uppgiven adress i hemlandet. Inte heller får de lokalanställda utföra SIS-slagningar eller Vision-konsultationer.
Det kan sammanfattningsvis konstateras att det genom Wilma överförs en mängd i hög grad integritetskänsliga uppgifter mellan myndigheterna. För närvarande rör det sig om att sådana uppgifter dels utlämnas från STAMM-basen till Utlänningsnämnden, utlandsmyndigheterna och polisen, dels inregistreras i STAMMbasen av utlandsmyndigheterna.
Alma
Alma eller ”Alternative Migration Application” har utvecklats som ett förenklat alternativ till Wilma. Samtliga utlandsmyndigheter har använt Alma och de som ännu inte är anslutna till Wilma använder fortfarande Alma. Alma är vidare tänkt att framgent finnas som ett reservsystem om tillfälliga tekniska fel medför att Wilma inte kan användas. Alma har ingen nätanslutning utan är en programvara som distribueras från Migrationsverket via Utrikesdepartementets kurirpost till utlandsmyndigheterna på en CD-romskiva. Denna innehåller installationsprogram, konsultationsdel, del för SISsökning och sökning i Infobas (se avsnitt 4.1.1.1) samt del för utskrift av viserings- och tillståndsmärken (stickers). Var fjortonde dag levererar Migrationsverket en uppdaterad version av Infobas och SIS-bas till utlandsmyndigheterna. Alma står alltså inte i direkt kommunikation med andra system.
Respons
Övrigt informationsutbyte mellan utlandsmyndigheterna och Migrationsverket sker utan användande av särskilt uppbyggda datorsystem. Exempelvis används telefax och kurirpost.
Det kan dock nämnas att Migrationsverket har en särskild rutin benämnd Respons genom vilken verket besvarar olika slags epostade förfrågningar från utlandsmyndigheterna enligt en given ordning. Utlandsmyndigheter kan skicka dessa förfrågningar om ärendehantering till en viss e-postbrevlåda. Frågor besvaras i allmänhet inom två dygn. Varje dag besvaras mellan 30 och 40 frågor. Personuppgifter överförs ibland genom Responsförfarandet.
4.1.4. DHS – elektronisk dokumenthantering
Dokumenthanteringssystemet DHS är en del av Migrationsverkets IT-infrastruktur och är till för att skapa och lagra elektroniska dokument. För närvarande innehåller DHS ett personaktsarkiv med elektroniska dossierer och ett mallarkiv för skapande av elektroniska dokument med på förhand ifyllda individ- och ärendeuppgifter.
DHS är en del i den pågående utvecklingen av ärende- och dokumenthanteringen inom Migrationsverket. Arbete pågår med
att integrera DHS och Hjalmarsystemet (Wilma) (se ovan avsnitt 4.1.3.).
Redan år 1997 genomfördes ett försök med elektronisk ärendehantering, EHÄ, och 4 000 elektroniska dossierer skapades som alltjämt är aktuella och hanteras i det nuvarande DHS. Alla tillkommande handlingar i dessa dossierer skannas in.
DHS är kopplat till STAMM-basen från vilken information och personuppgifter överförs. I systemet skapas dokument elektroniskt. Visst material som lagras kan läsas bara inom en enhet. Fritextsökning kan i dag inte göras i DHS.
En fördel man inom Migrationsverket framhåller med elektroniska dossierer är att tjänstemän på olika enheter i landet kan titta i en dossier samtidigt. När det gäller pappersdossiererna läggs betydande tid på att skicka omkring dessa eller göra kopior av handlingar i dem för att skicka dem vidare till andra enheter eller myndigheter. Mycket arbetstid får i bland läggas på att lokalisera dossierer.
Målsättningen inom Migrationsverket är en övergång till fullständig elektronisk ärendehantering i syfte att effektivisera verksamheten. En fråga som återstår att lösa är emellertid hur arkiveringen i form av automatiserad långtidslagring av bl.a. elektroniska sigill skall ske.
4.1.5. PLUS – System för planering, uppföljning och statistik
Migrationsverket är enligt 2 § förordningen med instruktion för Migrationsverket ålagt att föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Vidare är verket ålagt att fortlöpande bevaka att myndigheternas handläggning av frågor enligt utlännings- och medborgarskapslagstiftningen är effektiv. Enligt 9 § utlänningsdataförordningen får personuppgifter behandlas automatiserat i verksamhetsregister för ändamålen tillsyn, uppföljning och verksamhetsplanering samt för att framställa statistik.
Den 1 januari 2000 togs systemet PLUS – Planering, Uppföljning och Statistik – i drift och ersatte då ett tidigare statistiksystem. Det huvudsakliga ändamålet med PLUS är att förse verkets ledning, centralt eller regionalt, med den statistik och information som behövs för uppföljning av verksamheten.
Från STAMM-basen hämtas automatiserat varje dygn alla personuppgifter som hänför sig till en individ, alla händelser som rör individen och datum för händelserna. Detta innebär att i princip alla i STAMM registrerade individer också registreras i PLUS med dossiernummer, adressändringar liksom alla ärenden, korrespondens, beslut m.m. som rör dessa individer. All denna individbaserade information lagras sedan i PLUS.
PLUS är konstruerat för att kunna besvara frågor som ställs till databasen och utifrån dessa skapa rapporter. Cirka 30 anställda har tillgång till PLUS. Även om PLUS innehåller en mycket stor mängd personuppgifter, däribland integritetskänsliga, finns inga uppgifter som identifierar individer med i de rapporter som framställs.
För närvarande finns vissa planer på att ge fler anställda möjligheter att komma åt individbaserad information i PLUS. Det finns också planer på att framställa rapporter som kommer att innehålla personuppgifter.
4.1.6. LIFOS
För bedömningarna i utlänningsärenden och i synnerhet asylärenden är det av största vikt att handläggande myndigheter har god insikt i förhållandena i de länder varifrån flyktingar kommer. Migrationsverkets behov av allmän länderkunskap tillgodoses på en mängd olika sätt. De svenska utlandsmyndigheterna rapporterar regelbundet till Utrikesdepartementet om de politiska förhållandena och läget när det gäller mänskliga rättigheter i de länder man bevakar. I den mån rapporterna bedöms ha intresse för asylfrågor, får Migrationsverket (och Utlänningsnämnden) del av rapporterna. Även utländska utlandsmyndigheters rapporter, informationsutbyte mellan EU-länderna med stöd av Dublinkonventionen, dokumentation från UNHCR, Amnesty International och massmedia ger underlag för länderkunskap. Migrationsverkets tjänstemän reser också till de aktuella länderna för att samla kunskap om förhållandena på platsen, s.k. fact findingsresor. Dessa resor sker ofta tillsammans med tjänstemän från Utlänningsnämnden. Ibland deltar också någon tjänsteman från Utrikesdepartementet.
På Migrationsverkets huvudkontor finns en praxisenhet där experter på länder- och praxisfrågor samordnar, kontrollerar och
följer upp praxis i ärenden enligt utlännings- och medborgarskapslagarna. Enheten ingår i flera internationella nätverk med andra länder och organ som sysslar med migrationsfrågor. Bl.a. deltar man i IGC – Inter Governmental Cosultations on Asylum, Refugees and Migration Policies – en internationell arbetsgrupp bestående av 14 stater, däribland USA, Canada och Australien, som samverkar i migrationsfrågor.
År 1997 startades LIFOS, Migrationsverkets databaserade länderinformationssystem m.m. LIFOS finns tillgängligt på Migrationsverkets intranät och är dessutom åtkomligt för handläggare på Utlänningsnämnden. I LIFOS görs allmän bakgrundsinformation tillgänglig för handläggarna så att dessa får del av kunskap som behövs för att kunna fatta välgrundade beslut i enskilda fall. För de länder varifrån ett större antal asylsökande kommer, finns landöversikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationskällorna kan, utöver reserapporter från fact findingresor, t.ex. komma från Utrikesdepartementet, utlandsmyndigheter, rapporter från FN:s flyktingkommissariat UNHCR eller frivilligorganisationer. Vidare finns avidentifierade vägledande beslut från regeringen, Utlänningsnämnden eller Migrationsverket samt Utlänningsnämndens praxissamling i LIFOS.
För närvarande pågår i Migrationsverkets praxisgrupp ett projekt om informationsutbyte mellan olika länders databaser för landinformation m.m.
I LIFOS finns personuppgifter, däribland känsliga sådana. Det är exempelvis särskilt vanligt med uppgifter i inskannade rapporter som avslöjar etniskt ursprung på namngivna personer. Även andra känsliga personuppgifter förekommer. I den mån identiteten saknar betydelse för informationens värde avidentifieras dock alla personuppgifter innan de görs tillgängliga i LIFOS.
Eftersom LIFOS innehåller bl.a. integritetskänslig information, är tillgängligheten till LIFOS delvis begränsad. Särskild behörighet med olika behörighetsnivåer krävs för åtkomst till LIFOS olika delar.
Uppgifterna i LIFOS har av Datainspektionen ansetts vara information i löpande text. Inspektionen har därför inte ansett LIFOS utgöra ett personregister i datalagens mening och LIFOS var alltså inte tillståndspliktigt då det togs i bruk.
Genom 12 § i utlänningsdataförordningen har Migrationsverket getts författningsstöd för att föra ett automatiserat landinformationsregister för återsökning av information som lämnats rörande förhållanden i andra länder. Känsliga personuppgifter får i detta register endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp (13 §), även om det för närvarande inte finns några tekniska hinder för att söka på personnamn, födelsedatum, etnisk tillhörighet etc. i löpande text. Utlänningsnämnden får ha tillgång till landinformationsregistret genom direktåtkomst (14 §).
En gång om året gallras material som bedöms vara inaktuellt ur informationssynpunkt. Någon systematisk gallring med hänseende på personuppgifter sker inte.
Som nämnts ovan finns dessutom praxissammanställningar och övriga vägledande avgöranden, rättsutredningar m.m. tillgängliga i LIFOS. Dessa dokument avidentifieras i allmänhet men kan ibland innehålla personuppgifter av integritetskänslig karaktär. Migrationsverket samt också Utlänningsnämnden har genom 8 § utlänningsdataförordningen getts rätt att automatiserat föra dylika rättsfallsregister. En förutsättning är emellertid att registret inte innehåller personuppgifter som direkt pekar ut den registrerade. Vidare har tillstånd getts att föra ut personuppgifter ur rättsfallsregister till tredje land, dvs. en stat som inte ingår i EU eller är ansluten till EES.
4.1.7
Fingeravtrycksregistret
Enligt 5 kap. 5 § utlänningslagen får Migrationsverket eller en polismyndighet under vissa förutsättningar fotografera en utlänning och, om han eller hon har fyllt 14 år, ta dennes fingeravtryck. Förutsättningarna är att utlänningen inte kan styrka sin identitet vid ankomsten till Sverige eller utlänningen ansöker om uppehållstillstånd under anförande av att han eller hon är flykting eller skyddsbehövande i övrigt eller det finns förutsättningar att ta utlänningen i förvar. Avsikten med bestämmelsen är att underlätta identifikationen av den som söker asyl här (se prop. 1996/97:25 s. 143 f.). Genom dokumentationen möjliggörs kontroller av om
utlänningen tidigare har sökt asyl i Sverige (under annat namn) eller om han eller hon har sökt och eventuellt fått asyl i något annat EU-land. Fingeravtrycken används bl.a. vid förfrågningar enligt artikel 15 Dublinkonventionen för utrönandet av vilket land som enligt principen om första asylland har ansvaret för asylprövningen. Om Migrationsverket misstänker att en asylsökande har vistats i något annat EU-land på väg till Sverige, gör verket regelmässigt en förfrågan enligt artikel 15 i Dublinkonventionen.
Utvecklingen under senare år ger vid handen att asylsökande i allt större omfattning rör sig över gränserna inom Europa under angivande av nya identiteter. Detta gör att utlänningsmyndigheterna i länderna får lägga ner allt större resurser på att fastställa en sökandes identitet. Tillgång till kvalificerade tekniska identifieringsmöjligheter har därmed blivit allt viktigare. Inom EU har det från januari 2003 inrättats en central databas för fingeravtryck som tas på asylsökande i de olika länderna, se avsnitt 4.1.7.3 om Eurodac.
Aktuella bestämmelser
Bestämmelsen i 5 kap. 5 § utlänningslagen fick sin nuvarande lydelse den 1 januari 1997 då Migrationsverket (dåvarande Statens invandrarverk) övertog ansvaret för utredning och prövning av utlänningsärenden, förvar m.m. från polismyndigheterna. Denna reform medförde att ansvaret för registrering av fingeravtryck flyttades från Rikspolisstyrelsen till Migrationsverket.
Dessförinnan hade fingeravtryck som tagits med stöd av utlänningslagen registrerats i Rikspolisstyrelsens omfattande fingeravtrycksregister (AFIS), som fördes och alltjämt förs med hjälp av automatiserad databehandling. Rikspolisstyrelsens fingeravtrycksregister består av en A-del och en B-del. B-delen innehöll före reformen den 1 januari 1997 dels fingeravtryck tagna enligt utlänningslagen, dels fingeravtryck tagna enligt lagen (1991:572) om särskild utlänningskontroll. Från den 1 januari 1997 har emellertid fingeravtryck tagna enligt utlänningslagen utmönstrats ur Rikspolisstyrelsens B-del. Kvar i B-delen är alltså bara utlänningars fingeravtryck som tagits med stöd av lagen om särskild utlänningskontroll.
Rikspolisstyrelsens behandling av personuppgifter i register för fingeravtryck regleras i 29-31 §§polisdatalagen (1998:622). Även
Polisdatautredningens nyligen lämnade förslag till ny polisdatalag omfattar särreglering av fingeravtrycksregistret (se Behandling av personuppgifter i polisens verksamhet, SOU 2001:92).
Till ändringen i fråga om Migrationsverkets ansvar för den utbrutna delen av Rikspolisstyrelsens fingeravtrycksregister kopplades en förordning (1996:1389) om register hos Migrationsverket över fingeravtryck, som reglerade Migrationsverkets rätt att föra register över fingeravtryck och fotografier med hjälp av automatisk databehandling. Författningen upphävdes i samband med att utlänningsdataförordningen trädde i kraft den 1 oktober 2001. Bestämmelserna inarbetades emellertid i sak oförändrade i den nya förordningens 9-11 §§.
Enligt utlänningsdataförordningen får registret användas endast vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas, med andra ord vid prövning av asylansökningar, samt i ärenden om avvisning och utvisning (9 §). Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift. Uppgifter ur registret får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning (10 §). Någon direktåtkomst är alltså inte medgiven. En uppgift i fingeravtrycksregister skall gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. (11 §).
I allmänhet är det Migrationsverkets personal vid någon av landets asylenheter eller vid verkets gränsenheter, exempelvis i Malmö eller på Arlanda, som tar fingeravtryck såvitt avser asylsökande. Polisen tar dock fortfarande fingeravtryck enligt utlänningslagen, nämligen på de utlänningar som avvisas vid gränserna utan att ha sökt asyl samt på dem som påträffas illegalt i landet och tas i förvar och som inte sökt eller söker asyl.
Fingeravtryck och fotografi skall tillsammans med utredning i ärendet sändas till Migrationsverket.
Migrationsverket får meddela de ytterligare föreskrifter som behövs för verkställigheten av bestämmelserna om fingeravtryck och fotografi (5 kap. 20 § utlänningsförordningen). Några sådana föreskrifter har dock inte meddelats.
Hanteringen
Migrationsverkets fingeravtrycksregister är, tekniskt sett, fortfarande en del av Rikspolisstyrelsens databas för fingeravtryck. Migrationsverket köper således vissa tjänster i fråga om fingeravtrycksregistret från Rikspolisstyrelsen. Säkerheten i systemet administreras av Rikspolisstyrelsen som också äger all hårdvara. Rikspolisstyrelsen följer emellertid, enligt upplysning från verket, Migrationsverkets säkerhetskrav. Loggning och arkivering av loggar sker hos Rikspolisstyrelsen.
Åtgärderna att ta fingeravtryck av en utlänning innebär att avtryck tas av varje finger och av hela handflatorna. Fingeravtrycken tas med en elektronisk utrustning som digitaliserar avtrycken för databehandling. Avtrycken sänds därefter elektroniskt per e-post till Migrationsverkets ID-enhet, där de på motsvarande sätt vidarebefordras till Rikspolisstyrelsens fingeravtrycksdatabas. Där görs sedan en automatiserad sökning mot verkets egna register samt mot filer i Rikspolisstyrelsen register som avser vissa tagna fingeravtryck, dvs. kriminalfilen samt filen för avtryck tagna enligt lagen om särskild utlänningskontroll. Vid en eventuell träff gör Rikspolisstyrelsen en manuell analys och utfärdar ett sakkunnigutlåtande.
Som nämnts ovan görs identitetskontroller genom förfrågningar hos övriga länder som tillträtt Dublinkonventionen, om man misstänker att en asylsökande vistats i ett sådant land tidigare. Dylika förfrågningar görs beträffande samtliga asylsökande hos övriga nordiska länder. Alla fingeravtrycksjämförelser med de nordiska länderna och Dublinkonventionsländer i övrigt hanteras av personal vid Migrationsverket. Inom Norden tillgår dessa förfrågningar automatiserat såtillvida att Migrationsverkets ID-enhet lagrar fingeravtryck på en CD-romskiva som skickas per post till behörig myndighet i respektive land för fingeravtrycksjämförelse.
Eurodac
Inom ramen för samarbetet inom EU enligt Dublinkonventionen har länge funnits planer på att införa ett system för utbyte och jämförelser av asylsökandes fingeravtryck i en gemensam databas, Eurodac. Den 11 december 2000 antogs rådets förordning (EG) nr 2725/2000 om inrättandet av Eurodac för jämförelse av finger-
avtryck för en effektiv tillämpning av Dublinkonventionen. I rådets förordning (EG) nr 407/2002 av den 28 februari 2002 finns vissa tillämpningsföreskrifter till den först nämnda förordningen.
Databasen Eurodac är placerad i Luxemburg. Det centrala fingeravtrycksregistret togs i bruk den 15 januari 2003. I registret kan sökningar göras på de deltagande ländernas fingeravtryck som tagits på asylsökande, andra utlänningar som påträffas vid illegala gränsöverskridanden samt andra utlänningar som vistas illegalt i länderna. Fingeravtrycken jämte uppgift om utlänningens kön kommer att lagras tio år i basen varefter de gallras. När det gäller asylsökande som erhåller flyktingstatus enligt Genèvekonventionen i något land skall en blockering göras i Eurodac. Med blockering avses varje åtgärd som kan vidtas för att uppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren.
Fotografier
Hanteringen av fotografier som tas enligt utlänningslagen är för närvarande inte automatiserad på motsvarande sätt som beträffande fingeravtryck. Fotografier tas emellertid och fogas till Migrationsverkets dossier. Det finns diskussioner om att med s.k. biometrisk teknik automatiserat behandla och registrera fotografier i identifieringssyfte på motsvarande sätt som görs beträffande fingeravtryck.
4.1.8. Exempel på övrig behandling av Migrationsverket
Migrationsverket är en stor och utspridd myndighet med en komplex verksamhet. Verket är därmed i behov av utvecklade datasystem för effektivisering av administrativa göromål. För personal- och löneadministration används ett system benämnt Palasso. Personuppgifter om personal finns i systemet. Ekonomiadministration sker i systemet Agresso. Här sköts bl.a. ersättningar till offentliga biträden.
Migrationsverket har vidare en hemsida på Internet för information till allmänheten samt ett intranät för interninformation. I båda dessa informationssystem kan personuppgifter förekomma.
Ett register finns också för passerkontrollsystem där uppgifter om anställda vid verket och vid Integrationsverket lagras. Vidare finns ett automatiserat register över begärda registerkontroller som görs hos säkerhetspolisen enligt säkerhetsskyddslagen (1996:627). I registret lagras namn, personnummer, befattning och kontrollorsak.
På Migrationsverkets huvudkontor finns 40 000 hyllmeter arkiverade äldre dossierer. Beträffande dossierer fr.o.m. år 1975 kan sökningar göras i STAMM-basen. Vad gäller äldre dossierer finns systematiskt ordnade manuella register med olika sökvägar. Dessa torde omfattas av personuppgiftslagens regler om manuell behandling av personuppgifter. Liksom nyare dossierer innehåller dessa gamla dossierer känsliga personuppgifter.
4.2. Utlänningsnämnden
Utlänningsnämndens huvudsakliga verksamhet är att pröva överklagade beslut från Migrationsverket i ärenden enligt utlänningslagen eller medborgarskapslagen. Som framgått ovan har Utlänningsnämnden åtkomst till uppgifter i STAMM, Migrationsverkets verksamhetsstödjande system, och till LIFOS.
Utlänningsnämnden har emellertid ett eget verksamhetsstödjande system som heter UNik, vilket tidigare bedrevs med tillstånd från Datainspektionen då systemet utgjorde ett personregister i datalagens mening. Enligt den terminologi som tillämpas i utlänningsdataförordningen är UNik ett verksamhetsregister i nämndens ärendehantering.
UNiks ändamål är i första hand att utgöra nämndens diarium samt att ge underlag för utskrifter av beslutsunderlag och beslut. UNik används också för att göra statistiska sammanställningar. I UNik registreras uppgifter om ärenden. Dessutom registreras bl.a. namnuppgifter på juridiska ombud för utlänningar, tolkar, ledamöter i Utlänningsnämnden, ingivare av handlingar, gode män till utlänningar och personer som omfattas av externa eller interna administrativa ärenden.
I fråga om utlänningar registreras t.ex. namn och adress, personnummer eller motsvarande, kön, medborgarskap, hemvistland och Migrationsverkets dossiernummer. Därutöver registreras eventuella anhörigas namn och dossiernummer på Migrationsverket samt andra anknytningars namn.
UNik är inte kopplat till andra system. Någon extern direktåtkomst till UNik eller automatiserat utlämnande från UNik förekommer inte.
Utöver UNik kan nämnas att Utlänningsnämnden sammanställer avidentifierade avgöranden, som hålls allmänt tillgängliga på nämndens internethemsida liksom i Migrationsverkets databas LIFOS (se avsnitt 4.1.6).
4.3. Integrationsverket
Integrationsverket är en ny myndighet som inrättades den 1 juni 1998 för att som en särskild myndighet ha ett övergripande ansvar för integrationsfrågor.
I viss utsträckning fick den nya myndigheten överta delar av Migrationsverkets tidigare verksamhet, bl.a. större delen av ansvaret för prövning och utbetalning av vissa ersättningar till kommuner och landsting enligt förordningen om statlig ersättning för flyktingmottagande m.m. Att Integrationsverket har övertagit verksamhet från Migrationsverket har satt sin prägel på den automatiserade behandling av personuppgifter som förekommer inom Integrationsverket. Flera register eller andra system har nämligen ursprungligen utvecklats av Migrationsverket och ett regelrätt personregister, ROSE, ingår alltjämt i ett delsystem i Migrationsverkets STAMM-bas. Integrationsverket har också, med Datainspektionens tillstånd, övertagit vissa personregister från Migrationsverket.
Redogörelsen nedan för nuvarande register eller annan automatiserad behandling av personuppgifter vid Integrationsverket bygger på verkets förteckning över ADB-register enligt 15 kap. 11 § sekretesslagen samt motsvarande förteckning enligt 39 § personuppgiftslagen. Vad gäller ROSE hänvisas till avsnitt 4.1.1.2.
MOTIV
MOTIV – vilket står för Mottagningsstatistik för Integrationsverket – är ett verksamhetsstödjande system och utgör ett s.k. ADB-register. Registrets ändamål är att ge ett effektivt stöd för prognosarbete avseende behov av introduktionsplatser i kommunerna. Registret används dessutom för att ge underlag i bosättnings-
arbetet samt för att göra anslagsberäkning enligt förordningen om statlig ersättning för flyktingmottagande m.m. Rapportering sker sedan till bl.a. regeringen och Ekonomistyrningsverket. Personuppgifter hämtas en gång per månad från ROSE. Det rör sig om uppgifter om antal individer, mottagningsdatum, adresshistorik och ersättningstyp. Ingen extern åtkomst finns till MOTIV.
STATIV
STATIV utgör Integrationsverkets statistikdatabas för utvärderings- och uppföljningsarbete inom det integrationspolitiska området. Ändamålet med databasen är att genom statistik kunna ge en lägesbeskrivning av invandrarnas ekonomiska och sociala situation i samhället samt att kunna följa utvecklingen för invandrare över tiden. STATIV innehåller statistiska uppgifter på individnivå inom områdena demografi, inkomster, boende, sysselsättning, utbildning och arbetslöshet. Uppgifter inom det sistnämnda området inhämtas dels från Arbetsmarknadsstyrelsens (AMS) register, dels från Statistiska Centralbyråns (SCB) register. Enskilda individer kan inte sökas genom personnummer i databasen. Endast ett mindre antal anställda vid verket har tillgång till STATIV. Samtliga dessa har skriftligen åtagit sig att följa direktiv avseende sekretessen vid databasen. Ingen extern åtkomst eller utlämnande från databasen förekommer.
AKTIV
AKTIV är en databas och ett register som inrättades av Migrationsverket med Datainspektionens tillstånd år 1992. Integrationsverket fick vid sitt bildande överta AKTIV som alltjämt används inom Integrationsverket. AKTIV:s ändamål är att göra resultatuppföljningar beträffande bl.a. kommunernas introduktionsinsatser för mottagna flyktingar, dvs. resultatuppföljningar av flyktingmottagandet. Integrationsverket övertog nämligen från Migrationsverket regeringsuppdraget att följa upp flyktingmottagandet fr.o.m. 1991 års mottagningskontingent. Personuppgifterna som bearbetas i AKTIV hämtas dels från ROSE, dels från SFI-registret (svenska för invandrare) och socialbidragsregistret, som båda förs av SCB. Uppgifterna från SCB avser exempelvis
deltagande, status och resultat från undervisningen i svenska eller utvecklingen och graden av socialbidragsberoende för flyktinghushåll under fyra år efter första kommunplacering. Dessutom hämtas uppgifter om arbetslöshet, sysselsättning och arbetsmarknadspolitiska åtgärder från register som förs av AMS. Från ROSE inhämtas uppgifter om adresshistorik, utbetalda ersättningar till kommuner samt uppgifter som gör det möjligt att identifiera persongrupper.
Bo-Data
Bo-Data är ytterligare ett system som utvecklats för statistikframställning. Ändamålet med Bo-Data är att ta fram aktuella beskrivningar av situationen beträffande handläggningstider för bosättnings- och mottagningsärenden enligt förordningen om statlig ersättning för flyktingmottagande m.m. Integrationsverket har regeringens uppdrag att mäta dessa handläggningstider.
I Bo-Data registreras personuppgifter om exempelvis dossiernummer vid Migrationsverket, placeringstyp, fullständigt namn, tillståndsdatum, tillståndsskäl, familjekod, språk och nationalitet. Fritext finns också. Integritetskänsliga uppgifter förekommer. Ingen extern åtkomst till Bo-Data finns. Någon gallring sker inte men avsikten är att personuppgifterna inte kommer att bevaras längre än vad som är nödvändigt för Bo-Datas ändamål.
Övrigt
Liksom många andra myndigheter använder Integrationsverket systemet Agresso för ekonomiadministration. Inga personuppgifter förekommer i systemet. Integrationsverkets lönehantering sköts av Kammarkollegiet.
4.4. Rikspolisstyrelsen och polismyndigheterna
Som tidigare nämnts (avsnitt 4.1.7) ingår fingeravtryck tagna enligt lagen om särskild utlänningskontroll i polisens fingeravtrycksregister. Det har också redogjorts för att den automatiserade registerföringen omfattas av polisdatalagen.
Rikspolisstyrelsen (rikskriminalen) för även det s.k. U-boksregistret med automatiserad behandling. I U-boken läggs uppgifter in om utlänningar som meddelats förbud att återvända till Sverige i samband med att de utvisats på grund av brott enligt 4 kap. 7 § utlänningslagen eller i samband med beslut om avvisning eller utvisning som fattats av Migrationsverket eller Utlänningsnämnden. Registret omfattar såväl medborgare i Schengenstater som medborgare i tredje land. U-boken är åtkomlig för alla anställda inom polisen. Från U-boken överför Rikspolisstyrelsen uppgifter om utlänningar från tredje land till SIS för uppdatering av spärrlistan. Uppgifterna i U-boken gallras då tiden för ett återreseförbud har löpt ut. Även U-boken omfattas av polisdatalagens bestämmelser, se 15 § polisdataförordningen (1999:81).
4.5. Utlandsmyndigheterna
Beträffande utlandsmyndigheterna hänvisas till de redovisade systemen Wilma, Alma m.m. i avsnitt 4.1.3. Inom ett flertal utlandsmyndigheter finns vidare ett antal äldre personregister som heter ”Evita”. Dessa register inrättades och fördes av utlandsmyndigheterna med stöd av tillstånd från Datainspektionen. Evita är ett hjälpmedel för utlandsmyndigheternas handläggning av ärenden om visering, uppehållstillstånd och arbetstillstånd. Efter etableringen av Wilma- och Almasystemen har användningen av Evita minskat kraftigt. Registren finns emellertid kvar vid utlandsmyndigheterna. För närvarande pågår diskussioner mellan Utrikesdepartementet och Migrationsverket om att verket skall ta över administrationen av Evita.
ÖVERVÄGANDEN ÖVERVÄGANDEN ÖVERVÄGANDEN ÖVERVÄGANDEN OCH FÖRSLAG OCH FÖRSLAG OCH FÖRSLAG OCH FÖRSLAG
5. Allmänna utgångspunkter
Utredningens förslag: Behandling av personuppgifter i verksamhet
enligt utlännings- och medborgarskapslagstiftningen författningsregleras i en lag som ersätter utlänningsdataförordningen. Lagen omfattar all helt eller delvis automatiserad behandling av personuppgifter inom verksamhetsområdet. Dessutom omfattas manuell behandling, om personuppgifterna ingår i eller är avsedda att ingå i ett register. I lagen behålls registerbegreppet endast för Migrationsverkets register över fingeravtryck och fotografier som tas med stöd av 5 kap. 5 § utlänningslagen.
5.1. Användningen av modern informationsteknik och personlig integritet
Begreppet informationsteknik – IT– har kommit att användas som en samlad benämning på användningen av datateknik och telekommunikation. Begreppet innefattar såväl den tekniska utrustningen för informationsbehandling som metoder och tillvägagångssätt för att utnyttja denna. Den fortsatta förbättringen av datorernas prestanda och kapacitetsökningen i telenäten har tillsammans med att tekniken blivit allt billigare och enklare att använda medfört en närmast explosionsartad utveckling av informationstekniken på senare år. Informationstekniken har fått en stor betydelse för samhällsutvecklingen och innebär också helt nya förutsättningar för den offentliga förvaltningen.
Datortekniken anammades förhållandevis tidigt av den offentliga förvaltningen, redan under 1970-talet. Från att till en början avse användning av avgränsade s.k. ADB-register, sker i dag praktiskt taget allt skrivarbete med användning av datorer. Automatiserade ärendehanteringssystem förekommer i stor utsträckning. Några myndigheter, t.ex. försäkringskassorna, har övergått till elektronisk
ärendehantering med elektroniska akter i stället för pappersbaserade akter. I dessa system inkommer handlingar elektroniskt eller på papper varefter de bildfångas elektroniskt genom att skannas. De inkomna handlingarna lagras sedan i en elektronisk akt tillsammans med upprättade handlingar. Ärendena handläggs utan att den enskilde tjänstemannen har originalhandlingar tillgängliga på papper. All individrelaterad information som behövs för handläggningen av ett ärende lagras således på medium för automatiserad behandling. Informationstekniken brukas vidare i allt större utsträckning för uppföljning, framställning av statistik, kommunikation med andra myndigheter och enskilda samt för att sprida allmän information internt bland anställda eller till allmänheten.
Denna utveckling påskyndas av de krav som riktas mot myndigheterna när det gäller effektivitet, samverkan med andra myndigheter och en förbättrad service gentemot medborgarna.
I propositionen Åtgärder för att bredda och utveckla användningen av informationsteknik (prop. 1995/96:126 s. 66 f.) formulerade regeringen övergripande mål för en nationell IT-strategi. För den offentliga förvaltningens användning av informationsteknik uttalades bl.a. att förvaltningen bör vara ett föredöme som användare av informationsteknik, att den offentliga förvaltningen skall utnyttja informationstekniken för att effektivisera verksamheten och ge en god service till företag och medborgare. Mer rationella arbetsrutiner, effektivare organisations- och samarbetsformer i den offentliga förvaltningen förbättrar servicen och minskar samtidigt kostnaderna. Vidare angavs att informationsteknikens möjligheter att främja allmänhetens insyn i förvaltningen skall tillvaratas samt att alla offentliga organ bör kunna ta emot och besvara elektronisk post. Elektroniska kommunikationsmöjligheter med organ i EU, fortsatte regeringen, skall vidare göra det europeiska förvaltningssamarbetet effektivare.
I propositionen Statlig förvaltning i medborgarnas tjänst (prop. 1997/98:136 s. 55 f.) har målsättningen vidhållits. Regeringen framhöll där att den statliga sektorn fortlöpande måste ompröva verksamhetsformer i syfte att åstadkomma högre kostnadseffektivitet. Som ett led i denna bör myndigheterna aktivt ta till sig ett effektivt utnyttjande av informationstekniken. Dock framhöll regeringen att det är viktigt att uppgifter som rör enskildas personliga förhållanden inte sprids i onödan och att sådana uppgifter har ett tillfredsställande sekretesskydd. Allmänhetens förtroende angavs som en nyckelfråga för informationsteknikens
användning i den offentliga förvaltningen. I propositionen Ett informationssamhälle för alla (prop. 1999/2000:86) utvecklade och preciserade regeringen målen för den fortsatta IT-strategin. Vad gäller den offentliga förvaltningen uttalades bl.a. att utvecklingen av s.k. 24-timmarsmyndigheter, som är elektroniskt tillgängliga för informationshämtande och ärendehantering, bör stimuleras (a. prop. s. 100).
Regeringen har nyligen i propositionen Några förvaltningsrättsliga frågor lämnat ett förslag till ändring i 5 § förvaltningslagen (1986:223), som reglerar myndigheternas tillgänglighet och öppethållande. Enligt förslaget införs en bestämmelse om att myndigheterna skall vara skyldiga att kommunicera med medborgarna via e-post och telefax (prop. 2002/03:62). Lagändringen föreslås träda i kraft den 1 juli 2003.
Senare års IT-utveckling inom den offentliga förvaltningen präglas av de målsättningar som regeringen formulerat i de nyss nämnda propositionerna. De myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen utgör inget undantag härvidlag. Migrationsverket har – i sin funktion som central utlänningsmyndighet med ett övergripande ansvar för att bevaka att myndigheternas handläggning av frågor enligt utlännings- och medborgarskapslagstiftningen är effektiv – haft en viktig roll som processansvarig myndighet när det gäller att utveckla IT-stödet för informationsförsörjningen såväl inom myndigheten som i fråga om informationsutbyte med andra myndigheter i och utanför Sverige. När det gäller en närmare beskrivning av användningen av informationsteknik inom verksamhetsområdet hänvisas till avsnitt 4.
Med tanke på senare års oerhört snabba tekniska utveckling är det i det närmaste meningslöst att här försöka göra några långsiktiga antaganden om den kommande utvecklingen av informationshanteringen inom det verksamhetsområde utredningen haft att kartlägga. Man kan dock anta att utvecklingen av informationstekniken kommer att generera behov av ytterligare eller helt nya datorlösningar inom verksamhetsområdet. Migrationsverket har t.ex. planer på att inom en överskådlig framtid övergå från pappersbunden till elektronisk akthantering. Den pågående intensifieringen av samarbetet inom EU i migrations- och asylfrågor torde vidare förutsätta ett ökat automatiserat informationsutbyte för att samarbetet skall fungera smidigt.
Det är uppenbart att IT-utvecklingen är till nytta för samhället i många bemärkelser, inte minst för att den möjliggör oerhörda effektivitetsvinster och kostnadsbesparingar för den offentliga förvaltningen. Snabb och enkel tillgång till en allt större mängd information är också ägnad att ge fylligare och säkrare fakta- och kunskapsunderlag för myndigheterna när de handlägger enskilda ärenden, gör utvärderingar, framställer statistik m.m. Detta gagnar dem som berörs av verksamheten likväl som samhället i stort.
Samtidigt innebär utvecklingen att de personuppgifter som myndigheterna hanterar i sin verksamhet i allt större utsträckning insamlas och lagras automatiserat i stället för i pappersform. Detta kan naturligtvis innebära nackdelar från integritetssynpunkt. Ju större informationsmängder som finns samlade så att uppgifter kan sökas och sammanställas på ett allt enklare sätt desto mer ökar samhällets kontroll över enskilda samt risken för att den enskilde drabbas av oacceptabla intrång i sin personliga sfär. Den tekniska utvecklingen väcker därför frågor om risker för otillbörliga intrång i enskildas personliga integritet.
Begreppet personlig integritet och behovet av skydd mot otillbörliga intrång däri har varit omdiskuterat i lagstiftningssammanhang alltsedan datortekniken började göra insteg i den offentliga förvaltningen. Datalagens införande år 1973 motiverades bl.a. av den konflikt man fann föreligga mellan datoriseringen och den enskildes personliga integritet. Det har emellertid av naturliga skäl visat sig inte vara möjligt att definiera exakt vad som är ett otillbörligt ingrepp i den enskildes personliga sfär, inte minst därför att personlig integritet är ett värdeladdat begrepp vars innebörd inte kan fastställas objektivt utan är föremål för subjektivt vitt skilda uppfattningar. Klart är emellertid att den enskildes rätt till personlig integritet inte är en oinskränkt rättighet utan måste vägas mot andra intressen.
I propositionen Hälsodata- och vårdregister (prop. 1997/98:108 s. 26 ff.) utvecklade regeringen sin syn på begreppet personlig integritet och den avvägning mot andra intressen som måste göras. Resonemanget belyser väl den grundläggande problematiken och har fortfarande aktualitet. Det återges därför här.
Personlig integritet är – även om begreppet inte kan ges någon mer objektivt bestämbar innebörd – ett honnörsbegrepp. Det anses allmänt att det är viktigt att skydda den enskildes integritet och förhindra olika former av intrång däri. Innebörden av begreppen personlig integritet och intrång är dock olika för olika människor i olika situationer.
Någon entydig förklaring till begreppet är inte möjlig att ge. En ofta använd beskrivning av integritetsskyddet innebär att man skall skydda den enskildes rätt att bli lämnad i fred. Andra försök att beskriva vad som menas med personlig integritet tar fasta på rätten till ensamhet, till förtrolig samvaro inom familjen, en rätt till anonymitet och distans till andra individer. Ett annat sätt att beskriva begreppet är att den enskilde skall kunna kontrollera spridningen av uppgifter eller ha en rätt att själv bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra.
Ett skydd mot otillbörligt intrång är nödvändigt för att den enskilde skall uppnå en viss frihet att styra och kontrollera sitt eget liv. Den enskilde kan dock inte resa krav på en helt fredad sfär. Den personliga integriteten kan inte vara absolut i den mening att regler till skydd därför skall gälla och tillämpas undantagslöst eller oavsett motstående intressen. Ett visst mått av intrång måste accepteras. I stället får man bygga upp ett skydd mot sådant som bedöms utgöra ett otillbörligt intrång.
Vad som upplevs som en integritetskränkning av en person behöver inte upplevas som en sådan av en annan person. Det är därför svårt att generalisera. Några omständigheter kan dock mera allmänt sägas påverka den enskildes uppfattning om risk för integritetsintrång. Stora mängder uppgifter, förekomsten av många olika register och den möjlighet till samkörning som det ger är sådana exempel. Vidare om de uppgifter som behandlas belyser den enskildes avvikelser från gängse normer, särskilt i kombination med om tilltron till att uppgifterna hålls hemliga sviktar.
Svårigheter att uppnå rättelse och användning av personnummer är ytterligare omständigheter som ofta oroar den enskilde.
(....) I begreppet personlig integritet kan man lägga två delkomponenter. För det första att den enskilde bör tillförsäkras en sfär som skyddas mot otillbörliga intrång från myndigheter och andra som kan uppfattas som utomstående och för det andra att den enskilde bör ha rätt och möjlighet att själv vara med och bestämma i vilka sammanhang uppgifter om honom får utnyttjas och hur det i så fall skall ske. I båda fallen måste dock den enskilde tåla vissa ingrepp, framförallt från samhällets sida, när andra intressen, som av samhället bedöms som totalt sett viktigare, kräver det. Ingrepp får dock inte vara alltför långtgående, alltför besvärande eller betungande i förhållande till de syften som intrånget skall tjäna. Varje gång det blir aktuellt att utnyttja uppgifter om en enskilds personliga förhållanden måste således en avvägning göras mellan den enskildes rätt till personlig integritet och det allmännas behov av information.
5.2. Behovet av en författningsreglering
Utredningen har i uppdrag att granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen av behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall vara väl anpassad till personuppgiftslagen. I direktiven har regeringen uttalat som sin uppfattning att mer specifika bestämmelser om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall regleras särskilt i lag. Det sägs också att utlänningsdataförordningen är avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.
Av 2 § personuppgiftslagen följer att från personuppgiftslagen avvikande bestämmelser kan meddelas i lag eller förordning. En förutsättning är dock att de avvikande bestämmelserna inte strider mot dataskyddsdirektivet såvitt gäller verksamhet som omfattas av gemenskapsrätten.
En grundläggande förutsättning för att – i förhållande till personuppgiftslagen – särreglera den behandling av personuppgifter som sker i verksamhet enligt utlännings- och medborgarskapslagstiftningen är att det finns behov av en sådan reglering.
I propositionen Personuppgiftslag (prop. 1997/98:44 s. 40 f.) uttalade regeringen att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Regeringen framhöll att registerförfattningarna innehåller många preciserade och viktiga regler som inte kan ersättas av de generella bestämmelser som den nya lagen innehåller. Vid utskottsbehandlingen av förslaget till personuppgiftslag uttalade Konstitutionsutskottet, i sitt av riksdagen godkända betänkande, att det saknas anledning att nu avvika från den tidigare fastlagda målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (bet. 1997/98:KU18 s. 43, rskr. 1997/98:180). Den tidigare fastlagda målsättningen formulerades av regeringen i propositionen Offentlighet, integritet och ADB. Konstitutionsutskottet instämde häri vid propositionens riksdagsbehandling (prop. 1990/91:60 s. 58 samt bet. 1990/91:KU11 s. 11).
I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas personuppgifter av ofta mycket integritetskänslig natur. Verksamheten omfattar även ett mycket stort antal
registrerade personer. Redan detta förhållande talar – mot bakgrund av regeringens ståndpunkt och riksdagens nyss redovisade målsättning – med styrka för att behandlingen av personuppgifter inom verksamhetsområdet regleras särskilt i lagform. Även andra skäl talar emellertid för en särreglering i förhållande till personuppgiftslagen.
Enligt personuppgiftslagen får känsliga personuppgifter enligt lagens definition inte behandlas inom verksamhetsområdet utan den registrerades samtycke. De övriga undantagen från personuppgiftslagens förbud mot behandling av känsliga personuppgifter torde mycket sällan vara tillämpliga i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Visserligen har regeringen genom en ändring av personuppgiftsförordningen (1998:1191) gjort ett generellt undantag från förbudet genom att föreskriva att känsliga personuppgifter får behandlas av en myndighet i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (8 § personuppgiftsförordningen). Ändringen trädde i kraft den 1 oktober 2001. Det undantaget är emellertid inte tillräckligt för att myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen skall kunna behandla känsliga personuppgifter i alla de fall som det finns en befogad anledning att göra det.
Det behövs alltså en särreglering, som gör undantag från personuppgiftslagen i fråga om känsliga personuppgifter. Att det föreslagna undantaget inskränker personuppgiftslagens integritetsskydd genom att utvidga möjligheterna att behandla känsliga personuppgifter understryker ytterligare vad som tidigare sagts om att särregleringen bör underställas riksdagens prövning.
Emellertid anser utredningen att det även finns behov av att i särreglering utöka integritetsskyddet i förhållande till vad som annars skulle ha gällt enligt personuppgiftslagen. I likhet med många motsvarande registerförfattningar föreslås i det följande exempelvis regler som av integritetsskäl begränsar möjligheterna att söka efter information. Sådana begränsningsregler saknas helt i personuppgiftslagen.
Ett annat skäl för att införa en särreglering är att det finns ett behov av att förtydliga eller precisera förhållanden som annars, med enbart personuppgiftslagens reglering, kan ge upphov till tolkningsproblem, t.ex. i fråga om vem som är personuppgiftsansvarig.
Genom en särreglering klargörs vidare för allmänheten att det finns begränsningar för hur myndigheterna får lov att behandla
uppgifter om enskilda, t.ex. i fråga om för vilka ändamål personuppgifter får behandlas eller i fråga om extern åtkomst till lagrade uppgifter. Detta är ägnat att öka allmänhetens förtroende för myndigheternas hantering av personuppgifter i sin verksamhet.
Det finns således starka skäl för en särreglering i lag av behandlingen av personuppgifter i verksamheten enligt utlännings- och medborgarskapslagstiftningen. Utredningen föreslår därför en särskild lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna lag skall ersätta utlänningsdataförordningen.
5.3. Övergripande principer för utredningens överväganden
Utgångspunkten för förslaget är att lagens övergripande syfte skall vara att skydda den enskilde mot otillbörliga intrång i dennes personliga integritet. Samtidigt måste emellertid också beaktas att det finns ett viktigt allmänintresse av att myndigheterna inom verksamhetsområdet på ett rationellt och effektivt sätt kan använda modern informationsteknik i fråga om sådan information som myndigheterna måste hantera för att kunna fullgöra sina uppgifter. Lagen bör således avspegla en rimlig avvägning i den inneboende intressekonflikten mellan samhällets behov kontra den enskildes anspråk på skydd för sin personliga integritet.
En annan utgångspunkt – som också i direktiven framhålls som en utgångspunkt för utredningsuppdraget – är att den rättsliga regleringen inte skall vara beroende av att vissa tekniska lösningar används. Detta är enligt utredningen särskilt viktigt med hänsyn till hur snabbt informationstekniken utvecklas. Det är självklart och i linje med regeringens ambitioner (se avsnitt 5.1) att man inom den offentliga verksamheten skall kunna dra nytta av de möjligheter till effektivitetsvinster, kostnadsbesparingar samt smidigt informationsutbyte med svenska eller utländska myndigheter och enskilda som den tekniska utvecklingen kan komma att medföra. Lagen bör således inte hämma användningen av ny informationsteknik utan lämna utrymme för förändringar i myndigheternas IT-struktur i den mån denna inte går ut över integritetsskyddet. Särregleringen bör därför – liksom personuppgiftslagen – vara teknikoberoende.
Vidare bör särregleringen vara flexibel så till vida att den är i möjligaste mån oberoende av förändringar på grund av nya faktiska
eller rättsliga förutsättningar för verksamheten i fråga. Ett sätt att åstadkomma denna flexibilitet är att ge lagen karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för behandling av personuppgifter inom verksamhetsområdet, medan detaljfrågor lämnas utanför lagen. Närmare reglering av detaljfrågor bör i stället, inom lagens ramar, kunna meddelas i en förordning som utfärdas i anslutning till lagen eller, efter regeringen bemyndigande, i myndighetsföreskrifter. En sådan författningsteknik är fördelaktig i det avseendet att detaljregler, som sannolikt behöver ändras ofta, inte måste underställas riksdagens prövning.
Givetvis måste dock de från integritetssynpunkt viktigaste principerna regleras av lagen. Till dessa hör bl.a. för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar känsliga personuppgifter enligt 13 § personuppgiftslagen får behandlas samt i vad mån automatiserad direktåtkomst kan medges till personuppgifter som behandlas inom verksamhetsområdet. Närmare reglering i förordning eller i myndighetsföreskrifter föreslås i dessa frågor vara möjlig endast om de ytterligare ökar den enskildes integritetsskydd genom att i något avseende inskränka utrymmet för behandling av personuppgifter jämfört med vad lagens ramar anger.
Slutligen bör framhållas att en självklar utgångspunkt för förslagen varit att lagen inte i något avseende skall strida mot dataskyddsdirektivet. Det verksamhetsområde som föreslås omfattas av lagens tillämpningsområde avser till övervägande del frågor som hör till EU:s gemenskapsrätt. Dataskyddsdirektivet gäller följaktligen för behandling av personuppgifter i den delen. Vad gäller verksamhet som faller utanför direktivets tillämpningsområde – t.ex. verksamhet enligt medborgarskapslagstiftningen – har det i utredningsarbetet inte framkommit någon anledning att föreslå avsteg från direktivets bestämmelser.
5.4. Särskilda uppgiftssamlingar
I utlänningsdataförordningen regleras enbart automatiserad behandling av personuppgifter i verksamhetsregister, rättsfallsregister, landinformationsregister samt i fingeravtrycksregister. Hur registren är avgränsade framgår inte av förordningen. Automatiserad behandling av personuppgifter i löpande texter med hjälp av ordbehandlingsprogram utan koppling till registren, elektronisk
post m.m. torde emellertid inte omfattas av utlänningsdataförordningens tillämpningsområde utan styrs av personuppgiftslagens regler. Inte heller omfattar utlänningsdataförordningen manuell hantering av personuppgifter. Även denna behandling regleras av personuppgiftslagen, dock att lagens övergångsbestämmelser innebär att flera av lagens centrala bestämmelser (9, 10, 13 och 21 §§) inte gäller förrän den 1 oktober 2007 såvitt avser redan före den 24 oktober 1998 påbörjad manuell behandling eller manuell behandling som utförs för ett bestämt ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
Utredningen har ställt sig frågan om det finns anledning att begränsa lagens tillämplighet på motsvarande sätt, dvs. till specifika samlingar av personuppgifter. En ytterligare fråga är om det finns anledning att i lagen göra åtskillnad mellan regler som endast gäller för vissa samlingar av personuppgifter medan andra regler gäller generellt.
5.4.1. Allmänt om uppgiftssamlingar
Personuppgiftssamlingar i register blev ett centralt begrepp i svensk datalagstiftning genom datalagens införande. Med personregister avsågs, enligt datalagens definition, register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med behandlingen. Den allmänt använda termen för automatiserade uppgiftssamlingar har sedan datalagens införande varit register. I enlighet med sin benämning har registerförfattningar, som härrör från datalagens tid, i allmänhet reglerat bl.a. vilka uppgifter om enskilda som får sammanställas i myndigheters automatiserade register. Karaktäristiskt för dessa register är att uppgifter förs in i en uppgiftssamling på ett systematiserat sätt efter särskilda kriterier och att de är sökbara med särskilda sökord, koder eller dylikt.
Redan flera år före personuppgiftslagens införande kritiserades emellertid registerbegreppet för att vara otidsenligt. På grund av den tekniska utvecklingen har det i en sammansatt och komplex datormiljö blivit allt svårare att fastställa såväl när ett register har inrättats som vad som är ett register i förhållande till ett annat. Det har också vuxit fram metoder att med datorhjälp söka och
sammanställa uppgifter som över huvud taget inte har organiserats eller systematiserats i förväg.
Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid automatiserad behandling av personuppgifter. För manuell behandling är begreppet register dock avgörande, eftersom sådan hantering omfattas av lagens tillämpningsområde endast då personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. är samlade i register. För helt eller delvis automatiserad behandling av personuppgifter finns emellertid inga särskilda bestämmelser om register eller andra samlingar av personuppgifter. All behandling av personuppgifter som sker helt eller delvis automatiserat omfattas således av lagens generella bestämmelser oavsett om personuppgifterna ingår i register eller inte. Av avgörande betydelse är i stället att personuppgifter skall samlas in för uttryckligt angivna ändamål och sedan inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Personuppgiftslagen innebär alltså att automatiserade register kan inrättas om det sker för uttryckligt angivna ändamål.
I förarbetena till personuppgiftslagen uttalade emellertid regeringen om registerbegreppet att inget hindrar att ett datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register. Ofta har registerformen, fortsatte regeringen, valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer (prop. 1997/98:44 s. 39).
Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och polisdatalagen (1998:622) kan nämnas som exempel på författningar som är anpassade till personuppgiftslagen och dessutom innehåller bestämmelser om vissa register.
Efter personuppgiftslagens införande har begreppet databas introducerats som ett juridiskt begrepp i några registerförfattningar, nämligen i lagarna för behandling av personuppgifter inom skatte-, tull- och exekutionväsendet samt inom den arbetsmarknadspolitiska verksamheten (se t.ex. 2 kap. 1 § lagen [2001:181] om behandling av personuppgifter i skatteförvaltningens verksamhet och 7 § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten). I
lagarna sägs att det i respektive verksamhet får finnas en databas, dvs. en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för ändamål som anges i lagarna. För databaserna gäller sedan särskilda regler om bl.a. vad de får innehålla, direktåtkomst, gallring m.m.
I Registerförfattningsutredningens betänkande Skatt, Tull, Exekution – Normer för behandling av personuppgifter (SOU 1999:105 s. 231 f.) redogjorde utredningen för vad som enligt dess mening skall avses med gemensam användning av uppgifter. Sammanfattningsvis anfördes att en uppgift är gemensamt tillgänglig och därmed utgörande en del av en databas om den registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att ta del av uppgiften direkt på automatiserad väg. Enligt Registerförfattningsutredningen är det den faktiskt åsyftade tillgängligheten och inte hur uppgiften tekniskt lagras som är väsentlig. Att olika personalkategorier har olika behörighet och att vissa uppgifter därför är åtkomliga endast för ett begränsat antal personer förtar i sig inte uppgifternas egenskap som gemensamma. Detsamma gäller om vissa uppgifter är åtkomliga endast inom en regional myndighet. En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server hos en myndighet i samband med att en tjänsteman arbetar med ordbehandling och som normalt bara är åtkomlig för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt tillgänglig. Syftet med en sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än den som utför behandlingen.
I propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 89 f.) har regeringen redogjort för sina överväganden kring begreppen register respektive databas. Som skäl för att införa begreppet databas anförde regeringen bl.a. följande. Att följa personuppgiftslagens struktur och enbart tala om behandling av personuppgifter kan i vissa fall föranleda att en lagtext tyngs och blir svårhanterlig, t.ex. när man inte avser behandling i allmänhet utan endast behandling i fastställda samlingar av uppgifter för vilka särskilda handlingsregler bör gälla. Begreppet databas utesluter manuella register och gör det möjligt att särskilja tillfälliga behandlingar av personuppgifter i en dator från databaser som är särskilt reglerade till sitt innehåll och användning. Definitionen har även den fördelen att den inte tekniskt avgränsar
hur en samling uppgifter är uppbyggd eller organiserad. Flera register kan vara sammanlänkade i en databas om de på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet. Regeringen framhöll vidare att det från integritetssynpunkt är viktigt att stora uppgiftssamlingar, som hanteras av myndigheter och som möjliggör sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. För behandlingen av uppgifter i databaser bedömdes därför att särskilda bestämmelser bör gälla på en rad punkter, nämligen i fråga om vilka uppgifter som får behandlas, vilken åtkomst myndigheter och andra skall ha till uppgifterna samt vilka regler som skall gälla för bevarande och gallring.
Motsvarande överväganden gjordes av regeringen i förarbetena till lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 27 f.).
5.4.2. Utredningens överväganden i fråga om uppgiftssamlingar
Lagen bör omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat eller manuellt i register. Lagen blir därigenom teknikoberoende och väl anpassad till personuppgiftslagens regelverk. Flera av de skäl som tidigare (avsnitt 5.2) anförts för en särreglering har giltighet på behandling av personuppgifter oavsett om personuppgifterna ingår i automatiserade uppgiftssamlingar eller inte. Visserligen utvidgas därmed särregleringen av behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen jämfört med vad som gäller för närvarande. Det innebär bl.a. större möjligheter än i dag att behandla känsliga personuppgifter, vilket från integritetssynpunkt kan sägas tala emot den föreslagna utvidgningen. Utvidgningen ter sig emellertid nödvändig för att verksamheten skall kunna bedrivas på ett lämpligt sätt. Exempelvis bör känsliga personuppgifter kunna behandlas även om den enskilde tjänstemannen av olika skäl utför behandlingen med hjälp av ordbehandlingsprogram i sin persondator i stället för i ett större datorsystem. Även denna behandling bör vidare styras av de regler om ändamål m.m. som kommer att föreslås i det följande.
Mot bakgrund av den komplexa IT-struktur som redan är för handen kan det ifrågasättas om begreppet register över huvud taget skall förekomma i lagen. I flera av de registerförfattningar som tillkommit efter personuppgiftslagens införande har begreppet övergetts, förutom i de nyss nämnda författningarna, se t.ex. lagen (2001:454) om behandling av personuppgifter inom socialtjänsten eller lagen (2001:617) om behandling av personuppgifter inom kriminalvården, vilket dock inte hindrar att en mängd register – automatiserade eller inte – förs inom respektive verksamhet.
Den kritik som riktats mot begreppet register är relevant beträffande flertalet av de uppgiftssamlingar som redovisats i avsnitt 4. Det kan här påpekas att Datainspektionen ansett att Migrationsverkets landinformationssystem LIFOS – som torde omfattas inte bara av utlänningsdataförordningens regler om landinformationsregister utan även av förordningens regler om rättsfallsregister – inte utgör ett personregister i den tidigare gällande datalagens mening, eftersom personuppgifter endast förekommer i löpande text. Migrationsverkets omfattande automatiserade system STAMM-basen kan vidare nämnas som en exemplifiering av den utveckling av IT-strukturen som skett inom många myndigheter under 1990-talets senare hälft och som har medfört att beteckningen register inte längre passar som beskrivning av systemet, vilket numera består av ett flertal verksamhetsstödjande personregister integrerade med ärendehanteringsfunktioner, lagrade handlingar m.m.
Migrationsverkets automatiserade fingeravtrycksregister är emellertid ett register i ordets egentliga bemärkelse, där ett visst urval uppgifter på ett systematiserat sätt förs in i ett register för ett specifikt ändamål, nämligen att underlätta identifieringen av asylsökande. Registret är inte integrerat med övriga datorsystem inom myndigheten. Det föreligger därför inte problem med att avgränsa fingeravtrycksregistret gentemot andra register, dokumenthantering eller övrig personuppgiftsbehandling på det sätt som registerbegreppet kritiserats för.
En jämförelse kan göras med polisdatalagen (1998:622) som innehåller särskilda bestämmelser om regelrätta datoriserade register, däribland fingeravtrycks- och signalementsregistret, som förs inom polisens verksamhet. I propositionen Polisens register, som föregick lagens införande (prop. 1997/98:97 s. 102 och 111), anförde regeringen sammanfattningsvis att det behövs särskilda bestämmelser om vissa traditionella register samt, vad gäller
fingeravtrycks- och signalementsregistret, att det från integritetssynpunkt finns skäl att begränsa behandlingen av personuppgifter för att underlätta identifieringen av personer i samband med brott.
Samma argument kan enligt utredningens mening åberopas vad gäller Migrationsverkets fingeravtrycksregister. Registret innehåller personuppgifter om ett stort antal utlänningar och är integritetskänsligt. Registret kan också antas komma att föras under överskådlig tid framöver.
Som kommer att framgå i avsnitten 6.7 och 6.18.5 föreslår utredningen därför att de särskilda regler som i dag gäller för vilka uppgifter registret får innehålla, när gallring skall ske m.m. alltjämt skall vara författningsreglerade. Det föreslås också att uppgiftssamlingen även i fortsättningen benämns som ett register.
När det däremot gäller övriga register, ärendehanteringssystem och andra personuppgiftssamlingar som förekommer inom verksamhetsområdet finns, enligt utredningens mening, bland dem inte någon klar och urskiljbar uppgiftssamling som på motsvarande sätt som beträffande fingeravtrycksregistret bör bli föremål för särreglering. Utredningen har därför inte funnit anledning att i lagen begagna begreppen register eller databas och att för dessa uppgiftssamlingar föreslå särskilda regler. Olika uppgiftssamlingar nämns således inte särskilt utan omfattas av lagens allmänna bestämmelser om behandling av personuppgifter.
Givetvis är integritetsriskerna större när information om ett stort antal individer samlas och lagras automatiserat så att de är tillgängliga för mer än ett fåtal personer. Det är därför särskilt viktigt att sådana personuppgifter omgärdas av integritetsskyddande regler. Lagförslaget är i konsekvens härmed utformat med i första hand dessa integritetskänsliga uppgiftssamlingar i åtanke. Enligt utredningens bedömning är det dock inte nödvändigt, för att myndigheterna skall kunna fullgöra sina arbetsuppgifter på ett tillfredsställande sätt, att andra regler gäller för behandling av personuppgifter som sker utanför uppgiftssamlingar eller utanför gemensamt tillgängliga system.
För den personuppgiftsansvariga likväl som för den som rutinmässigt behandlar personuppgifter i det dagliga arbetet är det dessutom en fördel om regelverket är så enhetligt som möjligt. Därigenom undviks att tveksamhet uppstår i fråga om vilka regler som gäller för en viss behandling av personuppgifter. Vilken benämning man än väljer för att beskriva en eller flera uppgiftssamlingar torde nämligen gränsdragningsproblem kunna upp-
stå i många fall. Detta hänger särskilt samman med svårigheterna att lagstiftningsvägen exakt avgränsa vad som skall anses ske i respektive utanför en uppgiftssamling som inte utgör ett traditionellt register separerat från all annan automatiserad behandling av personuppgifter. Det kan vidare inte uteslutas att den tekniska utvecklingen kommer att göra denna gränsdragning än
mer problematisk.
6. Utlänningsdatalag
6.1. Lagens namn
Utredningens förslag: Lagen ges namnet utlänningsdatalag.
Utredningen har övervägt att föreslå namnet lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen eftersom det namnet ger en bra beskrivning av vad lagen handlar om. Den föreslagna lagen kommer emellertid att dagligen tillämpas av ett stort antal tjänstemän vid flera myndigheter. Ett kortare namn är därför lämpligare. De personuppgifter som kommer att behandlas enligt lagen rör i de allra flesta fall utländska medborgare eller statslösa, dvs. utlänningar. Utlänningsdatalag är således, enligt utredningen, ett relevant och i övrigt lämpligt namn på den föreslagna lagen.
6.2. Tillämpningsområde
Utredningens förslag: Lagen skall tillämpas vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen som bedrivs av i lagen angivna myndigheter.
Verksamhetsområdet preciseras i lagen. Behandling som utförs av annan myndighet än någon av de i lagen nämnda faller utanför tillämpningsområdet. Detsamma gäller behandling som utförs av enskilda.
Av verksamhetspreciseringen framgår bl.a. att behandling av personuppgifter i myndigheternas internadministrativa verksamhet samt i Migrationsverkets respektive Integrationsverkets hantering av förenings- och projektbidrag inte omfattas av lagens tillämpningsområde.
6.2.1. Inledning
Utredningens direktiv innehåller ingen närmare precisering av vad som skall avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Dock sägs att det är Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna som bedriver sådan verksamhet. Det är också dessa myndigheters behandling av personuppgifter som omfattas av utlänningsdataförordningen. Direktiven innehåller emellertid inte någon uttalad begränsning av utredningsuppdraget till att endast omfatta den behandling av personuppgifter som nämnda myndigheter utför.
Som belysts i avsnitt 3 är ytterligare ett antal statliga myndigheter inbegripna i verksamhet som utförs med stöd av utlänningslagen eller medborgarskapslagen. Dessa myndigheter är, förutom regeringen (Regeringskansliet), Arbetsmarknadsstyrelsen och länsarbetsnämnder, som beviljar vissa arbetstillstånd, allmänna domstolar, som prövar frågor om utvisning på grund av brott efter talan av allmän åklagare, allmänna förvaltningsdomstolar, som prövar överklagade beslut om tagande i förvar m.m., Kustbevakningen och
Tullverket, som biträder polisen i utlänningskontrollen, samt länsstyrelser, som prövar vissa anmälningar om svenskt medborgarskap och som har att anmäla till Rikspolisstyrelsen om de finner anledning anta att ett beslut om utvisning enligt lagen (1991:572) om särskild utlänningskontroll bör meddelas.
Endast Migrationsverket och Utlänningsnämnden kan emellertid sägas ha verksamhet enligt utlänningslagen och medborgarskapslagen som central myndighetsuppgift. Vad gäller verksamhetsområdet – verksamhet enligt utlännings- och medborgarskapslagstiftningen – innehåller utlänningsdataförordningen en definition som innefattar också viss verksamhet utöver den som bedrivs enligt utlänningslagen eller medborgarskapslagen eller till lagarna anslutande förordningar. Denna verksamhet har beskrivits översiktligt i avsnitt 3.3. Även här är ytterligare myndigheter verksamma, nämligen kommunala myndigheter, som tar emot och ger asylsökande bistånd, Centrala studiestödsnämnden, som handlägger ärenden om hemutrustningslån till flyktingar m.fl., samt landstingen, som enligt en överenskommelse med staten tillhandahåller utlänningar vid mottagningsförläggningar hälso- och sjukvård. Vidare kan enskilda på Migrationsverkets uppdrag driva mottagningsförläggningar för asylsökande.
Slutligen kan påpekas att Integrationsverket inte bedriver någon verksamhet enligt utlänningslagen eller medborgarskapslagen.
Det sagda innebär att det finns anledning att närmare diskutera hur utlänningsdatalagens tillämpningsområde skall avgränsas i fråga om dels vems behandling av personuppgifter som bör regleras i lagen, dels vilken verksamhet lagen skall tillämpas på. Frågorna hör förvisso ihop men behandlas i det följande var för sig.
Först bör emellertid framhållas att utredningens utgångspunkt är att tillämpningsområdet skall begränsas till det som påkallar särreglering i förhållande till personuppgiftslagens regler. När det gäller en allmän motivering till varför en särreglering över huvud taget bör införas för verksamhetsområdet hänvisas till avsnitt 5.2.
En ytterligare utgångspunkt – som också framhålls i utredningens direktiv – är att lagen inte leder till överlappande lagstiftning i den bemärkelsen att mer än en författning är tillämplig beträffande samma behandling av personuppgifter. En dylik dubbelreglering medför tillämpningssvårigheter och ökar risken för ett ologiskt och motsägelsefullt regelverk, vilket givetvis måste undvikas.
6.2.2. Vems behandling av personuppgifter skall regleras av lagen?
Utredningen har övervägt om det skulle vara ändamålsenligt att i lagen inte uttryckligen ange vilket eller vilka subjekt som lagen är tillämplig på utan att låta tillämpningsområdet avgränsas med enbart en definition av verksamhetsområdet. En fördel härmed är att lagen inte behöver ändras vid organisatoriska förändringar eller överföringar av arbetsuppgifter från en myndighet till en annan. Modellen är dock förknippad med betydande nackdelar, främst i det att en mängd undantagsbestämmelser skulle krävas för att undvika överlappande lagstiftning, något som kommer att framgå i det följande. En sådan lagstiftningsteknik är opedagogisk och otymplig. Modellen skulle även avvika från flertalet nu gällande särförfattningar för behandling av personuppgifter i offentlig förvaltning, i vilka det som regel anges eller annars klart framgår vilket eller vilka organ som har att tillämpa författningen, se t.ex. 1 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och 1 § lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet. Övervägande skäl talar
således för att det i lagen uttryckligen anges vems behandling av personuppgifter lagen reglerar.
Som nyss sagts reglerar utlänningsdataförordningen behandling av personuppgifter som företas av Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna. De fortsatta övervägandena tar sitt avstamp i utlänningsdataförordningen med ett resonemang om huruvida det finns anledning att inskränka eller utvidga kretsen vars behandling av personuppgifter lagen skall omfatta.
Vad gäller den första frågan, om man bör inskränka tillämpningsområdet i förhållande till utlänningdataförordningen, kan till en början konstateras att Migrationsverkets behandling av personuppgifter självfallet bör regleras av den nya lagen. Verket behandlar i sin verksamhet en synnerligen stor mängd i hög grad integritetskänsliga personuppgifter om främst utlänningar. Särreglering är påkallad i alla de avseenden som i avsnitt 5.2 angetts som skäl för en sådan reglering. Även utlandsmyndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är sammantaget omfattande och integritetskänslig och påkallar därför en särreglering.
Av samma skäl bör Utlänningsnämndens behandling av personuppgifter inom verksamhetsområdet särregleras. Det pågående reformarbetet om bl.a. ändrad instansordning innebär visserligen att Utlänningsnämndens verksamhet troligen kommer att upphöra. När detta kan komma att ske är dock i nuläget oklart. Under alla förhållanden kommer utlänningsdatalagen att kunna träda i kraft före en eventuell organisationsförändring. Utlänningsnämndens behandling av personuppgifter bör därför regleras i lagen.
Det kan här inflikas att det i den tidigare nämnda lagrådsremissen Ny instans- och processordning i utlänningsärenden föreslogs att Utlänningsnämndens verksamhet skall tas över av vissa länsrätter och en kammarrätt. Dessa domstolar omfattas av förordningen (2001:640) om registerföring m.m. vid länsrätt med hjälp av automatiserad behandling respektive förordningen (2001:641) om registerföring m.m. vid Regeringsrätten och kammarrätterna med hjälp av automatiserad behandling. Båda förordningarna gäller vid automatiserad behandling av personuppgifter i domstolarnas rättskipning eller rättsvårdande verksamhet. Domstolarna omfattas vidare av de lagförslag om behandling av personuppgifter vid bl.a. allmänna förvaltningsdomstolar som Domstolsdatautredningen lämnat i betänkandet Informations-
hantering och behandling av uppgifter vid domstolar – En rättslig översyn (SOU 2001:100).
När det gäller Integrationsverket har det i kartläggningsarbetet (avsnitt 4) framkommit att verket behandlar en stor mängd mer eller mindre integritetskänsliga personuppgifter om utlänningar i sin handläggning av ärenden om ersättning till kommuner och landsting för flyktingmottagande samt i sitt arbete med att träffa överenskommelser med kommuner om mottagande av skyddsbehövande m.m. De allmänna argumenten för särreglering i förhållande till personuppgiftslagen (se avsnitt 5.2) motiverar därför att Integrationsverket skall omfattas av lagen.
Vad därefter gäller Rikspolisstyrelsens och polismyndigheternas behandling av personuppgifter i verksamhet enligt utlänningslagen är situationen mer tveksam. Detta hänger samman med att polisens behandling av personuppgifter i stor utsträckning regleras av polisdatalagen (1998:622).
Polisdatalagen – som utgår från personuppgiftslagen och endast innehåller de särbestämmelser som bedömts som nödvändiga – tillämpas vid behandling av personuppgifter i polisens verksamhet för att 1) förebygga brott och andra störningar av den allmänna ordningen och säkerheten, 2) övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana har inträffat eller 3) bedriva spaning och utredning i fråga om brott som hör under allmänt åtal (1 § polisdatalagen). Verksamheten utgör det som brukar kallas den egentliga polisverksamheten och är identisk med regleringen i 2 § 1–3 polislagen (1984:387). Till polisens uppgifter hör vidare att lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen samt att fullgöra den verksamhet som ankommer på polisen enligt särskilda bestämmelser (2 § 4 och 5 polislagen).
I polisens övervakningsverksamhet enligt 2 § 2 polislagen ingår gränsövervakning som en speciell övervakningsform. Enligt äldre förarbeten till polislagen (se 1975 års polisutrednings betänkande Polislagen, SOU 1979:6 s. 63 f.) syftar gränsövervakningen främst till att hindra spioneri, varusmuggling och obehörigt överskridande av landets gränser. Polisen sägs här svara för passkontroll och den övervakning i övrigt som förutsätts i utlänningslagstiftningen. I polisens verksamhet enligt utlänningslagstiftningen brukar man kalla den kontroll som sker i samband med att utlänningar reser in i eller ut ur Sverige för den yttre utlänningskontrollen och den
kontroll som sker under utlänningens vistelse i Sverige för den inre utlänningskontrollen.
I polisens verksamhet enligt 2 § 5 polislagen ingår den s.k. polismyndighetsverksamheten. Denna avser åligganden som polisen, vid sidan av sina huvuduppgifter, har inom området för allmän förvaltning enligt särskilda författningsbestämmelser. En del av dessa åligganden innefattar handläggning av ärenden eller biträde åt myndigheter när det exempelvis gäller interimistiska åtgärder vid administrativa tvångsingripanden.
Gränsen mellan polisens olika uppgifter enligt 2 § 1–5 polislagen är emellertid ingalunda skarp (se bl.a. Berggren – Munck, Polislagen En kommentar, 1998, 3 uppl. s. 31) vilket medför vissa problem när det gäller att avgöra om en behandling av personuppgifter regleras av polisdatalagen.
I propositionen Polisens register (prop. 1997/98:97 s. 99) framhöll regeringen att den polisverksamhet som polisdatalagen skall tillämpas på inte omfattas av dataskyddsdirektivets tillämpningsområde. I Polisdatautredningens betänkande Behandling av personuppgifter i polisens verksamhet (SOU 2001:92) föreslås en ny polisdatalag med samma tillämpningsområde såvitt nu är i fråga som den nu gällande polisdatalagen. I betänkandet betonas att polisverksamhet enligt 2 § 1–3 polislagen inte omfattas av dataskyddsdirektivet och att det är olämpligt att låta den nya lagen vara tillämplig vid behandling av personuppgifter i polisens verksamhet enligt 2 § 4 och 5 polislagen med hänsyn till att det är tveksamt om dessa verksamheter kan anses undantagna från direktivets tillämpningsområde (a.a. s. 157).
Av det sagda torde enligt utredningen den slutsatsen kunna dras att behandling av personuppgifter inom polisen (eller av de av polisen särskilt förordnade gränskontrollanterna) som föranleds av polisens yttre utlänningskontroll i allt väsentligt regleras av polisdatalagen. Likaså omfattar polisdatalagen polisens behandling av personuppgifter vid verksamhet enligt lagen om särskild utlänningskontroll, som ju gäller utvisning av utlänning av hänsyn till rikets säkerhet eller om det kan befaras att utlänningen kommer att begå eller medverka till brottslig gärning som innefattar våld, hot eller tvång för politiska syften. Detsamma kan sägas om Rikspolisstyrelsens verksamhet i s.k. säkerhetsärenden enligt medborgarskapslagen.
När det gäller polisens behandling av personuppgifter inom den inre utlänningskontrollen är det enligt utredningen inte lika säkert
att den i sin helhet omfattas av polisdatalagens tillämpningsområde. Den inre utlänningskontrollen syftar bl.a. till efterspaning av utlänningar beträffande vilka det finns ett avvisnings- eller utvisningsbeslut. Dessutom innefattar kontrollen bl.a. övervakning av att utlänningar inte arbetar i landet utan erforderligt arbetstillstånd. Den sist nämnda kontrollen kan avse utlänningar som rest in i och vistas i Sverige i behörig ordning, vilket enligt utredningen medför att det kan sättas i fråga om verksamheten utgör sådan gränsövervakning som innefattas i polisverksamhet enligt 2 § 2 polislagen. Polisens verksamhet när det gäller verkställighet av beslut om förvar, avvisning och utvisning samt polismyndigheternas beslutsfattande om nödfallsviseringar m.m. utgör vidare polismyndighetsverksamhet enligt 2 § 5 polislagen, som faller utanför polisdatalagen tillämpningsområde.
Polisens verksamhet enligt utlänningslagstiftningen har i många fall en nära anknytning till verksamhet som omfattas av gemenskapsrätten och därmed av dataskyddsdirektivet. Det kan t.ex. påpekas att kontrollen vid passage av EU-medlemsstaternas yttre gränser numera ingår i gemenskapssamarbetets första pelare (se avsnitt 3.1), varför det kan ifrågasättas om behandling av personuppgifter ens i samband med den yttre utlänningskontrollen verkligen faller utanför dataskyddsdirektivets tillämpningsområde.
I förarbetena till den nu gällande polisdatalagen anförde regeringen att den inte kunde se att det finns något behov av särregler för polisens handläggning av polismyndighetsärenden eller annan polisverksamhet enligt 2 § 4 och 5 polislagen (prop. 1997/98:97 s. 99). Samma bedömning har Polisdatautredningen gjort i sitt nyss nämnda betänkande (SOU 2001:92 s. 156).
Med tanke på redogörelsen i det föregående kan det således konstateras att en del av polisens verksamhet enligt utlänningslagstiftningen faller utanför polisdatalagen och för den delen även lagen (2000:344) om Schengens informationssystem (som bl.a. reglerar behandling av uppgifter om utlänning som Rikspolisstyrelsen skall införa i spärrlistan för personer som skall nekas tillträde eller uppehållstillstånd i Schengenstaterna). I den verksamheten förekommer en inte obetydlig behandling av personuppgifter. Det rör sig dels om personuppgifter som polisen själv insamlar och behandlar, dels om personuppgifter som utlämnas från företrädesvis Migrationsverket eller Utlänningsnämnden.
Ett exempel kan nämnas som belyser problem som kan uppstå i förhållande till personuppgiftslagen. Polisen behöver i många fall
snabb information om sådana känsliga personuppgifter som etnicitet och psykisk eller fysisk hälsa när den bistår myndigheterna med att verkställa ett beslut om tagande i förvar eller när polisen har övertagit ett verkställighetsärende avseende avvisning eller utvisning. Enligt utredningens mening är det rimligt och effektivitetsfrämjande att polisen kan få del av sådan information. Av naturliga skäl kan polisen inte inhämta samtycke från vederbörande till den fortsatta behandlingen av personuppgifterna som sker efter det att informationen har överförts till polisen. Personuppgiftslagen och personuppgiftsförordningen ger därmed inte en tillfredsställande reglering eftersom ingen undantagsbestämmelse från lagens förbud mot behandling av de känsliga personuppgifterna är tillämplig på polisens behandling i en situation som denna. Inte heller gäller, som tidigare sagts, polisdatalagen eller någon annan motsvarande lag. En särreglering behövs alltså enligt utredningens mening.
Ett sätt att införa särregleringen är att föreslå ändringar i polisdatalagens bestämmelse om vilken polisverksamhet den lagen är tillämplig på. För en sådan lösning talar framför allt att det för polisens del är mera lätthanterligt med en reglering av den egna myndighetens behandling av personuppgifter samlad i en lag. Exempelvis skulle i 1 § första stycket polisdatalagen kunna tilläggas en punkt 4 av följande lydelse. ...fullgöra uppgifter enligt utlänningslagstiftningen.
Häremot talar emellertid att behandling av personuppgifter i frågor som otvetydigt faller under dataskyddsdirektivets tillämpningsområde därmed införs i polisdatalagen, vilket inte är förenligt med den inställning som regeringen uttryckt i förarbetena till polisdatalagen. Enligt utredningens mening väger detta argument mot en ändring av polisdatalagen tyngre än de skäl som talar för en ändring. Utredningen föreslår därför att Rikspolisstyrelsens och polismyndigheternas nu berörda behandling av personuppgifter i verksamhet enligt utlänningslagstiftningen regleras i utlänningsdatalagen.
I syfte att undvika överlappande lagstiftning bör vidare i utlänningsdatalagen införas en regel som från lagens tillämpningsområde utesluter behandling av personuppgifter som regleras av polisdatalagen. Även behandling av personuppgifter enligt lagen om Schengens informationssystem bör ha uttryckligt företräde framför utlänningsdatalagen i händelse av en kollision.
När det så gäller frågan om kretsen av dem som skall tillämpa utlänningsdatalagen i stället bör utvidgas i förhållande till utlän-
ningsdataförordningen kan till en början konstateras att det saknas särreglering av den personuppgiftsbehandling som Regeringskansliet – i egenskap av beredare av regeringsärenden – måste utföra i samband med regeringens prövning av enskilda ärenden enligt utlänningslagen, medborgarskapslagen och lagen om särskild utlänningskontroll. Personuppgifter som behandlas i dessa ärenden är ofta av mycket integritetskänslig karaktär. Sammantaget rör det sig om en relativt omfattande verksamhet. Det är mot den bakgrunden inte tillfredsställande att Regeringskansliets behandling enbart sker med stöd av personuppgiftslagen. Övervägande skäl talar därför för att även Regeringskansliet bör tillämpa utlänningsdatalagen i dessa ärenden.
Härutöver har det i utredningens arbete inte framkommit behov av att låta någon eller några ytterligare myndigheters behandling av personuppgifter infogas i tillämpningsområdet. Skälen för denna bedömning utvecklas i det följande.
Som tidigare sagts omfattas de allmänna förvaltningsdomstolarna av gällande registerförordningar samt av en väntad lag om behandling av personuppgifter i de allmänna förvaltningsdomstolarnas verksamhet (SOU 2001:100).
Även några av de andra handläggande myndigheter som nämnts tidigare (avsnitt 6.2.1) omfattas av särreglering. De allmänna domstolarna omfattas av förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling. Domstolsutredningen har föreslagit en lag om behandling av personuppgifter vid allmän domstol (SOU 2001:100). Arbetsmarknadsstyrelsens och länsarbetsnämndernas hantering av personuppgifter i samband med frågor om arbetstillstånd omfattas av lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten som trädde i kraft den 1 augusti 2002 (se prop. 2001/02:144 s. 18). Kommunernas behandling av personuppgifter vid handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar och ärenden om bistånd enligt lagstiftning om mottagande av asylsökande m.fl. samt i verksamhet hos kommunal invandrarbyrå regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
Centrala studiestödsnämndens behandling av personuppgifter vid handläggning av ärenden om hemutrustningslån till flyktingar och vissa andra utlänningar är i viss mån redan reglerad (se avsnitt 3.3). En allmän översyn av om behandlingen av personuppgifter i
nämndens verksamhet skall särregleras i lag görs för närvarande av Utbildningsdepartementet (se prop. 2000/01:129 s. 69).
Något behov av särreglering av övriga myndigheters behandling av personuppgifter inom verksamhetsområdet har inte framkommit. Länsstyrelsernas behandling av personuppgifter vid anmälningar om svenskt medborgarskap är varken med hänsyn till sin omfattning eller integritetskänslighet sådan att den bör regleras i lagen. Länsstyrelsernas anmälningsplikt enligt lagen om särskild utlänningskontroll avser i praktiken ytterst få fall och motiverar inte att länsstyrelserna innefattas i den föreslagna lagens tillämpningsområde. Eventuella anmälningar bör rimligtvis kunna hanteras med sådan manuell behandling av personuppgifter som inte omfattas av personuppgiftslagens tillämpningsområde utan att länsstyrelsernas effektivitet påverkas negativt.
Det är tveksamt om Kustbevakningen och Tullverket när de bistår polisen vid yttre eller inre utlänningskontroll över huvud taget behandlar personuppgifter på ett sätt som omfattas av personuppgiftslagens tillämpningsområde. I vart fall finns ingen anledning att särreglera den behandling som måhända förekommer genom att infoga den i lagförslaget.
Slutligen bör framhållas att, som tidigare nämnts, enskilda kan driva mottagningsförläggningar (även om just för närvarande inga förläggningar drivs av enskilda) och att de i den verksamheten torde behöva behandla personuppgifter. Något behov av att med anledning härav komplettera eller ersätta personuppgiftslagens regler har emellertid inte framkommit i utredningens kartläggningsarbete. De möjligheter till behandling av känsliga personuppgifter utan den registrerades samtycke som kommer att föreslås i det följande bör vidare inte utan starka skäl utsträckas till andra än myndigheter. Övervägande skäl talar därför för att utelämna enskildas behandling av personuppgifter från lagens tillämpningsområde.
Det kan i sammanhanget inflikas att man på mottagningsförläggningar som drivs av enskilda ofta torde kunna behandla personuppgifter utan den enskildes samtycke med stöd av 10 § d personuppgiftslagen. Där föreskrivs att personuppgifter får behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras.
Sammanfattningsvis föreslås således endast den ändringen i förhållande till vad utlänningsdataförordningen stadgar att Regeringskansliet fogas till den krets som tillämpar utlänningsdatalagen.
6.2.3. Verksamhetsområdet
6.2.3.1 Verksamhet som lagen skall tillämpas på
Regeringskansliets, Migrationsverkets, Utlänningsnämndens, Rikspolisstyrelsens och polismyndigheternas samt utlandsmyndigheternas behandling av personuppgifter i verksamhet enligt utlänningslagen och medborgarskapslagen med anslutande förordningar skall självfallet omfattas av lagens tillämpningsområde, dock för polisens del endast i den mån någon annan särskild registerförfattning inte är tillämplig. Integrationsverket bedriver visserligen ingen verksamhet enligt nu nämnda författningar. Verket har dock, som utredningen strax återkommer till, vissa näraliggande uppgifter. Lagen skall självfallet också omfatta utlandsmyndigheternas biträde med utredning i utlänningsmyndigheters enskilda utlännings- och medborgarskapsärenden. Denna verksamhet utförs med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen.
Frågan är huruvida någon ytterligare verksamhet, som inte direkt omfattas av utlänningslagen och medborgarskapslagen, bör ingå i den nya lagens tillämpningsområde. Detta är ytterst en avvägningsfråga. Enligt utredningen bör till lagens tillämpningsområde också hänföras sådan verksamhet som här berörda myndigheter bedriver och som får anses ha en närmare anknytning till utlännings- eller medborgarskapslagstiftningen och som dessutom motiverar särreglering i förhållande till personuppgiftslagen på grund av sin integritetskänsliga karaktär eller för att möjliggöra viktig behandling av personuppgifter som inte kan utföras enbart med stöd av personuppgiftslagen.
Inledningsvis kan konstateras att polisen inte bedriver någon övrig verksamhet som uppfyller båda dessa kriterier. När det gäller utlandsmyndigheternas finns det vissa myndigheter som representerar andra Schengenstater i tredje land. De myndigheterna beviljar viseringar till den representerade staten. Även den verksamheten bör omfattas av lagens tillämpningsområde.
I fråga om utlandsmyndigheterna, Rikspolisstyrelsen och polismyndigheterna är det alltså endast deras behandling av personuppgifter i verksamhet som nämnts i det föregående som omfattas av lagens tillämpningsområde. Det kan här nämnas att utredningen inte funnit att dessa myndigheters verksamhet enligt passlagstiftningen har en sådan anknytning till verksamhetsområdet att
den bör inlemmas i lagens tillämpningsområde. Främst grundar sig denna bedömning på att verksamheten i allt väsentligt rör svenska medborgare vilket utgör en avgörande skillnad jämfört med den övriga verksamhet som lagen föreslås avse.
Utlänningsnämndens enda verksamhet utöver den enligt utlännings- och medborgarskapslagarna gäller nämndens hantering av frågor om offentligt biträde i ärenden enligt lagen om särskild utlänningskontroll. Denna verksamhet bör givetvis omfattas av utlänningsdatalagens tillämpningsområde. Även Regeringskansliets och Migrationsverkets personuppgiftsbehandling i dessa ärenden bör regleras av utlänningsdatalagen.
Migrationsverket har åtskilliga uppgifter utöver de åligganden som följer av utlänningslagen, lagen om särskild utlänningskontroll eller medborgarskapslagen jämte anslutande förordningar. Migrationsverket svarar bl.a. för överföring av organiserat uttagna flyktingar (s.k. kvotflyktingar), för mottagande av asylsökande m.fl. och vissa andra utlänningar med tidsbegränsat uppehållstillstånd samt har huvudansvaret för deras boende och sysselsättning. Vidare handlägger Migrationsverket olika ärenden om bidrag åt utlänningar samt beslutar om statlig ersättning till landsting, kommuner m.fl. för kostnader för vissa utlänningar (se närmare redogörelsen i avsnitt 3.3 angående denna verksamhet). Migrationsverket för vidare, enligt ett åläggande i myndighetsinstruktionen, register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Dessa verksamheter förutsätter behandling av personuppgifter som i enlighet med vad som sagts ovan är särreglerad i förhållande till personuppgiftslagen. Verksamheterna bör därför omfattas av lagens tillämpningsområde.
När det slutligen gäller Integrationsverket ingår bland myndighetens uppgifter att vid behov medverka vid bosättning i kommun av skyddsbehövande utlänningar som beviljats uppehållstillstånd. Dessutom skall verket följa upp kommunernas introduktion för skyddsbehövande och andra nyanlända invandrare för vilka kommunerna får statlig ersättning och återföra resultatet till kommunerna, andra myndigheter och regeringen. Integrationsverket beslutar också om viss statlig ersättning till kommuner och landsting för flyktingmottagande och sjukvårdskostnader. För att denna verksamhet skall kunna bedrivas ändamålsenligt krävs bl.a. att känsliga personuppgifter kan behandlas i relativt stor omfattning. Verksamheten har nära anknytning till utlänningslagstiftningen och bör därför särregleras i lagen.
Sammanfattningsvis föreslås att lagens verksamhetsområde avgränsas i enlighet med vad som anförts i det föregående. Med tanke bl.a. på att delar av verksamheten utförs med stöd av förordningar bör en saklig beskrivning av verksamheten tas in i lagen.
Utredningen föreslår således att verksamhet som gäller utlänningars inresa, vistelse eller arbete i Sverige samt utresa från Sverige (varmed förstås all verksamhet enligt utlänningslagen och lagen om särskild utlänningskontroll), utlänningars inresa i en stat som ingår i EU eller i en stat som är ansluten till EES, mottagande av asylsökande och andra utlänningar, bistånd och bidrag till utlänningar, svenskt medborgarskap, statlig ersättning för kostnader för utlänningar samt bosättning av utlänningar skall omfattas av lagens tillämpningsområde. I författningskommentaren, avsnitt 9, kommer närmare att utvecklas vad som avses med respektive verksamhet.
6.2.3.2 Verksamhet som faller utanför tillämpningsområdet
Viss annan verksamhet
Såväl Migrationsverket som Integrationsverket bedriver viss annan verksamhet som enligt utredningens mening bör utelämnas från lagens tillämpningsområde.
För Migrationsverkets del gäller detta verkets förvaltning av den europeiska flyktingfonden. Fonden inrättades av EU enligt rådets beslut 2000/596/EG av den 28 september 2000 om inrättande av en europeisk flyktingfond. Som framgått av avsnitt 3.3 kan myndigheter och organisationer beviljas ekonomiskt stöd ur fonden. Stöd beviljas efter särskild ansökan. Ofta rör det sig om projekt som drivs av kommunala organ eller av ideella föreningar. Det fåtal personuppgifter som förekommer i ansökningsförfarandet m.m. kan i och för sig vara integritetskänsliga. Enligt utredningens bedömning kan emellertid dessa uppgifter behandlas med samtycke i enlighet med personuppgiftslagens bestämmelser.
Detsamma gäller Integrationsverkets handläggning av ärenden om statsbidrag till organisationer som främjar integration. Visserligen lämnas, som huvudregel, bidrag endast till organisationer som har minst 1 000 betalande medlemmar, varav övervägande del med invandrarbakgrund. Någon registerföring eller annan integritets-
känslig behandling av personuppgifter sker emellertid inte inom verket med anledning av denna bidragshantering.
Integrationsverkets arbetsuppgifter utöver de tidigare nämnda avser mer allmän verksamhet till främjande av att integrationspolitiska mål och synsätt får genomslag i samhället. Sådan verksamhet torde inte föranleda behandling av personuppgifter om enskilda personer och bör givetvis utelämnas från lagens tillämpningsområde.
Även utlandsmyndigheternas handläggning, efter Utrikesdepartementets bemyndigande, av ärenden om anställningstillstånd för befattning på svenskt fartyg i utrikes trafik enligt lagen (1989:532) om tillstånd för anställning på fartyg bör utelämnas från lagens tillämpningsområde. Denna verksamhet har ett närmare samband med den arbetsmarknadspolitiska sfären än utlänningslagstiftningen. Dessutom torde den ha en ringa omfattning och inte heller kräva behandling av integritetskänsliga uppgifter eller annars motivera särreglering i förhållande till personuppgiftslagen.
Verksamhet enligt Eurodacförordningen
Som angetts i avsnitt 4.1.7, togs den EU-gemensamma centrala och elektroniska databasen Eurodac i bruk den 15 januari 2003. I den centrala databasen skall fingeravtryck från asylsökande och vissa andra medborgare från tredje land lagras i ett elektroniskt register. Fingeravtryck i databasen skall kunna jämföras med fingeravtryck som överförs från en medlemsstat i syfte att underlätta prövningen av vilken medlemsstat som, enligt Dublinkonventionen eller den EG-förordning som nyligen ersatt konventionen, är ansvarig för att pröva en ansökan om asyl.
Den centrala databasen är placerad i Luxemburg och förvaltas av Europeiska gemenskapernas kommission. För Sveriges del är det Migrationsverket som skall vara den nationella enhet som är uppkopplad till Eurodacsystemet.
Eurodac inrättades genom en EG-förordning nr 2725/2000 antagen av rådet den 11 december 2000 (Eurodacförordningen). Tillämpningsföreskrifter finns i EG-förordningen nr 407/2002, antagen av rådet den 28 februari 2002 (tillämpningsförordningen). Förordningarna innehåller bestämmelser som reglerar hur personuppgifter får behandlas. Bl.a. reglerar den först nämnda förordningen noggrant vilka personuppgifter som får överföras från en
medlemsstat till den centrala databasen, nämligen fingeravtryck och uppgift om kön, hur registrering och lagring skall ske i den centrala databasen, hur jämförelser av uppgifter skall ske samt att blockering och radering av registrerade uppgifter i vissa fall skall ske. Dessa bestämmelser är utformade på olika sätt beträffande skilda kategorier av utlänningar på vilka fingeravtryck skall tas enligt Eurodacförordningen.
Enligt Eurodacförordningen gäller dataskyddsdirektivet för såväl medlemsstaternas som kommissionens behandling av personuppgifter inom ramen för Eurodacsystemet. Medlemsstaterna har ensamma ansvaret för att identifiera och klassificera resultatet av de jämförelser som den centrala enheten har överlämnat samt för att blockera uppgifter om personer som tas emot och erkänns som flyktingar. Eftersom detta ansvar rör det särskilda området bearbetning av personuppgifter och kan inverka på utövandet av individens frihet, har rådet funnit särskilda skäl för att förbehålla sig utövandet av vissa genomförandebefogenheter, särskilt när det gäller antagandet av åtgärder för att garantera personuppgifternas säkerhet och tillförlitlighet.
Medlemsstaterna åläggs enligt Eurodacförordningen ett omfattande ansvar för att personuppgifterna används på ett lagligt sätt och att de skyddas från obehöriga intrång m.m. Dessutom skall staterna ansvara för att en enskild person eller en medlemsstat som lider skada på grund av en otillåten behandling eller ett annat handlande som är oförenligt med Eurodacförordningen ersätts härför. Skadeståndsanspråk mot en medlemsstat skall regleras genom bestämmelser i den nationella lagstiftningen i svarandestaten. Förordningen föreskriver vidare vilken information medlemsstaterna är skyldiga att ge till den enskilde registrerade. Enligt artikel 25 i förordningen skall medlemsstaterna säkerställa att användning av i databasen registrerade uppgifter som strider mot Eurodacs syfte bestraffas på lämpligt sätt.
Tillämpningsförordningen innehåller detaljerade föreskrifter om överföring och jämförelse av uppgifter om fingeravtryck.
Genom Sveriges anslutning till EU har EG-rätten blivit en integrerad del av den svenska rättsordningen. Förordningar tillhör den s.k. sekundärrätten som EG-instutionerna genom de grundläggande fördragen har befogenheter att anta. I artikel 249 i fördraget den 25 mars 1957 om upprättande av Europeiska gemenskapen (Romfördraget) definieras en förordning på följande sätt.
En förordning skall ha allmän giltighet. Den skall till alla delar vara bindande och direkt tillämplig i varje medlemsstat.
En förordning blir automatiskt en del av medlemsstatens nationella rättssystem och gäller enligt sin lydelse på samma sätt som nationella lagar. När en förordning träder i kraft utesluter den tillämpning av nationell lagstiftning som är oförenlig med förordningen. Detta gäller även om den nationella lagstiftningen är av senare datum. En EG-förordning har således företräde framför nationell rätt (se bl.a. Mats Melin och Göran Schäder, EU:s konstitution, Maktfördelningen mellan den europeiska unionen, medlemsstaterna och medborgarna, 3 uppl., 1998 s. 46 f. med där angivna hänvisningar till EG-domstolens domar). Medlemsstaterna får inte vidta nationella implementeringsåtgärder. En förordnings bestämmelser får enligt EG-domstolens praxis inte heller återges i nationell lagstiftning, eftersom detta skulle kunna dölja att de rättigheter som har sitt ursprung i förordningen är av gemenskapsrättslig natur.
Bestämmelser i en förordning torde emellertid få återges i nationell lagstiftning när det är nödvändigt för att den nationella lagstiftningen skall bli begriplig och sammanhållen. Vidare får nationell lagstiftning genomföras, om det uttryckligen krävs enligt en förordning eller underförstått krävs för att en förordning skall få verkan i det nationella rättssystemet. Det kan t.ex. behövas nationell lagstiftning när en förordning förutsätter utfärdande av straffregler för att överträdelse av förordningens bestämmelser skall kunna beivras.
Med hänsyn till det sagda om EG-förordningars direkta tillämplighet får Eurodacförordningens regler om behandling av personuppgifter inte införlivas i utlänningsdatalagen. Behandling av personuppgifter enligt Eurodacsystemet bör därför inte omfattas av utlänningsdatalagens tillämpningsområde.
Eftersom Eurodacförordningen under alla förhållanden gäller före utlänningsdatalagen behövs egentligen ingen uttrycklig bestämmelse om detta i lagen. Enligt lagförslaget skall emellertid bl.a. Migrationsverkets behandling av personuppgifter i verksamhet som gäller utlänningars inresa och vistelse i Sverige omfattas av lagen. Den beskrivningen inrymmer också verksamhet enligt Eurodacsystemet. I förtydligande syfte bör därför personuppgiftsbehandling enligt Eurodacförordningen uttryckligen utelämnas från lagens tillämpningsområde. Att på detta sätt informera om
förekomsten av en EG-förordning är inte någon otillåten nationell implementeringsåtgärd.
En utfyllnad av Eurodacförordningen är kanske påkallad såvitt gäller straffbestämmelse som beivrar överträdelser av Eurodacförordningen. Enligt utredningens mening är det emellertid en fråga som får övervägas i ett annat sammanhang. Detsamma gäller frågan om det behövs en författningsreglering av att Migrationsverket skall vara ansvarig myndighet för den svenska medverkan i Eurodacsystemet.
Slutligen kan nämnas att, när det gäller skadeståndsyrkande från en enskild registrerad, han eller hon möjligen kan åberopa personuppgiftslagens regler om skadestånd. Eurodacförordningen föreskriver ju att dataskyddsdirektivet skall tillämpas i fråga om en medlemsstats behandling av personuppgifter inom ramen för Eurodacsystemet samt att skadeståndsanspråk mot en medlemsstat skall regleras genom bestämmelser i svarandestatens nationella lagstiftning. Personuppgiftslagen är den lag varigenom dataskyddsdirektivet implementerats i svensk rättsordning.
Administration
Av avsnitt 4 har framgått att myndigheterna i datoriserade register behandlar personuppgifter i samband med administrativa angelägenheter vid sidan av den egentliga verksamheten. Även i löpande text, e-post, manuellt hanterade register m.m. kan personuppgifter behöva behandlas i administrativa sammanhang. Vad som avses här är sådan ren administration som saknar koppling till något enskilt ärende eller någon registrerad som omfattas av den egentliga verksamhet som särlagen, enligt vad som sagts i avsnitt 6.2.3.1, bör tillämpas på. Administration i samband med t.ex. utbetalningar av s.k. LMA-ersättningar eller hanteringen av kostnadsersättningar till offentliga biträden hör således till den egentliga verksamhet som omfattas av lagens tillämpningsområde.
Den rena administrationen kan föranleda behandling av personuppgifter om såväl anställda som ledamöter i Utlänningsnämnden eller i Integrationsverkets och Migrationsverkets styrelser. Dessutom kan personuppgifter om utomstående behandlas, t.ex. leverantörer, uppdragstagare eller tolkar.
Enligt utredningens mening ger personuppgiftslagen en tillfredsställande reglering av behandlingen av personuppgifter i denna administrativa verksamhet.
När det gäller anställda och arbetssökande kan anmärkas att dessa omfattas av ett förslag till lag om skydd för personlig integritet i arbetslivet som lämnats av Integritetsutredningen (SOU 2002:18). Lagförslaget är en särlag i förhållande till personuppgiftslagen och syftar till att skydda den personliga integriteten i arbetslivet genom att bl.a. reglera i vilka avseenden arbetsgivare inte får behandla personuppgifter om anställda och arbetssökande. Förslaget bereds för närvarande i Regeringskansliet.
6.2.4. Närmare om vilken behandling som regleras
Som framgått av avsnitt 5.4 föreslås att utlänningsdatalagen skall omfatta såväl helt eller delvis automatiserad behandling av personuppgifter som manuell behandling av personuppgifter i register, dvs. samma behandling som regleras av personuppgiftslagen.
Förutom behandling av personuppgifter i datoriserade ärendehanteringssystem och av personuppgifter som kan sägas ha systematiserats i form av register kommer lagen att omfatta behandling av personuppgifter i bl.a. löpande text med hjälp av ordbehandling i en enskild tjänstemans dator. Lagen blir vidare tillämplig också vid inskanning av dokument samt vid hantering av e-post som rör verksamheten för att ta några exempel. Huruvida lagen blir tillämplig på manuellt hanterade personakter, dossierer, som används av Migrationsverkets, är beroende av om dessa är att betrakta som register eller inte.
Vad som avses med behandling respektive personuppgifter framgår av 3 § personuppgiftslagen. Där sägs att med begreppet behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet utgör en personuppgift. Här kan nämnas att utredningen inte funnit anledning att utsträcka lagens tillämpningsområde att omfatta också uppgifter om avlidna.
Det hindrar naturligtvis inte att myndigheterna i praktiken följer lagens eller personuppgiftslagens bestämmelser när uppgifter om avlidna behandlas.
6.3. Förhållandet till personuppgiftslagen
Utredningens förslag: Personuppgiftslagen skall gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, om inte annat följer av utlänningsdatalagen eller annars av 2 § personuppgiftslagen. I klargörande syfte anges detta uttryckligen i den nya lagen.
Personuppgiftslagen innehåller vissa definitioner och grundläggande förutsättningar för när behandling av personuppgifter är tillåten. I lagen finns vidare bl.a. bestämmelser om information till den registrerade, om säkerhet vid behandlingen, om rättelse av uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen och om skadestånd. Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter och gäller i verksamhet enligt utlännings- och medborgarskapslagstiftningen i den mån det inte finns avvikande bestämmelser i lag eller förordning.
Den föreslagna utlänningsdatalagen innehåller – som kommer att framgå i det följande – bestämmelser som avviker från personuppgiftslagen. En övergripande fråga vid utformningen av utlänningsdatalagen är därför hur den lagtekniskt bör förhålla sig till personuppgiftslagen.
I de särförfattningar om behandling av personuppgifter som trätt i kraft eller föreslagits i anledning av personuppgiftslagens införande kan i huvudsak tre modeller för förhållningssättet till personuppgiftslagen urskiljas.
En modell är att i särförfattningen antingen inte nämna personuppgiftslagen eller klart ange att den särskilda författningen gäller utöver personuppgiftslagen. I bägge fallen gäller avvikande bestämmelser i författningen i stället för personuppgiftslagen. När reglering saknas i den särskilda författningen är personuppgiftslagens bestämmelser tillämpliga. Modellen, här kallad den kompletterande modellen, är den hittills vanligaste förekommande och tillämpas bl.a. i polisdatalagen (1998:622). En nackdel med modellen, som framförts bl.a. i Registerförfattningsutredningens betänkande Skatt
– Tull – Exekution – Normer för behandling av personuppgifter, (SOU 1999:105 s. 204), är att det är svårt för tillämparen att klart och tydligt se vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i särlagen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagen.
En annan modell, som föreslagits av Polisdatautredningen i dess förslag till en ny polisdatalag i betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92 s. 152), innebär att de bestämmelser i personuppgiftslagen som skall vara tillämpliga upprepas i särförfattningen. Personuppgiftslagen gäller över huvud taget inte för den behandling av personuppgifter som regleras genom författningen enligt denna modell, som här kallas den heltäckande modellen. Den heltäckande modellen har föreslagits i anledning av den kritik som inom polisen riktats mot att den nuvarande polisdatalagen utgör ett komplement till personuppgiftslagen. Enligt kritiken är det för lagtillämparen opraktiskt att arbeta med två olika lagar. Den heltäckande modellen berördes något av regeringen i propositionen Polisens register som föregick den nu gällande polisdatalagen. Enligt regeringen skulle systemet med denna lagstiftningsteknik bli tungrott varför en sådan dubbelreglering borde undvikas (prop. 1997/98:97 s. 97).
En tredje modell, den hänvisande modellen, tillämpas i den lagstiftning om behandling av personuppgifter som gäller inom skatteförvaltningen, exekutionsväsendet och Tullverket. Modellen innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i specialförfattningen och att det anges att författningen gäller i stället för personuppgiftslagen om inte annat sägs i författningen. Därefter anges uttryckligen vilka bestämmelser i personuppgiftslagen som skall gälla för behandling av personuppgifter enligt särförfattningen i fråga (se t.ex. 2 och 3 §§ lagen (2001:181) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet). Modellen tillämpas även av Domstolsdatautredningen i dess förslag till lagar om behandling av personuppgifter i domstolars samt hyres- och arrendenämnders verksamhet (SOU 2001:100). Modellen har emellertid ansetts otillfredsställande av Lagrådet i dess yttrande i lagstiftningsärendet som gällde skatteförvaltningen m.m. Lagrådet ansåg bl.a. att lagstiftningstekniken är riskfylld med hänsyn till såväl svårigheterna att överblicka om dataskyddsdirektivet blir till fullo genomfört i särlagarna som till möjligheten att hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga vid kommande lagändringar (se prop.
2000/01:33 s. 345 f.). I samma lagstiftningsärende anförde regeringen till stöd för att ändå välja den hänvisande modellen att lagen för tillämparen blir överskådlig och tydlig och att lagen undanröjer en hel del merarbete som det innebär för tillämparen att gå igenom särlagen och personuppgiftslagen parallellt och därvid jämföra olika bestämmelser. Enligt regeringen medför modellen även överskådlighet för den enskilde, som därmed lättare kan utnyttja de rättigheter som tillerkänns denne ( a. prop. s. 88).
Som framgått av redovisningen i det föregående är samtliga förekommande lagstiftningstekniska modeller förenade med vissa nackdelar. Utredningen har emellertid inte sett det som möjligt att föreslå en fjärde modell som eliminerar dessa nackdelar. Någon av de nämnda varianterna bör därför väljas.
I utredningens direktiv har regeringen antytt att en lagstiftningsteknisk lösning som förhåller sig kompletterande till personuppgiftslagen är att föredra. Regeringen har i direktiven anfört att särlagstiftning i förhållande till personuppgiftslagen bör begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen. Enligt direktiven kan det handla om situationer då personuppgiftslagens mer allmänt hållna bestämmelser ger upphov till tolkningsproblem i förhållande till annan lagstiftning eller att det kan finnas anledning att vara särskilt tydlig med att ange de undantag och preciseringar som är motiverade.
Som nämnts i avsnitt 5.3 sker en övervägande del av den behandling av personuppgifter som föreslås regleras genom lagen – inte minst den mest integritetskänsliga – i verksamhet som omfattas av gemenskapsrätten. Det är därför uteslutet att föreslå bestämmelser som innehåller otillåtna avvikelser från vad dataskyddsdirektivet föreskriver. Lagrådets påpekande att den hänvisande modellen gör det svårt att överblicka om dataskyddsdirektivet – som i Sverige genomförts genom personuppgiftslagen – blir till fullo genomfört i särlagen är därför särskilt beaktansvärt i fråga om utlänningsdatalagen. Av samma skäl framstår även en heltäckande lag som gäller i stället för personuppgiftslagen som ett mindre lämpligt val.
De problem för tillämparen eller den enskilde registrerade som kan följa på att två lagar är parallellt tillämpliga bör inte överbetonas. Problemen torde åtminstone delvis hänga samman med att personuppgiftslagen alltjämt är en ny lag som i sig själv inte är så enkel att tillämpa, inte minst därför att den, till skillnad från den tidigare datalagen, gäller för all automatiserad behandling av personuppgifter och inte bara behandling i registerform. Efter hand
som personuppgiftslagen tillämpas och kunskap om lagen inarbetas i förvaltningen och hos allmänheten torde tillämpningssvårigheterna med en kompletterande lagstiftningsteknik vara av övergående natur. I vart fall uppväger fördelarna med de heltäckande och hänvisande modellerna inte de nackdelar som dessa modeller är förenade med.
Det kan här erinras om att personuppgiftslagen för närvarande är föremål för översyn av Personuppgiftslagsutredningen i syfte att, inom ramen för dataskyddsdirektivet, bl.a. åstadkomma ett regelverk som lättar personuppgiftslagens hanteringsregler genom införande av bestämmelser som mera tar sikte på att förhindra missbruk av personuppgifter. Utredningen skall redovisas senast den 31 mars 2003 (dir. 2002:31). Inom en inte alltför avlägsen framtid kan det således ske ändringar i personuppgiftslagen som medför just sådana risker för felaktiga eller missvisande hänvisningar i särlagar som Lagrådet påtalat.
Sammanfattningsvis talar således övervägande skäl för att utlänningsdatalagen lagstiftningstekniskt skall utformas i enlighet med den kompletterande modellen. Detta innebär t.ex. att de begrepp som används i den nya lagen, t.ex. “personuppgift”, “behandling” m.m. har den innebörd som framgår av definitioner i 3 § personuppgiftslagen utan att detta särskilt behöver anges. Även 9 § personuppgiftslagen om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter gäller också då personuppgifter behandlas enligt utlänningsdatalagen. Utredningen återkommer i det följande till vad den valda modellen innebär i förhållande till personuppgiftslagen och vilka ytterligare bestämmelser i personuppgiftslagen som skall tillämpas vid behandling som regleras av utlänningsdatalagen.
Att i lagen uttryckligen ange att utlänningsdatalagen gäller utöver personuppgiftslagen innebär inte någon saklig skillnad gentemot vad som skulle gälla även utan en sådan bestämmelse. Det har dock ett pedagogiskt värde att i lagen klargöra hur lagen förhåller sig till personuppgiftslagen. Det bör även genom en hänvisning till 2 § personuppgiftslagen klargöras att avvikande bestämmelser i lag eller förordning, t.ex. i sekretesslagen, gäller även vid behandling av personuppgifter enligt utlänningsdatalagen. En bestämmelse härom bör därför tas in i den nya lagen.
6.4. Personuppgiftsansvar
Utredningens förslag: Migrationsverket bör även i fortsättningen vara personuppgiftsansvarigt för den behandling av personuppgifter som företas av Integrationsverket och utlandsmyndigheterna i samband med ärendehantering. I övrigt skall den myndighet som utför en behandling eller som det åligger att utföra en behandling vara personuppgiftsansvarig för behandlingen.
Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas av flera.
Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (23–27 §§personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).
Vem som är personuppgiftsansvarig för en viss behandling får avgöras efter en bedömning av de faktiska omständigheterna i det enskilda fallet. I lag eller förordning kan emellertid i stället bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse tar nämligen över regleringen i personuppgiftslagen.
När det gäller särreglering i förhållande till personuppgiftslagen av myndigheters behandling av personuppgifter anges oftast direkt i specialförfattningen vem som är personuppgiftsansvarig, se t.ex. 4 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården eller 1 § lagen (1998:543) om hälsodataregister. Det förekommer också att frågan om personuppgiftsansvar inte berörs i särlagen. Ett exempel härpå är lagen (1998:544) om vårdregister. En variant är vidare att frågan om personuppgiftsansvar inte berörs i särlagen utan i stället i en förordning som utfärdas i anslutning till lagen, se lagen (2001:454) om behandling av personuppgifter inom
socialtjänsten samt förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.
Som kommer att framgå av avsnitt 6.5 föreslås att de ändamål för vilka behandling av personuppgifter får ske lagregleras. Dessutom kommer att föreslås att regeringen skall få föreskriva vissa begränsningar i fråga om ändamål och vilka slags personuppgifter som får behandlas. Det kan därför förefalla tveksamt huruvida en myndighet i fråga har ett sådant inflytande över ändamålen med behandlingen att myndigheten blir att anse som personuppgiftsansvarig enligt personuppgiftslagens regler (jfr Lagrådets yttrande över förslaget till lag om hälsodataregister, prop. 1997/98:108 s. 125). För att undanröja all osäkerhet på denna punkt bör därför personuppgiftsansvaret regleras i utlänningsdatalagen.
När det gäller myndigheter är det en rimlig utgångspunkt att en myndighet i princip skall kunna ha personuppgiftsansvaret för sådan behandling av personuppgifter som sker inom ramen för myndighetens verksamhet. Ett delat personuppgiftsansvar mellan myndigheter, dvs. att flera myndigheter är ansvariga för samma behandling av personuppgifter oavsett vem som faktiskt har utfört den, framstår som olämpligt och förekommer inte heller i andra särförfattningar. Den nuvarande ordningen enligt 2 § utlänningsdataförordningen att Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna är personuppgiftsansvariga för den behandling av personuppgifter som den egna myndigheten utför bör således bestå. Dessutom bör av den nya lagen framgå att personuppgiftsansvaret inte bara omfattar varje faktisk behandling av personuppgifter som företas vid myndigheten utan även all behandling som det åligger myndigheten att utföra. En underlåtenhet att t.ex. avskilja inaktuella personuppgifter på föreskrivet sätt, se avsnitt 6.15, täcks alltså av personuppgiftsansvaret.
Enligt 2 § utlänningsdataförordningen gäller vidare att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som Integrationsverket eller en utlandsmyndighet utför. För denna ordning talar att det är Migrationsverket som utvecklat och tillhandahåller de tekniska datorsystem med hjälp av vilka Integrationsverket inom ROSE-systemet och utlandsmyndigheterna med ärendehanteringssystemet Wilma eller Almasystemet utför behandling av personuppgifter inom verksamheten (se om systemen i avsnitten 4.1.1.2 och 4.1.3). När det gäller utlandsmyndigheterna tillkommer att deras handläggning av ärenden om visering, arbetstillstånd och uppehållstillstånd sker efter bemyndigande från
Migrationsverket. Samma personuppgifter som Integrationsverket behandlar genom ROSE eller som utlandsmyndigheter behandlar och registrerar i Wilma lagras senare i Migrationsverkets STAMMbas; en lagring som torde anses utföras av Migrationsverket.
Myndigheterna ingår emellertid inte i någon gemensam myndighetsorganisation och Migrationsverket har inte någon överordnad ställning i förhållande till vare sig Integrationsverket eller utlandsmyndigheterna. Enligt vad Migrationsverket framhållit har verket haft vissa svårigheter att i praktiken utöva den kontroll och det inflytande som personuppgiftsansvaret kräver. Bl.a. gäller detta kontrollen över säkerheten vid Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter. Den behandling av personuppgifter som utlandsmyndigheterna utför och som sker efter det att Migrationsverket lämnat ut personuppgifter på en CDromskiva (Almasystemet), har verket inte någon möjlighet att spåra eller, i förekommande fall, rätta. Detsamma gäller Integrationsverkets behandling av personuppgifter utanför ROSE-systemet, t.ex. i de uppföljnings- och statistikregister som beskrivits i avsnitt 4.3. Den behandlingen har Migrationsverket stora svårigheter att kontrollera trots att behandlingen enligt utlänningsdataförordningen sker under Migrationsverkets personuppgiftsansvar.
Det sagda talar för att personuppgiftsansvaret regleras på så sätt att även Integrationsverket och utlandsmyndigheterna bär personuppgiftsansvaret för den behandling av personuppgifter som den egna myndigheten utför.
För den enskilde är det emellertid till fördel med en bestämmelse om personuppgiftsansvar som inte medför risker för att en utredning och bedömning i efterhand måste göras i fråga om vilken av flera alternativa myndigheter som faktiskt har utfört en viss behandling. Vid en reglering som utgår från den faktiska behandlingen kan nämligen en enskild råka i en situation där både Migrationsverket och Integrationsverket respektive utlandsmyndigheterna på olika sätt behandlat personuppgifter som rör honom eller henne. Personuppgiftsansvaret, som han eller hon vill göra gällande, skulle under denna process ha kunnat vandra mellan myndigheterna på ett sätt som kanske inte alltid är så lätt att klarlägga. Risken härför undanröjs med en regel som oberoende av de faktiska förhållandena anger en av myndigheterna som ansvarig för behandlingen.
Den enskildes möjligheter att på ett okomplicerat och smidigt sätt göra personuppgiftsansvaret gällande är en viktig del av det
integritetsskydd som dataskyddsdirektivet och personuppgiftslagen syftar till att säkerställa. Trots de nackdelar med ett fortsatt personuppgiftsansvar för Migrationsverket som ovan angetts, talar alltså den enskildes intresse för att den nuvarande ordningen behålls i vart fall när det gäller sådan verksamhet som ofta inbegriper såväl Migrationsverket som Integrationsverket respektive utlandsmyndigheterna.
Migrationsverkets personuppgiftsansvar för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter bör i enlighet härmed kunna begränsas till behandling för ändamålet att handlägga eller medverka vid handläggning av ärenden. För Integrationsverkets del innebär det sagda att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som föranleds av Integrationsverkets handläggning av ersättningsärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. men inte för Integrationsverkets behandling av personuppgifter i den övriga verksamhet verket bedriver och som enligt vad som anges i avsnitt 6.2.3.1 omfattas av utlänningsdatalagens tillämpningsområde. För den behandlingen är Integrationsverket självt personuppgiftsansvarigt. Vad gäller utlandsmyndigheterna är emellertid all deras behandling av personuppgifter som regleras av utlänningsdatalagen underkastad Migrationsverkets personuppgiftsansvar.
För att råda bot på de problem i utövandet av personuppgiftsansvaret som Migrationsverket framfört till utredningen, bör personuppgiftsansvaret förenas med ett bemyndigande för regeringen att i förordning delegera till Migrationsverket att meddela föreskrifter för Integrationsverket och utlandsmyndigheterna om säkerhetsåtgärder till skydd för personuppgifter som behandlas. Sådana åtgärder kan bl.a. avse åtkomstbehörighet, se närmare om bemyndigandet i avsnitt 6.18.6.
6.5. När personuppgifter får behandlas och ändamål
Utredningens förslag: Personuppgifter får samlas in och behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen anges i lagen. En personuppgift presumeras vara insamlad för samtliga föreslagna ändamål.
6.5.1. Allmänt om när personuppgifter får behandlas enligt personuppgiftslagen
I 9 § personuppgiftslagen finns bestämmelser om grundläggande krav på behandling av personuppgifter som en personuppgiftsansvarig alltid måste uppfylla. Den registrerade kan inte med rättslig verkan ge sitt samtycke till att personuppgifter behandlas i strid mot paragrafen.
Enligt 9 § första stycket skall den personuppgiftsansvarige se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen samt i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Dessa bestämmelser är enligt förarbetena avsedda att ha samma innebörd som artikel 6 i dataskyddsdirektivet (se prop. 1997/98:44 s. 63).
Andra, tredje och fjärde styckena i 9 § personuppgiftslagen gäller uteslutande behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Enligt andra stycket skall vid en prövning enligt 9 § första stycket d) behandling av insamlade personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I tredje stycket anges att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än vad som gäller som huvudregel enligt första stycket i), dock inte längre än vad som behövs för dessa ändamål. Vidare får, enligt fjärde stycket, personuppgifter som behandlas för dessa särskilda ändamål användas för att vidta åtgärder i fråga om den registrerade, bara om den registrerade har lämnat sitt uttryckliga samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
För att en viss behandling skall vara laglig krävs det inte bara att behandlingen utförs i enlighet med de grundläggande kraven i 9 §. Behandlingen måste också kunna hänföras till något av de fall som anges i 10 §. Det är således bara i de fall som anges i 10 § som det över huvud taget är tillåtet att behandla personuppgifter. Enligt bestämmelsen får personuppgifter behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för vissa angivna ändamål, bl.a. för att en arbetsuppgift av allmänt intresse skall kunna utföras (d) eller den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning (f).
Avser behandlingen känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer, måste behandlingen dessutom vara förenlig med bestämmelserna i 13–22 §§. Innebär behandlingen att personuppgifter förs över till tredje land, måste också 33–35 §§ följas.
6.5.2. Allmänt om ändamål
Av 9 § första stycket personuppgiftslagen framgår att bestämning av ändamålen med behandling av personuppgifter är av central betydelse för lagens regelverk till skydd för den registrerades personliga integritet. Enligt en kommentar till personuppgiftslagen är den s.k. finalitetsprincipen i 9 § första stycket d) – att personuppgifter inte senare får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in – förmodligen den viktigaste bestämmelsen i personuppgiftslagen (Sören Öman – Hans-Olof Lindblom, Personuppgiftslagen En kommentar, andra uppl. 2001, s. 98). Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna finns angivna redan då personuppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns varken i dataskyddsdirektivet eller i personuppgiftslagen. Som nyss nämnts är dessutom behandling av insamlade personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte att anse som oförenlig med ändamål för vilka uppgifterna samlades in.
Det finns alltså ett visst, begränsat utrymme att behandla personuppgifter för ett nytt ändamål som inte angetts vid insamlingen,
nämligen om det nya ändamålet inte är oförenligt med de ursprungliga ändamålen. Datalagskommittén har i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 351) uttalat att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen eller Datainspektionen kan utfärda. Någon utvecklad praxis eller närmare föreskrifter i denna fråga finns emellertid inte ännu.
Vad som kan anses förenligt med ett ursprungligt ändamål har diskuterats i tidigare lagstiftningsärenden av främst Socialdatautredningen i dess betänkande Behandling av personuppgifter inom socialtjänsten (SOU 1999:109 s. 160). Enligt Socialdatautredningen bör man vid denna “oförenlighetsprövning” hypotetiskt utgå från hur en registrerad typiskt sett – inte den registrerade i det enskilda fallet – skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet.
En tillämpning av personuppgiftslagen innebär att den personuppgiftsansvarige formulerar och bestämmer de ändamål för vilka personuppgifter får behandlas. Från integritetssynpunkt är det emellertid, enligt utredningens uppfattning, inte tillfredsställande att låta myndigheterna själva bestämma ändamålen för den behandling av personuppgifter som utförs i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Ändamålsbestämningens centrala betydelse för integritetsskyddet gör att principiella skäl med styrka talar för att lagstiftaren i den särlag som föreslås gälla på området uttryckligen bestämmer ändamålen för behandlingen i verksamheten. Här kan erinras om vad som tidigare redovisats (avsnitt 5.2) angående riksdagens och regeringens ståndpunkt att omfattande och integritetskänsliga myndighetsregister skall regleras särskilt i lag. Ändamålsbestämningen torde vara av just så betydelsefull beskaffenhet att den i linje med statsmakternas ståndpunkt bör regleras i lag, inte minst eftersom – vilket kommer att framgå i det följande – undantag från personuppgiftslagens förbud mot behandling av känsliga personuppgifter föreslås.
Mot denna bakgrund föreslår utredningen att utlänningsdatalagen innehåller en bestämmelse som anger för vilka ändamål personuppgifter får samlas in och behandlas. En sådan bestämmelse blir uttömmande i den meningen att de personuppgiftsansvariga
myndigheterna inte själva kan besluta om ytterligare ändamål för vilket eller vilka personuppgifter får samlas in.
6.5.3. Utlänningsdatalagens ändamålsbestämning
6.5.3.1 Allmänt om ändamålsbestämningen
Utredningens förslag till ändamålsbestämmelse innebär preciseringar i förhållande till bestämmelsen i 9 § första stycket c) personuppgiftslagen som därmed ersätts av utlänningsdatalagens ändamålsbestämmelse. I övrigt gäller de grundläggande kraven i paragrafens första stycke liksom bestämmelserna i paragrafens andra–fjärde stycken. (Utredningen återkommer i avsnitt 6.15 till vad som föreslås gälla i förhållande till bestämmelsen i 9 § första stycket i) och tredje stycket om bevarande av personuppgifter.)
Det bör noteras att utlänningsdatalagens ändamålsbestämmelse inte utesluter att behandling sker i den mån den har stöd av annan författning. Behandling kan således ske av insamlade personuppgifter för ett ändamål som inte är oförenligt med de ändamål som preciseras i utlänningsdatalagen. Vidare kan självfallet handlingar lämnas ut med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen. I 8 § personuppgiftslagen – som gäller också vid behandling enligt utlänningsdatalagen – erinras om tryckfrihetsförordningens företräde i detta avseende. Dessutom anges i sistnämnda paragrafs andra stycke att personuppgiftslagen inte hindrar myndigheternas arkivering och bevarande av allmänna handlingar respektive arkivmyndigheternas omhändertagande av arkivmaterial. Även andra avvikande bestämmelser i lag och förordning gäller före utlänningsdatalagen. Det framgår uttryckligen av utlänningsdatalagens hänvisning till 2 § personuppgiftslagen i den bestämmelse som närmare preciserar lagens förhållande till personuppgiftslagen, se avsnitt 6.3. Även utlänningsdatalagen är alltså subsidiär i förhållande till andra författningar. Vad detta har för betydelse när det gäller myndigheternas utlämnande till annan av personuppgifter behandlas i avsnitt 6.5.3.2. En avvikande regel i en annan speciallag som rör behandling av personuppgifter tar emellertid inte över utlänningsdatalagen. Det får anses följa av principen om att lex specialis har företräde. I de två fall då sådana avvikande speciallagar skall gälla före utlänningsdatalagen, nämligen i fråga om polis-
datalagen och lagen om Schengens informationssystem, anges det därför uttryckligen i den föreslagna lagen.
Lagens ändamålsbestämmelser bör vara fakultativa i den bemärkelsen att de reglerar vad myndigheterna får göra. Syftet med ändamålsbestämmelserna är alltså att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av utlänningsdatalagen och personuppgiftslagen. Inom denna ram står det den personuppgiftsansvariga myndigheten fritt att bestämma mer inskränkta ändamål för viss behandling eller vissa personuppgiftskategorier. Myndigheten får således och bör även vid t.ex. inrättandet av ett nytt register formulera mer preciserade ändamål för registret. Exempelvis kan det föreskrivas att registret endast får användas till stöd för handläggningen av en viss ärendetyp likväl som att endast uppgifter om vissa personkategorier eller vissa personuppgiftskategorier får registreras däri.
Enligt utredningen bör det föreskrivas i utlänningsdatalagen att personuppgifter får behandlas för de i lagen angivna ändamålen endast om det är nödvändigt. Kan en arbetsuppgift lösas även om personuppgiften utelämnas eller avidentifieras är behandlingen inte nödvändig. Vidare skall det vara nödvändigt att behandla personuppgifterna på ett sätt som omfattas av lagens tillämpningsområde, dvs. genom helt eller delvis automatiserad behandling eller i manuellt behandlade register. Det krävs dock inte att det skall vara faktiskt omöjligt att utföra en uppgift enligt något ändamål utan att behandla personuppgifterna automatiserat eller i register. Det räcker att det innebär en påtaglig förenkling att personuppgifter behandlas automatiserat eller i register i stället för manuellt utanför register. Avsikten är att utlänningsdatalagens nödvändighetsrekvisit skall förstås på samma sätt som motsvarande rekvisit i 10 § personuppgiftslagen. Prövning av om en behandling är nödvändig måste göras inte bara då en personuppgift samlas in och registreras. Även senare behandlingar skall vara nödvändiga, t.ex. fortsatt lagring av personuppgiften i ett datasystem eller behandling för uppföljning, framställning av statistik m.m.
I allmänhet gäller att det finns behov av att behandla samma personuppgifter för flera av ändamålen. Migrationsverket, som bedriver den mest omfattande och mångsidiga verksamheten inom utlänningsdatalagens tillämpningsområde, har inte sällan behov av att behandla samma personuppgifter för samtliga ändamål. Vid tidpunkten då en personuppgift samlas in, står det dock ofta inte klart för vilka övriga ändamål än det för stunden aktuella som den
enskilda uppgiften senare kan komma att behöva behandlas. Av lagen bör därför framgå att personuppgifterna skall anses insamlade för alla i utlänningsdatalagen angivna ändamål, om inte annat anges då en personuppgift samlas in, t.ex. i information som lämnas till den registrerade. Även om uppgiften ursprungligen, såsom i praktiken ofta är fallet, inhämtats i samband med handläggningen av ett ärende, får uppgiften alltså senare behandlas för andra i lagen angivna ändamål, givetvis under förutsättning att behandlingen är nödvändig för dessa ändamål.
Förslaget att i lagen ange bestämda ändamål begränsar myndigheternas behandlingsutrymme vilket, som tidigare sagts, är motiverat av hänsyn till enskildas personliga integritet. Som nyss sagts gäller dock 9 § första stycket d) och andra stycket personuppgiftslagen även vid behandling enligt utlänningsdatalagen. Personuppgifter som redan finns i verksamheten får alltså behandlas för andra ändamål än de som uttryckligen anges i utlänningsdatalagen, om de nya ändamålen är förenliga med de tidigare ändamålen. Det innebär att ett nytt ändamål måste vara förenligt med i vart fall ett av lagens angivna ändamål eller, såvida ändamålen vid insamlingen av personuppgifterna har begränsats till endast några av ändamålen, med i vart fall ett av dessa särskilt angivna insamlingsändamål. Enligt utredningens mening framgår detta av personuppgiftslagen och dataskyddsdirektivet. Det behöver därför inte särskilt anges i utlänningsdatalagen.
Vid bedömningen av vad som skall anses förenligt eller oförenligt med insamlingsändamålen får ledning hämtas från den praxis m.m. som kan utvecklas i anslutning till oförenlighetsprövningen enligt 9 § första stycket d) personuppgiftslagen.
Insamlade personuppgifter får också behandlas för historiska, statistiska eller vetenskapliga ändamål. Behandling för forskningsändamål av tidigare insamlade personuppgifter får således ske enligt utlänningsdatalagen utan att det behöver anges som ett särskilt ändamål. Eftersom de aktuella myndigheternas arkivering och bevarande av allmänna handlingar är undantagen från lagens tillämpningsområde enligt 8 § personuppgiftslagen, torde behandling för historiska ändamål endast undantagsvis kunna bli aktuell inom utlänningsdatalagens tillämpningsområde och enbart kunna avse handlingar som inte är allmänna.
Givetvis skall behandling för ett nytt ändamål eller för historiska, statistiska eller vetenskapliga ändamål vara nödvändig.
6.5.3.2 De särskilda ändamålen
Av dataskyddsdirektivet följer ett krav på att ändamålen skall vara särskilda. Det ligger emellertid i sakens natur att ändamålsbestämmelser måste formuleras tämligen generellt när det som i detta fall gäller en särlag som reglerar flera myndigheters behandling av personuppgifter i en så omfattande och mångskiftande verksamhet som här är i fråga. Utredningen bedömer dock att de föreslagna ändamålen uppfyller direktivets krav på att vara särskilda, genom att de ger tillämparen tillräcklig ledning för bedömningen av vilka personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen.
Nedan följer en närmare beskrivning av de ändamål för vilka personuppgifter skall få behandlas enligt utredningens förslag. I praktiken flyter ändamålen ibland in i varandra i det att en och samma behandling av personuppgifter kan ske för mer än ett ändamål.
Handläggning av ärenden eller en myndighets biträde i sådana ärenden
Det är självklart att myndigheterna skall få inhämta och behandla uppgifter som är nödvändiga för att de skall kunna fullgöra sina uppgifter att handlägga ärenden enligt de författningar som omfattas av lagens verksamhetsområde såsom detta närmare preciseras i avsnitt 6.2.3.1 och i författningskommentaren, avsnitt 9.
Det bör noteras att en i ett ärende lämnad uppgift kan få behandlas såsom nödvändig för handläggningen av ett ärende även om uppgiften saknar all relevans för utgången av ärendet. En myndighet kan t.ex. inte underlåta att ta emot och registrera en via e-post inkommen handling som hänför sig till ett eller flera ärenden bara därför att myndigheten anser att uppgifterna i handlingen sakligt sett inte behövs för ärendets handläggning. Formella handläggningsregler i andra författningar kan således göra en behandling av sakligt sett irrelevanta personuppgifter nödvändig. Exempelvis är myndigheterna skyldiga att ta emot och registrera inkomna handlingar. Likaså finns regler om anteckningsskyldighet, parts rätt att ta del av det som har tillförts ärendet samt kommunikationsplikt i förvaltningslagen (1986:223) som i sig alltså kan medföra att personuppgifter måste behandlas.
Ändamålet handläggning av ärenden bör tolkas i en tämligen vidsträckt bemärkelse. Förutom att ge stöd åt insamling och senare behandling av personuppgifter som är nödvändiga i ett ärende, medger ändamålet att de lagrade uppgifterna behandlas i ett senare ärende som rör samma person eller en annan person men där den registrerade förekommer såsom t.ex. anhörig eller referensperson.
Det föreslagna ändamålet avser dock endast behandling av personuppgifter som behövs för den egna myndighetens verksamhet. Utlämnande av personuppgifter från t.ex. Migrationsverket till utlandsmyndigheterna för att de senare skall få underlag för sin ärendehantering, omfattas således inte av detta ändamål. Ett utlämnande av personuppgifter som sker för att få ytterligare information som behövs i ett eget ärende, t.ex. i samband med en begäran om yttrande, innefattas däremot i ändamålet handläggning av ärenden.
Utöver egen handläggning bör lagen också ge stöd åt behandling av personuppgifter i den medverkan med utredning i en utlänningsmyndighets handläggning av utlännings- och medborgarskapsärenden som utlandsmyndigheter utför och som närmare beskrivits i betänkandet Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110). Detsamma gäller polisens behandling av personuppgifter i de fall polismyndighet bistår Migrationsverket med att genomföra beslut om förvar.
Merparten av personuppgifterna i de i avsnitt 4 beskrivna uppgiftssamlingarna behandlas för ändamålet att handlägga ärenden i verksamhet enligt utlännings- och medborgarskapslagstiftningen. System såsom STAMM, dokumenthanteringssystemet DHS, ärendehanteringssystemen Wilma och Alma, UNik och ROSE har som sina huvudsakliga ändamål att samla och tillhandahålla information som behövs för handläggning av ärenden.
Kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige
Härmed avses den utlänningskontroll som företas av polisen samt Migrationsverket i enlighet med 5 kap. utlänningslagen och 5 kap. utlänningsförordningen. I kontrollverksamheten behandlas personuppgifter i en icke ringa utsträckning. Migrationsverkets STAMMbas används t.ex. för kontrolländamål av både Migrationsverket och polisen. Som nämnts i avsnitt 6.2.2, torde polisens behandling av personuppgifter för detta ändamål i stor utsträckning omfattas av
polisdatalagens bestämmelser. Migrationsverket deltar emellertid i såväl den yttre som den inre utlänningskontrollen. Det behövs därför ett ändamål som omfattar båda kontrollformerna.
Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar
Vid Migrationsverkets regionkontor och mottagningsförläggningar bedrivs en omfattande s.k. faktisk verksamhet kring ombesörjandet av boende och sysselsättning för asylsökande och andra utlänningar. Med asylsökande och andra utlänningar avses utlänningar som omfattas av lagen om mottagande av asylsökande m.fl. Även verkets faktiska verksamhet med att överföra och ta emot kvotflyktingar omfattas av detta ändamål. Integrationsverket kan vidare med stöd av detta ändamål behandla personuppgifter för att hjälpa en utlänning med bosättning efter erhållet uppehållstillstånd. Ändamålet gör det således möjligt att behandla personuppgifter i den verksamhet som nämnts i avsnitt 6.3.1 och som avser mottagande av asylsökande och andra utlänningar samt bosättning av utlänningar.
Det i STAMM-basen ingående delsystemet Mottagning avser behandling av personuppgifter för ändamål som anges i denna punkt (se avsnitt 4.1.1). Daganteckningar beträffande inskrivna asylsökande, som görs av personal på mottagningsförläggningar, är exempel på behandling av personuppgifter för detta ändamål.
Kvotsystemet är ett annat delsystem där information som behandlas för detta ändamål registreras och lagras. Vissa delsystem, t.ex. Individ och Kort, torde användas för överlappande syften, dvs. såväl för ändamål som avses i detta avsnitt som för handläggningsändamål.
Uppgiftsutlämnande som sker med stöd av lag eller förordning, följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation (Uppgiftsutlämnande)
Personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen lämnas i olika sammanhang ut till en myndighet eller en enskild för syften som inte gäller den utlämnande
myndighetens egen verksamhet utan som sker för mottagarens räkning. Vid ändamålet handläggning av ärenden har det fallet berörts att Migrationsverket lämnar ut personuppgifter till utlandsmyndigheter, uppgifter som de mottagande myndigheterna behöver som underlag för sin ärendehandläggning. Många andra skäl till att uppgifter lämnas ut för mottagarens räkning finns givetvis.
Utlämnande av personuppgifter i offentliga, allmänna handlingar i enlighet med tryckfrihetsförordningen kan ske utan att det behöver anges som ett särskilt ändamål för vilket behandlingen är tillåten. Detta följer av 8 § personuppgiftslagen.
Det finns vidare en rad olika författningar som föreskriver att myndigheter skall lämna ut uppgifter till andra myndigheter. Som exempel på sådana specifika bestämmelser om uppgiftsskyldighet kan nämnas de uppgifter som Migrationsverket eller Integrationsverket skall lämna till Centrala studiestödsnämnden enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar och enligt studiestödsförordningen (2000:655) samt vidare yttranden som Migrationsverket skall avge enligt 9 § förordningen (1963:194) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. och enligt 2 § lagen (1971:796) om internationella rättsförhållanden rörande adoptioner. Av 2 § personuppgiftslagen, som är tillämplig i verksamhet enligt utlännings- och medborgarskapslagstiftningen, följer att personuppgiftslagen och utlänningsdatalagen inte hindrar utlämnande av personuppgifter enligt sådan författningsreglerad uppgiftsskyldighet som här avses.
Vidare skall enligt 15 kap. 5 § sekretesslagen en myndighet på begäran av annan myndighet lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223). Bestämmelsen i 15 kap. 5 § sekretesslagen nämns i en kommentar till personuppgiftslagen som exempel på en sådan bestämmelse som gäller före personuppgiftslagen till följd av 2 § personuppgiftslagen (se Sören Öman – Hans-Olof Lindblom, Personuppgiftslagen En kommentar, andra uppl. 2001, s. 45).
Som framgått tidigare är det ingen förutsättning att ett särskilt ändamål som omfattar utlämnandet tas in i utlänningsdatalagen för att ett utlämnande med stöd av en bestämmelse som föreskriver en
skyldighet att lämna ut uppgifter till andra myndigheter eller enskilda skall kunna ske.
Det finns emellertid även regler som tillåter eller medger att uppgifter lämnas ut. Ett exempel är den s.k. generalklausulen i 14 kap. 3 § sekretesslagen (1980:100) enligt vilken sekretessbelagd uppgift får lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. I sekretesslagen finns även flera bestämmelser som anger att uppgifter utan hinder av sekretess får lämnas till enskild. Även sådana bestämmelser torde gälla före personuppgiftslagen på motsvarande sätt som sagts ovan när det gäller författningsreglerade uppgiftsskyldigheter. Alldeles klart att det förhåller sig på detta sätt är det dock inte enligt utredningen. Enligt utredningens bedömning är det vidare tveksamt om uppgiftsutlämnande som myndigheter företar på eget initiativ – med stöd av 1 kap. 5 §, 14 kap. 1 § första meningen, 14 kap. 2 eller 3 § sekretesslagen – sker med stöd av reglering som avviker från personuppgiftslagen på det sätt som avses i 2 § personuppgiftslagen. Gemensamt för allt det uppgiftslämnande som behandlats i det föregående är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När bestämmelser om sådant uppgiftsutlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften skall eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, förhindra att personuppgifter som finns i verksamheten enligt utlännings- och medborgarskapslagstiftningen lämnas ut i dessa fall. För att undanröja varje tvivel huruvida lagar eller förordningar som tillåter uppgiftsutlämnande utgör sådana avvikande bestämmelser som avses i 2 § personuppgiftslagen, bör det i utlänningsdatalagen finnas en ändamålsbestämmelse som medger sådant utlämnande. En sådan bestämmelse föreslås därför.
Vidare anser utredningen att det behövs en ändamålsbestämmelse som uttryckligen tillåter att personuppgifter behandlas genom att lämnas ut, om det sker på grund av för Sverige bindande internationella överenskommelser. Härmed avses utbyte inom EU mellan myndigheter m.fl. – t.ex. inom ramen för samarbetet i asyl- och invandringsfrågor – och som inte reglerats i en direkt tillämplig EG-förordning likväl som övrigt uppgiftsutbyte enligt förpliktelser i konventioner eller av riksdagen godkända avtal med främmande
stat eller mellanfolkliga organisationer. En annan sak är att sekretesslagen i vissa fall kan hindra att personuppgifter lämnas till utländsk myndighet.
Återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder som är ägnad at ge vägledning åt handläggning av ärenden (Informationsåtersökning)
Inom främst Migrationsverkets och Utlänningsnämndens verksamhet är informationssamlingar om praxis, förhållanden i länder varifrån många asylsökande härrör samt annan allmängiltig information mycket viktiga som stöd för bedömningar vid handläggning av enskilda ärenden. I avsnitt 4.1.6, har Migrationsverkets informationssystem LIFOS beskrivits närmare. Det är berättigat att utlänningsdatalagen innehåller ett ändamål som ger stöd för denna insamling och fortsatta behandling av personuppgifter. I enlighet med kravet att behandlingen skall vara nödvändig följer emellertid att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas, t.ex. i rättsfallssamlingar där identiteten på personen i fråga oftast är oväsentlig för informationsvärdet.
Tillsyn, kontroll, uppföljning och planering
Personuppgifter i en myndighets verksamhet bör få behandlas för att myndigheterna skall kunna fortlöpande eller vid särskilda tillfällen granska, utvärdera och utveckla sin verksamhet. Med det föreslagna ändamålet avses bl.a. en myndighets granskning genom tillsyn och kontroll i efterhand av handläggningen av enskilda ärenden likväl som tillsyn och kontroll av verksamheten på central, regional eller lokal nivå. Vidare avses uppföljning och planering av den egna myndighetens verksamhet på olika nivåer. Av vad som angetts i avsnitt 6.2.1 om tillämpningsområdet framgår att den tillsyn som annan myndighet kan utöva, t.ex. Justitiekanslern, inte avses med detta ändamål.
Migrationsverkets system PLUS och Integrationsverkets system
MOTIV, AKTIV och Bo-Data är system som används såväl för
ändamål som här avses som för framställning av statistik (se om dessa system avsnitt 4.1.5 och 4.3).
Framställning av statistik
Bland såväl Migrationsverkets som Integrationsverkets uppgifter ingår att föra statistik över förhållanden som ingår i myndigheternas verksamhetsområden.
Som tidigare sagts är behandling av personuppgifter för statistiska ändamål i och för sig inte oförenlig med övriga ändamål för vilka uppgifter samlas in och behandlas. Det är med andra ord tillåtet att behandla personuppgifter som redan finns i verksamheten för att framställa statistik även om det inte direkt anges som ett ändamål i utlänningsdatalagen. Det bör dock av lagen uttryckligen framgå att uppgifter också får samlas in för att framställa statistik. Integrationsverket inhämtar t.ex. personuppgifter från myndigheter som Statistiska centralbyrån och Arbetsmarknadsstyrelsen för behandling i sitt system AKTIV ( se avsnitt 4.3). Ett särskilt ändamål för statistikframställning föreslås därför.
6.6. Uppgifter som får behandlas
Utredningens förslag: Alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får behandlas.
Känsliga personuppgifter får emellertid behandlas endast då det är oundgängligen nödvändigt. Personuppgiftslagens regler om behandling av uppgifter om lagöverträdelser m.m. samt behandling av personnummer skall gälla även vid behandling enligt utlänningsdatalagen.
Som tidigare framgått behandlas en mycket stor mängd personuppgifter av olika slag inom lagförslagets verksamhetsområde. Utlänningsdataförordningen, som enbart reglerar automatiserad behandling av personuppgifter i register, innehåller en uppräkning av vilka personuppgifter som får behandlas i myndigheternas verksamhetsregister. Även om det från integritetssynpunkt är en fördel att på detta sätt specificera vilka personuppgifter som får behandlas i verksamheten, bedömer utredningen att det finns stora tillämpningssvårigheter med en sådan författningsteknisk lösning. Den
lagreglerade behandlingen sker i en mycket omfattande och mångskiftande verksamhet där personuppgifter behandlas inte bara i register utan också i ärendehanteringssystem, ordbehandlingsprogram m.m. En detaljreglering av det slag som nu finns i utlänningsdataförordningen riskerar att försvåra ett rationellt utnyttjande av informationstekniken i verksamheten, inte minst med hänsyn till behovet av flexibilitet vid förändringar i verksamheten. Med tanke på att listan ofta torde behöva revideras ter det sig olämpligt att i lagen ta in en lista över tillåtna personuppgifter.
Frånsett vissa särbestämmelser i fråga om känsliga personuppgifter och uppgifter om lagöverträdelser m.m., föreslår utredningen således inga bestämmelser i lagen som konkret anger vilka personuppgifter som får eller inte får behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I stället föreslås att ändamålsbestämningen skall styra över vilka personuppgifter som får samlas in och behandlas. Alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får därmed behandlas. Personuppgiftslagens krav på att personuppgifterna skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen medför emellertid en såväl kvalitativ som kvantitativ begränsning i fråga om vilka personuppgifter som får behandlas. Den föreslagna ordningen är, anser utredningen, godtagbar från integritetssynpunkt, inte minst mot bakgrund av att de integritetskänsliga uppgifterna kringgärdas av en sträng sekretess som är ägnad att förhindra obehörig insyn och spridning. Dessutom kommer utredningen att i det följande föreslå att begränsningar skall kunna föreskrivas i författningar på lägre nivå, dvs. i förordning eller i myndighetsföreskrifter (se avsnitt 6.18).
Enligt personuppgiftslagen gäller särskilda regler för vissa kategorier av uppgifter nämligen känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). Vad som föreslås gälla för dessa uppgiftskategorier behandlas i det följande.
Behandling av känsliga personuppgifter m.m.
Enligt 13 § personuppgiftslagen gäller ett principiellt förbud mot behandling av känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
Från förbudet finns några undantag ( 14–20 §§) som gör att behandling får företas trots förbudet. Undantag gäller om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Vidare får behandling företas utan samtycke om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke samt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Under särskilda förutsättningar får vissa ideella organisationer behandla känsliga personuppgifter. Viss nödvändig behandling av känsliga personuppgifter får även ske för hälso- och sjukvårdsändamål samt för forsknings- och statistikändamål.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Möjligheten att göra undantag från förbudet med hänsyn till ett viktigt allmänt intresse överensstämmer med vad som föreskrivs i artikel 8.4 i dataskyddsdirektivet. I 8 § personuppgiftsförordningen har regeringen föreskrivit att känsliga personuppgifter får, utöver de undantag som anges i personuppgiftslagen, behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Enligt utlänningsdataförordningen får i verksamhet enligt utlännings- och medborgarskapslagstiftningen känsliga personuppgifter behandlas i verksamhetsregister, om uppgifterna är oundgängligen nödvändiga för ändamålen att handlägga ärenden eller att fullgöra underrättelseskyldighet som följer av lag eller förordning. I landinformationsregister får känsliga personuppgifter behandlas i löpande text, om uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Verksamhet enligt utlännings- och medborgarskapslagstiftningen är till sin karaktär sådan att känsliga personuppgifter förekommer i stor utsträckning och i sammanhang där uppgifterna är adekvata och relevanta, eftersom de har betydelse för verksamheten. I utredningens kartläggning av den nuvarande behandlingen av personuppgifter inom verksamhetsområdet har det framgått att känsliga personuppgifter behandlas för samtliga de ändamål som föreslagits i avsnitt 6.5.3.
Vid handläggning av asylärenden – vilken omfattar en stor del av den behandling som förekommer i verksamhetsområdet – är av naturliga skäl alla kategorier av känsliga personuppgifter som anges i 13 § personuppgiftslagen av central betydelse för bedömningarna. Även vid handläggning av andra ärendetyper och vid hantering av personuppgifter för övriga ändamål finns det ofta berättigad anledning att behandla känsliga personuppgifter, i synnerhet uppgifter som avslöjar en utlännings etniska ursprung eller som rör hans eller hennes hälsotillstånd. Det bör därför tillåtas att känsliga personuppgifter inom verksamhetsområdet behandlas med modern och effektiv teknik. Det kan noteras att det ofta ligger i den registrerades intresse att sådana uppgifter kommer fram och beaktas i angelägenheter som rör honom eller henne.
För den behandling av känsliga personuppgifter som behövs, finns emellertid inga andra tillämpliga undantag från dataskyddsdirektivets och personuppgiftslagens förbud än undantaget i personuppgiftslagen om den registrerades samtycke och behandling för statistikändamål samt undantaget i personuppgiftsförordningen om behandling i löpande text vid handläggning av ärenden. Dessa undantag är i enlighet med det sagda inte tillräckliga.
Utredningen föreslår därför att en bestämmelse införs om att känsliga personuppgifter får behandlas enligt utlänningsdatalagen.
Av bestämmelsen bör framgå att känsliga personuppgifter får behandlas för alla de ändamål som föreslagits i avsnitt 6.5.3, dock endast om behandlingen är oundgängligen nödvändig för syftet med behandlingen. Härmed markeras att en särskild försiktighet måste iakttas inte bara då en känslig personuppgift samlas in utan även varje gång uppgiften senare på nytt behandlas.
Med tanke på verksamhetens karaktär kommer uppgifter som avslöjar etniskt ursprung, t.ex. språkuppgift i kombination med ett namn, normalt att vara oundgängligen nödvändiga för verksamheten. Kravet innebär således inte att känsliga personuppgifter endast undantagsvis får behandlas. Likaså torde viss behandling av
känsliga personuppgifter som lämnats i ett ärende alltid vara oundgängligen nödvändig, t.ex. då det följer av förvaltningslagen att uppgifterna måste registreras, kommuniceras m.m., se avsnitt 6.5.3.
Att därutöver i lagen genom detaljbestämmelser begränsa tillåtligheten av behandling av känsliga personuppgifter är inte lämpligt. Som kommer att föreslås i det följande, avsnitt 6.18.1, bör emellertid ytterligare begränsningar kunna föreskrivas i en förordning som utfärdas i anslutning till lagen.
Förslaget i fråga om känsliga personuppgifter torde i praktiken i allt väsentligt ersätta personuppgiftslagens reglering i 14–20 §§ om undantag från det grundläggande förbudet mot behandling av känsliga personuppgifter.
I lagen bör vidare tas in en bestämmelse som anger att den registrerade inte med rättslig verkan kan motsätta sig en behandling som uppfyller de övriga krav som utlänningsdatalagen uppställer. Av pedagogiska skäl bör den bestämmelsen utformas så att den inte bara tar sikte på behandling av känsliga personuppgifter utan all behandling av personuppgifter enligt lagen.
Behandling av uppgifter om lagöverträdelser m.m. och om personnummer
Enligt 21 § personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Dessa uppgifter är således inte känsliga i dataskyddsdirektivets eller personuppgiftslagens mening men är naturligtvis ändå av ömtålig art integritetsmässigt sett. I verksamhet enligt utlännings- och medborgarskapslagstiftningen finns behov av att behandla dessa uppgifter, eftersom de tillmäts betydelse i bl.a. ärenden om uppehållstillstånd eller svenskt medborgarskap. Migrationsverket har därför medgetts direktåtkomst till de av Rikspolisstyrelsen förda belastningsregistret och misstankeregistret. Självfallet behandlar myndigheterna också uppgifter om förvar enligt utlänningslagen, som är ett administrativt frihetsberövande.
Utredningen föreslår ingen inskränkning av myndigheternas rätt att behandla uppgifter om lagöverträdelser m.m. i förhållande till vad som följer av personuppgiftslagen. Vid myndigheternas behand-
ling av uppgifter om lagöverträdelser m.m. gäller således vad som följer av 21 § personuppgiftslagen.
Uppgifter om personnummer eller samordningsnummer får enligt 22 § personuppgiftslagen förutom med den registrerades samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering eller något annat beaktansvärt skäl. Även person- och samordningsnummer är av ömtålig art och bör inte behandlas utan särskild försiktighet. Vikten av en säker identifiering i verksamhet enligt utlännings- och medborgarskapslagstiftningen medför dock att uppgifter om personnummer eller samordningsnummer regelmässigt måste behandlas i verksamheten. Personuppgiftslagens bestämmelse om behandling av dessa identifikationsnummer föreslås således gälla även för behandling som företas med stöd av utlänningsdatalagen. Det innebär enligt utredningens bedömning att myndigheterna kan fortsätta att behandla personnummer på det sätt som hittills gjorts.
I sammanhanget kan nämnas att Migrationsverkets dossiernummer, som visserligen är individspecifika, inte torde utgöra sådant identifikationsnummer som avses i 22 § personuppgiftslagen.
6.7. Fingeravtrycksregistret
Utredningens förslag: Ändamålet för Migrationsverkets fingeravtrycksregister anges i lagen. Regeringen meddelar närmare bestämmelser om registrets innehåll m.m.
Enligt 5 kap. 5 § utlänningslagen får Migrationsverket eller polismyndigheten fotografera en utlänning och, om han fyllt 14 år, ta hans fingeravtryck om utlänningen inte kan styrka sin identitet vid ankomsten till Sverige, utlänningen ansöker om uppehållstillstånd och åberopar skäl som avses i 3 kap. 2 eller 3 §, dvs. att utlänningen är flykting eller skyddsbehövande i övrigt, eller om det finns förutsättningar att ta utlänningen i förvar.
Migrationsverket för ett automatiserat register över de fingeravtryck som tas med stöd av utlänningslagen. För en närmare redogörelse för registret och för utlänningsdataförordningens bestämmelser om registret hänvisas till avsnitt 4.1.7. Här skall endast upprepas att registret även får föras över de fotografier som tas
med stöd av utlänningslagen. I anledning av de planer som finns på att komplettera fotografierna och fingeravtrycken med uppgifter om asylsökandes utseende m.m. som upptas och lagras med hjälp av biometrisk teknik, kan anmärkas att sådana kompletterande personuppgifter inte självklart kommer att kunna omfattas av utlänningsdatalagens bestämmelser om det aktuella registret. Det kan också nämnas att viseringsmärken redan från år 2004 planeras att förses med fotografier. Frågan bereds inom EU. Huruvida detta kommer att utmynna i en bindande förordning eller ett direktiv från EU är ännu okänt. Utredningen ser dock ingen anledning att låta den frågan påverka utredningens förslag.
För Migrationsverkets fingeravtrycksregister gäller vidare att registret endast får användas i utlänningsärenden om uppehållstillstånd där sökanden som skäl för sin ansökan åberopar att han eller hon är flykting eller i övrigt skyddsbehövande enligt 3 kap. 2 eller 3 § utlänningslagen samt i ärenden om avvisning och utvisning. Vidare föreskrivs vilka uppgifter registret får innehålla, under vilka förutsättningar uppgifter ur registret får lämnas ut på medium för automatiserad behandling samt när gallring skall ske.
Ändamålet för fingeravtrycksregistret inryms i ändamålet handläggning av ärenden som föreslagits i avsnitt 6.5.3. I avsnitt 5.4 har utredningen dock framhållit att det från integritetssynpunkt finns anledning att särskilt begränsa behandling av personuppgifter som utförs för att underlätta identifieringen av utlänningar. Härtill kommer att fingeravtrycksregistret är – till skillnad från övriga integritetskänsliga uppgiftssamlingar som finns inom verksamheten – ett regelrätt register som lämpar sig väl för särreglering på grund av dess innehåll och avgränsning i förhållande till annan behandling av personuppgifter inom verksamheten. Utredningen föreslår därför att det för just Migrationsverkets fingeravtrycksregister tas in en särbestämmelse i lagen som anger ett mer inskränkt ändamål i förhållande till den allmänna ändamålsbestämningen handläggning av ärenden. Detta ändamål bör motsvara vad som i dag gäller för registret.
Integritetsskäl talar vidare för att de övriga bestämmelser som enligt utlänningsdataförordningen gäller för fingeravtrycksregistret alltjämt skall gälla. Enligt utredningens mening bör dessa bestämmelser lämpligen tas in i en förordning som utfärdas i anslutning till lagen. Utredningen återkommer i avsnitt 6.18.5 med närmare överväganden i fråga om en till lagen anslutande förordning.
Avslutningsvis kan påpekas att den omständigheten att Migrationsverkets fingeravtrycksregister särregleras i den föreslagna utlänningsdatalagen inte innebär någon begränsning av myndigheternas rätt att föra övriga register och andra uppgiftssamlingar, ärendehanteringssystem och liknande, under förutsättning att de förs för ändamål som utredningen föreslagit i avsnitt 6.5.3. Enligt utredningens bedömning kan samtliga nuvarande uppgiftssamlingar som redovisats i avsnitt 4 alltjämt föras med stöd av den föreslagna utlänningsdatalagen.
6.8. Sökbegrepp och sambearbetning
Utredningens förslag: Känsliga personuppgifter som anges i 13 § personuppgiftslagen får användas som sökbegrepp vid behandling för ändamålet informationsåtersökning. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får användas som sökbegrepp vid behandling för ändamålet tillsyn, kontroll, uppföljning och planering samt för ändamålet framställning av statistik. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.
Personuppgifter om lagöverträdelser m.m. får inte användas som sökbegrepp. Uppgift om beslut om förvar enligt utlänningslagen skall dock få användas som sökbegrepp. Någon särbestämmelse som begränsar möjligheterna att sambearbeta personuppgifter behövs inte.
6.8.1. Sökbegränsningar
Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till. Personnummer, namn eller ärendenummer brukar t.ex. ofta användas som sökbegrepp när man letar sig fram till eftersökt information i ett datasystem.
Frågan om sökbegrepp är i princip intressant endast när det gäller information som finns lagrad på medium för automatiserad behandling. Anledningen härtill är att informationsteknikens utveckling medfört att sökmöjligheterna är i det närmaste obegränsade när det gäller elektroniskt lagrad information. Det sagda
innebär att sammanställningar av uppgifter teoretiskt sett kan göras utifrån alla tänkbara urvalskriterier som korresponderar med den lagrade informationen. Motsvarande sammanställningsmöjligheter saknas emellertid i praktiken helt när det gäller manuellt behandlad information som vanligen är sökbar endast utifrån ett fåtal kriterier.
Från integritetssynpunkt är frågan om på vilket sätt uppgifter kan sammanställas av väsentlig betydelse. Ju större möjligheterna är att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Från början harmlösa uppgifter kan genom en sammanställning framstå som integritetskränkande (jfr prop. Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten 2001/02:144 s. 40).
Vilka sökbegrepp som kan användas har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med offentlighetsprincipen. Med handlingar avses enligt tryckfrihetsförordningen inte enbart pappershandlingar utan även upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med hjälp av tekniskt hjälpmedel.
En handling är allmän om den förvaras hos myndigheten och är att anse som inkommen till eller upprättad hos myndigheten. En upptagning för automatiserad behandling anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
Varje sammanställning av sakligt sammanhängande uppgifter i en upptagning som myndigheten kan göra med hjälp av tillgängliga program är att anse som en handling som förvaras hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs inom myndigheten. Förutom redan existerande handlingar brukar man därför tala också om s.k. potentiella handlingar. En förutsättning är dock att sammanställningen skall kunna göras tillgänglig med hjälp av rutinbetonade åtgärder, dvs. med en enkel arbetsinsats och utan nämnvärda kostnader eller andra komplikationer. Tekniska begränsningar kan således innebära att en sammanställning inte kan göras. Den tänkta sammanställningen är därmed ingen allmän handling. En myndighet är dock skyldig att
använda alla tillgängliga sökmöjligheter när någon begär uppgifter ur upptagningar som är allmänna handlingar.
En myndighets – och följaktligen därmed också allmänhetens – möjligheter att få tillgång till sammanställningar av uppgifter som finns i myndighetens informationssystem kan emellertid underkastas rättsliga begränsningar. Enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen kan en myndighets befogenheter att göra sammanställningar av personuppgifter begränsas genom lag eller förordning.
Av hänsyn till den enskildes personliga integritet har i många registerförfattningar sammanställningsmöjligheterna begränsats genom reglering av vilka sökbegrepp som får eller inte får användas. Även nyare författningar som har anpassats till personuppgiftslagen innehåller inte sällan begränsningar i fråga om sökbegrepp. Vanligen omfattar en sådan begränsning uppgifter som anses som särskilt känsliga från integritetssynpunkt. Lagen (2001:617) om behandling av personuppgifter inom kriminalvården och lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten kan nämnas som exempel på lagar som är anpassade till personuppgiftslagen och som innehåller sökbegränsningar.
Enligt utlänningsdataförordningen gäller att känsliga personuppgifter enligt 13 § personuppgiftslagen inte får användas som sökbegrepp i verksamhetsregister samt att personuppgifter som direkt pekar ut en registrerad inte får användas som sökbegrepp i ett landinformationsregister. Detsamma gäller för rättsfallsregister. Uppgifter som direkt pekar ut en individ får över huvud taget inte förekomma i rättsfallsregister enligt förordningen.
Utan sökbegränsningar kan, som framgått av det föregående, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om information av mycket känslig art i Migrationsverkets omfattande och integritetskänsliga datasystem STAMM. Myndigheterna kan dock utforma datasystemen så att endast behörig personal kan utföra sökningar samt inrätta behörighetssystem som gör att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning). Den s.k. socialtjänstsekretessen enligt 7 kap. 4 § tredje stycket eller utlänningssekretessen i 7 kap. 14 § andra stycket sekretesslagen förhindrar också som regel allmänhetens möjligheter att med stöd av offentlighetsprincipen få ut sammanställningar av integritetskänslig information som finns i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Den starka sekretessen innebär därmed i sig ett skydd mot just sådana integritetsintrång som obegränsade sökmöjligheter kan innebära. Mot bakgrund av det anförda kan det alltså ifrågasättas om det behövs några sökbegränsningar i utlänningsdatalagen.
Vikten av att minimera risken för otillbörliga integritetsintrång medför emellertid att det, enligt utredningens uppfattning, trots allt finns anledning att begränsa vilka uppgifter som får användas som sökbegrepp, inte minst därför att den fortgående utvecklingen av den elektroniska ärendehanteringen innebär att allt större mängder integritetskänslig information lagras i elektroniska uppgiftssamlingar. I likhet med vad nuvarande bestämmelser slår fast, föreslås därför att känsliga personuppgifter inte skall få användas som sökbegrepp när det gäller myndigheternas kärnverksamhet med att handlägga ärenden, kontrollera utlänningar enligt 5 kap. utlänningslagen samt bedriva mottagningsverksamhet. Inte heller bör känsliga personuppgifter få användas som sökbegrepp när det gäller uppgiftsutlämnande.
När det däremot gäller sökning efter uppgifter som behandlas för ändamålet informationsåtersökning, är just snabb tillgång till denna typ av uppgifter av stor vikt för uppgiftssamlingarnas värde som referensmaterial. Exempelvis kan det vara väsentligt i ett asylärende att kunna söka efter uppgifter i Migrationsverkets LIFOS som sammanställda kan ge en god överblick över situationen för homosexuella i den asylsökandes hemland. Eftersom stark sekretess gäller för uppgifterna anser utredningen att det från integritetssynpunkt kan godtas att känsliga personuppgifter får användas som sökbegrepp just beträffande detta ändamål. Det skall också beaktas att behandlingen inte omfattar stora mängder registrerade, eftersom personuppgifter ofta avidentifieras innan de görs tillgängliga för ändamålet informationsåtersökning.
Även när det gäller behandling av personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering samt framställning av statistik anser utredningen att myndigheterna har starka skäl att kunna söka och sammanställa uppgifter om etnicitet och hälsa. I annat fall försvåras bl.a. möjligheterna att mäta tendenser som är av betydelse för verksamheten. Det kan t.ex. finnas anledning att följa upp och planera för flyktingströmmar från en viss etnisk konflikt eller för att kunna bereda verksamheten på att ta emot stora strömmar av asylsökande som är HIV-bärare eller drabbade av svåra miljökatastrofer. Med tanke på uppgifternas sekretess och på att endast ett fåtal anställda är sysselsatta med den verksamhet som här
är i fråga anser utredningen att förslaget är godtagbart utifrån integritetssynpunkt. Mot denna bakgrund föreslår utredningen således att känsliga personuppgifter om hälsa och etnicitet skall få användas som sökbegrepp när det gäller behandling av personuppgifter för här avsedda ändamål. Andra känsliga personuppgifter bör dock förbjudas som sökbegrepp.
Vidare föreslås att sökningar inte skall få göras på andra personuppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen än uppgifter som avser beslut om förvar enligt utlänningslagen. Förvar är ett frihetsberövande som vidtas inom det egna verksamhetsområdet. Det är därför naturligt och acceptabelt utifrån integritetssynpunkt att uppgifter om förvar får sökas och sammanställas av myndigheter som är inbegripna i verksamheten.
Enligt utlänningsdataförordningen gäller i fråga om register som förs för ändamålet att återsöka information om förhållanden i andra länder (landinformationsregister) den sökbegränsningen att uppgifter som direkt pekar ut en registrerad, t.ex. namn, inte får användas som sökbegrepp. Utredningen anser inte att det finns något behov av en sådan sökbegränsning i fortsättningen. Utredningen förutsätter härvid att personer avidentifieras i den mån uppgiften saknar betydelse för ändamålet med behandlingen. I de fall då identitetsuppgiften är av väsentlig betydelse och därför finns kvar finns det enligt utredningens mening inte tillräckliga skäl att begränsa sökmöjligheten på motsvarande sätt som gäller i dag. Sekretess torde vidare inte sällan omfatta namnuppgifterna.
Ytterligare sökbegränsningar bör dock kunna föreskrivas i förordning, se närmare härom i avsnitt 6.18.7.
Avslutningsvis kan anmärkas att sökbegränsningarna inskränker möjligheterna att med ett sökbegrepp som urvalsmetod leta fram önskade personuppgifter i olika slags samlingar av personuppgifter, dvs. register, ärendehanteringssystem, dokumentdatabaser eller liknande. Självklart hindrar bestämmelser om sökbegrepp inte sådan sökning med hjälp av t.ex. ett ordbehandlingsprogram i ett dokument med löpande text som för användaren är omedelbart tillgängligt på en dator.
6.8.2. Sambearbetning
Sambearbetning av uppgifter mellan olika automatiserade personregister, s.k. samkörning, krävde under datalagens giltighetstid, som huvudregel, särskilt tillstånd, eftersom ett nytt register därmed ansågs upprättat. I s.k. registerförfattningar från tiden före personuppgiftslagens införande förekom inte sällan bestämmelser som reglerade förutsättningarna för sambearbetning av registeruppgifter, eftersom den formen av personuppgiftsbehandling ansågs vara särskilt känslig.
Personuppgiftslagen skiljer emellertid inte sambearbetning av personuppgifter från olika register eller databaser från annan behandling. En sambearbetning är tillåten så länge den håller sig inom personuppgiftslagens ramar, bl.a. med avseende på att uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (9 § första stycket d), den s.k. finalitetsprincipen).
När det gäller verksamhet enligt utlännings- och medborgarskapslagstiftningen som bedrivs av de myndigheter som föreslås omfattas av utlänningsdatalagens tillämpningsområde torde det inte sällan finnas behov av att sambearbeta personuppgifter i olika register eller datasystem. Det saknas anledning att befara att behandling i form av samkörning av uppgiftssamlingar sker för ändamål som inte är förenliga med de ändamål för vilka uppgifterna ursprungligen samlades in (se avsnitt 6.5.3). I stället framstår möjligheten till samkörning, inom utlänningsdatalagens ram, som en rimlig metod att höja effektiviteten och rättssäkerheten inom verksamhetsområdet. Enligt utredningens mening finns det därför inte skäl att införa någon särbestämmelse i utlänningsdatalagen som förbjuder eller begränsar möjligheterna att sambearbeta personuppgifter som finns inom verksamheten.
6.9. Utlämnande på medium för automatiserad behandling
Utredningens förslag: Någon regel som tillåter eller förbjuder att personuppgifter skall få lämnas ut till en svensk myndighet på medium för automatiserad behandling behövs inte. Till utländsk myndighet i ett EU-land eller ett land som är anslutet till EES samt till EU-organen får en personuppgift som behandlas enligt utlänningsdatalagen lämnas ut elektroniskt, om det är nödvändigt för ändamålen handläggning av ärenden, kontroll av utlänning, uppgiftsutlämnande eller informationsåtersökning.
Regeringen föreskriver när elektroniskt utlämnande får ske till enskild.
I avsnitt 6.5.3 har utredningen föreslagit att personuppgifter skall få behandlas genom att lämnas ut bl.a. om utlämnandet sker med stöd av lag eller förordning, följer av Sveriges medlemskap i EU eller av en förpliktelse enligt en internationell konvention som Sverige tillträtt. Mottagare kan i princip vara en svensk eller utländsk myndighet, mellanstatligt organ eller en enskild. Utlämnandet kan avse personuppgifter som begärts utifrån. Det kan också förekomma att uppgifter lämnas ut av någon av de myndigheter som omfattas av utlänningsdatalagens tillämpningsområde i syfte att myndigheten själv skall kunna fullgöra sin verksamhet inom ramen för något av de andra föreslagna ändamålen. Exempelvis måste Migrationsverket i sin mottagningsverksamhet för asylsökande m.fl. ibland lämna ut personuppgifter om utlänningar för att kunna ombesörja sin uppgift att bereda utlänningarna tillfälle att delta i undervisning i svenska, få hälsovård m.m. som handhas av annan än Migrationsverket.
Personuppgifter som behandlas helt eller delvis automatiserat eller i manuellt hanterade register kan lämnas ut från myndigheterna på olika sätt, t.ex. muntligen, på papper eller i elektronisk form. Alla varianter utgör behandling av personuppgifter enligt begreppets definition i 3 § personuppgiftslagen. Utlämnande i elektronisk form, dvs. på medium för automatiserad behandling, kan ske på flera olika sätt, t.ex. genom användning av e-post, på diskett eller CD-romskiva, genom direkt överföring från ett datorsystem till ett annat via telenätet (där beslut om överföring i varje enskilt fall fattas av den utlämnande myndigheten) eller genom direktåtkomst till den utlämnande myndighetens datorsystem. Av dessa olika
varianter är direktåtkomsten den mest känsliga och den behandlas därför särskilt, se avsnitt 6.10. Från Migrationsverket utlämnas personuppgifter i större omfattning såväl på CD-romskiva (se t.ex. om Almasystemet i avsnitt 4.1.3.) som i direkt överföring på datafil (t.ex. beträffande beviljade arbetstillstånd till Arbetsmarknadsstyrelsen, se avsnitt 4.1.1.2).
Att ett utlämnande sker på medium för automatiserad behandling innebär att mottagaren efter utlämnandet har möjlighet att bearbeta informationen. Ett utlämnande på ett sätt som innebär att mottagaren kan läsa informationen men inte bearbeta den – t.ex. utlämnande enligt 2 kap. 12 § tryckfrihetsförordningen jämförd med 15 kap. 10 § sekretesslagen genom s.k. allmänhetens terminal vid en myndighet – är alltså inte ett utlämnande på medium för automatiserad behandling i den bemärkelse som här avses.
Utlämnande på medium för automatiserad behandling utgör, som nyss sagts, en form av behandling av personuppgifter enligt 3 § personuppgiftslagen och är som sådan tillåten under förutsättning att utlämnandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Dataskyddsdirektivet och personuppgiftslagen saknar särbestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker på papper görs således inte. Inte heller görs någon åtskillnad mellan olika former av utlämnande i 7 kap. 16 § sekretesslagen, som föreskriver att sekretess gäller för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid mot personuppgiftslagen.
Särskild författningsreglering krävs således inte för att utlämnande av personuppgifter på medium för automatiserad behandling skall vara tillåten. Med tanke på de särskilda möjligheterna att bearbeta erhållen information som finns vid elektroniskt utlämnande, kan det emellertid finnas anledning att överväga om utlämnande på automatiserat medium bör underkastas någon begränsning i utlänningsdatalagen i syfte att minska risken för otillbörliga intrång i den enskildes integritet. Det bör observeras att frågan enbart gäller sättet för utlämnande och inte huruvida personuppgifter över huvud taget får lämnas ut.
I några motsvarande lagar för myndigheters behandling av personuppgifter finns särbestämmelser om utlämnande på medium för automatiserad behandling. Här kan t.ex. nämnas lagarna som reglerar behandling av personuppgifter inom skatteförvaltningen,
kronofogdemyndigheterna och Tullverket (SFS 2001:181, SFS 2001:182, SFS 2001:184 och SFS 2001:185). I dessa lagar föreskrivs att personuppgifter som behandlas i databaser får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det. Någon särbestämmelse såvitt avser elektronisk utlämnande till myndigheter finns inte. I propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 112) anförde regeringen, som skäl för att inte särskilt reglera utlämnande till myndigheter på medium för automatiserad behandling, att det är mindre tillfredsställande ur effektivitetssynpunkt om den utlämnande myndigheten först gör utskrifter av elektronisk lagrade uppgifter som den mottagande myndigheten därefter för in i sina register eller databaser. Genom sådana förfaranden ökar dessutom riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem. Regeringen fortsatte sitt resonemang i enlighet med det följande.
En utgångspunkt bör vara att myndigheter skall kunna utnyttja automatiserade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medför risk för otillbörliga intrång i enskildas personliga integritet. För myndigheter finns vanligtvis särskilda författningar som reglerar vilka automatiserade register eller andra personuppgiftssamlingar som får föras av myndigheten eller annars på vilket sätt personuppgifter får behandlas. I dessa författningar regleras även ändamålen med behandlingen. En myndighet som tar emot uppgifter från andra myndigheter har vanligen inte rättsligt stöd för att behandla uppgifterna annat än i enlighet med de för myndigheten gällande författningarna. Någon risk för att mottagande myndigheter skall behandla personuppgifter som hämtas in på medium för automatiserad behandling på ett sätt som inte är avsett torde inte finnas. Under förutsättning att den utlämnande myndigheten har möjlighet att avgöra vilka uppgifter som skall lämnas ut saknas det därför enligt regeringens mening anledning att reglera när uppgifter får lämnas ut på medium för automatiserad behandling. Det finns med andra ord inte bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som görs på papper och utlämnande som sker elektroniskt.
När det däremot gäller elektroniskt utlämnande till enskilda, såväl privatpersoner som företag och organisationer, poängterade regeringen att det normalt saknades särskilda bestämmelser, utöver personuppgiftslagen, om hur personuppgifter får behandlas hos
mottagaren. Med hänsyn till de integritetsrisker som kan följa med utlämnande av personuppgifter på medium för automatiserad behandling till företag och privatpersoner, fann regeringen att sådant utlämnande endast bör vara tillåtet när det efter särskild prövning anses lämpligt. Vidare fann regeringen att det inte är möjligt att i lag reglera i vilka fall så lämpligen kan ske utan att det i stället bör åligga regeringen att göra dessa bedömningar.
Här kan nämnas lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten som också föreskriver att personuppgifter som behandlas i en databas får utlämnas till enskild på medium för automatiserad behandling endast om regeringen föreskriver det. I lagens förarbeten (prop. 2001/02:144 s. 39) sägs bl.a. med hänvisning till nyssnämnda lagstiftningsärende att det inte erfordras någon särskild reglering i lag av uppgiftsutlämnande till myndigheter på medium för automatiserad behandling. I lagen föreskrivs dock att regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om vilka personuppgifter som får lämnas ut på medium för automatiserad behandling till myndigheter och enskilda.
Samma bedömningar har inte gjorts vid utformandet av alla s.k. registerlagar som införts i samband med eller efter det att personuppgiftslagen trädde i kraft. I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten samt i lagen (2001:617) om behandling av personuppgifter inom kriminalvården saknas t.ex. helt särbestämmelser för uppgiftsutlämnande på medium för automatiserad behandling. I lagen (1998:543) om hälsodataregister föreskrivs att personuppgifter får lämnas ut på medium för automatiserad behandling endast för vissa ändamål, dvs. oavsett om utlämnandet sker till myndighet eller till enskild. I förarbetena motiverades denna begränsning med hänsyn till intresset av integritetsskydd för den enskilde (prop. 1997/98:108 s. 77).
Möjligheten att elektroniskt ta emot – måhända stora mängder – information som efter mottagandet kan bearbetas av mottagaren har länge ansetts innebära särskilda risker från integritetssynpunkt jämfört med om samma information endast fås i pappersutskrift. Detta, menar utredningen, gäller fortfarande trots att det i dag finns tämligen lättillgänglig teknik, t.ex. skanning, som medger att information överförs från papper till automatiserat medium. Vid bedömningen av om begränsningar bör införas såvitt avser elektroniskt utlämnande av personuppgifter anser utredningen dock att en åtskillnad måste göras – på motsvarande sätt som gjorts i de i detta
avsnitt först nämnda s.k. registerlagarna – mellan utlämnande som sker till myndigheter respektive till enskilda.
När det gäller utlämnande till svenska myndigheter talar effektivitetsskäl med betydande styrka för att myndigheter, som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen, skall kunna lämna ut uppgifter genom användning av modern informationsteknik till en annan myndighet efter en prövning av om utlämnandet är förenligt med utlänningsdatalagens ändamålsbestämning och sekretesslagen. I takt med att myndigheterna inom den offentliga förvaltningen i allt större utsträckning övergår till fullständig elektronisk informationshantering ter sig begränsningar av möjligheten till elektroniskt informationsutbyte mellan myndigheterna i motsvarande grad mindre lämpligt. Även i de fall en s.k. registerförfattning inte finns för den mottagande myndighetens behandling, anser utredningen att det saknas anledning att befara att personuppgifter av den mottagande myndigheten kommer att behandlas för andra syften än vad den utlämnande myndigheten kunnat ta i beaktande vid sitt beslut att, efter vederbörlig prövning enligt utlänningsdatalagen och sekretesslagen, utlämna uppgifterna. Risken för otillbörliga integritetsintrång torde därför inte öka i nämnvärd mån på grund av att utlämnandet sker på medium för automatiserad behandling i stället för på papper. Enligt utredningens mening finns därför inte tillräcklig anledning att föreslå en särbestämmelse som begränsar möjligheterna att till en svensk myndighet lämna ut personuppgifter på medium för automatiserad behandling. Givetvis åligger det ändå personuppgiftsansvarig myndighet att göra övervägningar utifrån hänsyn till säkerhets- och integritetsfrågor vid valet mellan att lämna ut personuppgifter på automatiserat medium eller på pappersutskrift. Vid t.ex. användandet av e-post kan därvid en mottagande myndighets säkerhetsskydd vara av betydelse för bedömningen.
Ett av dataskyddsdirektivets syften är att genom gemensamma regler till skydd för enskildas integritet ge förutsättningar för att personuppgifter inom direktivets ram skall kunna flöda fritt inom EU-området. Såsom översiktligt har belysts i avsnitt 3.1 har samarbetet inom EU i asyl- och migrationsfrågor intensifierats på senare år. För myndigheter som bedriver verksamhet enligt utlänningslagstiftningen medför detta att personuppgifter i olika sammanhang lämnas ut eller inhämtas från utländska myndigheter i EUländer. I avsnitt 4.1.3 har t.ex. beskrivits de konsultationer mellan EU-länderna som görs via ett automatiserat förfarande i viserings-
ärenden (Visionsystemet). Även Dublinkonventionen och den EGförordning nr 343/2003 som ersatt konventionen (se avsnitt 3.1) förpliktar medlemsstaterna att utbyta personuppgifter. Delvis sker detta utbyte i enlighet med Eurodacförordningen, som gäller personuppgifter om fingeravtryck och kön. Denna behandling av personuppgifter omfattas inte av den föreslagna utlänningsdatalagen (se härom avsnitt 6.2.3.2). Den nämnda uppgiftsskyldigheten omfattar dock även en mängd andra personuppgifter än dem Eurodacförordningen avser (se bl.a. artikel 21.2 i EG-förordningen jämförd med artikel 5.1, 8.2, och 11.2 i Eurodacförordningen).
Enligt utredningens mening skulle EU-samarbetet i alltför hög grad försvåras om nödvändigt informationsutbyte inte får ske elektroniskt. Med tanke på svårigheterna att överblicka konsekvenserna från integritessynpunkt av ett utlämnande av personuppgifter till ett annat land bör emellertid möjligheten till elektroniskt utlämnande begränsas. Personuppgifter bör få lämnas ut på detta sätt endast om det sker för att fullgöra ett uppgiftsutlämnande som sker med stöd av lag eller förordning eller följer av medlemskapet i EU eller av en uppgiftsskyldighet enligt en konvention eller ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Dessutom bör uppgifter få lämnas ut elektroniskt om utlämnandet är nödvändigt för att den utlämnande myndigheten, i allmänhet Migrationsverket eller polisen, skall kunna utföra en arbetsuppgift som sker för ändamålen handläggning av ärenden eller biträde i sådant ärende samt annan kontroll av utlänningar. Vidare bör personuppgifter som behandlas för ändamålet att ge information om praxis, förhållanden i olika länder m.m. kunna utlämnas elektroniskt, om rättsliga förutsättningar för utlämnande i och för sig är uppfyllda.
Utredningen föreslår således att lagen begränsar möjligheten att lämna ut personuppgifter på medium för automatiserad behandling i enlighet med det sagda. Sådant utlämnande föreslås få ske till myndigheter i EU-länder och i länder anslutna till EES-avtalet samt även till organ som har inrättats av EU, t.ex. kommissionen. Med tanke på den pågående intensifieringen av samarbetet inom EU är det dock inte otänkbart att bestämmelsen får revideras i framtiden.
Utlämnande till enskilda enligt 2 kap. tryckfrihetsförordningen av allmänna handlingar vari finns personuppgifter som behandlas enligt den föreslagna utlänningsdatalagen kan ofta inte medges på grund av sekretess enligt 7 kap. 14 § andra stycket sekretesslagen. Det kan emellertid nämnas att en myndighet enligt 2 kap. 13 §
tryckfrihetsförordningen i dess lydelse fr.o.m. den 1 januari 2003 inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift. Det är alltså möjligt att i lag föreskriva en skyldighet att lämna ut allmänna handlingar på medium för automatiserad behandling. Tidigare fanns ingen sådan möjlighet enligt den dåvarande lydelsen av 2 kap. 13 § tryckfrihetsförordningen, som föreskrev ett absolut s.k. utskriftsundantag. Undantagets syfte var enligt förarbetena att förhindra att utlämnade uppgifter behandlas automatiserat på ett sätt som kan medföra intrång i enskildas personliga integritet, t.ex. genom uppkomsten av privata personregister (prop. 1973:33 s. 85 f. och 113).
I det lagstiftningsärende som föregick ändringen i 2 kap. 13 § tryckfrihetsförordningen hade Offentlighets- och sekretesskommittén i delbetänkandet Offentlighetsprincipen och den nya tekniken (SOU 2001:3) föreslagit en ändring enligt en omvänd princip, nämligen att det skulle införas en skyldighet för en myndighet att lämna ut elektroniskt lagrade allmänna handlingar, dvs. upptagningar, i elektronisk form, såvida det inte för myndigheten i lag eller förordning finns en bestämmelse som förbjuder det. Kommittén förutsatte därvid att det i registerförfattningar införs undantag från skyldigheten att lämna ut allmänna handlingar i elektronisk form i den mån det behövs för att undvika eventuella integritetsproblem som följer på ett avskaffande av utskriftsundantaget. Vid remissbehandlingen av betänkandet var flera instanser tveksamma till förslaget i fråga, bl.a. med hänsyn till att konsekvenserna med avseende på eventuella integritetsproblem inte var tillräckligt väl utredda (prop. 2001/02:70 s. 28). Regeringen instämde i denna tvekan. Med hänsyn bl.a. härtill fann regeringen att kommitténs förslag inte borde genomföras. I stället föreslog regeringen en möjlighet att i lag införa en skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form. Med tanke på IT-utvecklingen inom förvaltningen fann regeringen nämligen anledning att överväga att i vanlig lag, t.ex. 15 kap. sekretesslagen, införa en sådan skyldighet, generell eller med avseende på vissa kategorier av allmänna handlingar. Regeringen avsåg dock att återkomma till frågan först efter det att ytterligare utredningsarbete av Offentlighets- och sekretesskommittén respektive Personuppgiftslagsutredningen (som bl.a. skall göra en översyn av 7 kap. 16 § sekretesslagen, dir. 2002:31) har utförts. Riksdagen
anslöt sig, som framgått ovan, till regeringens förslag (bet. 2000/02:KU17, rskr. 2002/03:7).
Som påpekats vid ett flertal tillfällen är personuppgifter som finns i verksamhet enligt utlännings- och medborgarskapslagstiftningen av integritetskänslig karaktär. Det är därför befogat att i utlänningsdatalagen skilja på olika sätt att lämna ut personuppgifter till enskilda genom att begränsa möjligheten att lämna ut uppgifterna på medium för automatiserad behandling. Något absolut förbud mot elektroniskt utlämnande ter sig emellertid inte lämpligt. Självfallet bör t.ex. en handläggande myndighet kunna använda sig av e-post vid kommunikation med en enskild, t.ex. när myndigheten skall upplysa en sökande om att en viss person lämnat uppgifter i ett ärende som rör sökanden. Även andra situationer kan tänkas då ett elektroniskt utlämnande enskild bör tillåtas. Närmare överväganden härvidlag bör emellertid inte göras i lagen utan av regeringen. Utredningen föreslår därför att utlämnande av personuppgifter på medium för automatiserad behandling får ske till enskilda endast om regeringen har föreskrivit det. Utredningen återkommer i avsnitt 6.18.2 med överväganden angående speciella fall som bör detaljregleras i en förordning som utfärdas i anslutning till lagen.
6.10. Direktåtkomst
Utredningens förslag: Regeringskansliet, Utlänningsnämnden,
Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna skall för ändamålet handläggning eller biträde vid handläggning av ärenden få ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst till personuppgifterna får också användas för ändamålet utlänningskontroll enligt 5 kap. utlänningslagen.
Utlänningsnämnden och utlandsmyndigheterna skall vidare få ha direktåtkomst till Migrationsverkets personuppgifter som behandlas för ändamålet att ge referensinformation om förhållanden i andra länder, praxis m.m.
Annan direktåtkomst än den i lagen medgivna skall inte vara tillåten.
Åtkomst till automatiserat behandlade personuppgifter skall vara förbehållen de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.
6.10.1. Allmänt om direktåtkomst
Som nämnts i avsnitt 6.9 kan personuppgifter lämnas ut på flera sätt. Det har också påpekats att varken dataskyddsdirektivet eller personuppgiftslagen innehåller några särskilda bestämmelser som tar sikte på just det sätt på vilket uppgifter lämnas ut. Sättet har emellertid, som utredningen redan framhållit, betydelse från integritetssynpunkt när det gäller att bedöma hur stora risker för obehöriga intrång i enskildas personliga integritet som ett utlämnande typiskt sett medför. Utredningen har därför funnit anledning att i vissa fall reglera uppgiftsutlämnande på medium för automatiserad behandling.
I detta avsnitt behandlas en specialform av elektroniskt uppgiftsutlämnande till mottagare utanför en myndighet, nämligen direktåtkomst. För direktåtkomst gäller, för övrigt i likhet med allt utlämnande av personuppgifter, att den måste vara förenlig dels med de ändamål för vilka den utlämnande myndigheten får behandla personuppgifter, dels med sekretessregleringen.
Begreppet direktåtkomst används ibland också för personalens åtkomst till uppgifter som behandlas inom en myndighet eller inom en myndighets verksamhetsgren. Sådan åtkomst kallas dock i fortsättningen bara för åtkomst för att skilja begreppet från vad som brukar betecknas som direktåtkomst. Även personalens åtkomst behandlas i det följande.
Någon rättslig definition av begreppet direktåtkomst finns inte. Enligt en vedertagen uppfattning, som också lyfts fram i flera lagförarbeten, innebär direktåtkomst en möjlighet att på egen hand ta del av och söka efter uppgifter i en informationssamling som behandlas automatiserat, dock utan att man själv kan bearbeta eller på annat sätt påverka innehållet (se t.ex. prop. 2000/2001:33 s. 110 f.). I vissa fall har användaren emellertid en möjlighet att kopiera och så att säga “hämta hem” informationen till sitt eget system och bearbeta den där (jfr prop. 2001/002:144 s. 35 och Domstolsdatautredningen, SOU 2001:100 s. 149). Personal inom en myndighet som har åtkomst till myndighetens informationssamlingar har förstås ofta också möjlighet att bearbeta och påverka innehållet i samlingen, t.ex. i ett ärendehanteringssystem.
Direktåtkomst kan avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.
I flera författningar som reglerar myndigheters behandling av personuppgifter förekommer det bestämmelser om direktåtkomst till ett visst automatiserat register eller andra samlingar av personuppgifter som behandlas automatiserat. Som exempel härpå kan nämnas 27 § lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet som föreskriver att skattemyndigheterna, Tullverket och Säkerhetspolisen får ha direktåtkomst till vissa uppgiftskategorier som behandlas i kronofogdemyndigheternas gemensamma utsöknings- och indrivningsdatabas. I 6 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården finns en mer allmänt hållen bestämmelse om åtkomst till personuppgifter som behandlas. Enligt bestämmelsen skall åtkomst till personuppgifter som behandlas enligt lagen vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna. (I lagen används dock termen direktåtkomst.) Från integritetssynpunkt har givetvis bestämmelser som dessa betydelse främst för uppgiftssamlingar som är tillgängliga och sökbara via många terminaler i ett datoriserat nätverk.
6.10.2. Nuvarande direktåtkomst i verksamhet enligt utlännings- och medborgarskapslagstiftningen
I verksamhet enligt utlännings- och medborgarskapslagstiftningen har vissa andra myndigheter i dag direktåtkomst till personuppgifter som finns lagrade i Migrationsverkets omfattande datorsystem
STAMM. Som närmare redovisats i avsnitt 4.1.1.2 har Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna, de utlandsmyndigheter som är anslutna till ärendehanteringssystemet Wilma samt Centrala studiestödsnämnden sådan direktåtkomst. Direktåtkomsten varierar såväl till omfattning som till uppgiftsslag. Därutöver har Regeringskansliet viss direktåtkomst till personuppgifter i några av STAMM:s delsystem. Åtkomsten föranleds av regeringens behov av uppgifterna vid sin handläggning av utlännings- och medborgarskapsärenden. Utlänningsnämnden har vidare direktåtkomst till Migrationsverkets system LIFOS, vari samlas praxis, länderinformation och annan information som behövs som allmänt referens- och kunskapsunderlag vid handläggning av utlänningsärenden.
Migrationsverket har direktåtkomst till belastningsregistret och misstankeregistret samt till den nationella enhetens spärrlista i Schengens informationssystem. Migrationsverkets direktåtkomst till dessa av Rikspolisstyrelsen förda register är redan författningsreglerad i förordningen (1999:1134) om belastningsregister, förordningen (1999:1135) om misstankeregistret samt förordningen (2000:836) om Schengens informationssystem. Denna åtkomst berörs därför inte av utredningens vidare överväganden.
I utlänningsdataförordningen föreskrivs att Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna får ha direktåtkomst till Migrationsverkets verksamhetsregister samt att Utlänningsnämnden får ha direktåtkomst till Migrationsverkets landinformationsregister över information som lämnats rörande förhållanden i andra länder. Centrala studiestödsnämndens och Regeringskansliets direktåtkomst till STAMM är däremot inte författningsreglerad. Inte heller har Utlänningsnämndens åtkomst till annan information i LIFOS än den som rör förhållanden i andra länder getts författningsstöd i utlänningsdataförordningen.
När det gäller åtkomst inom en myndighet är det givet att arbetstagare i alla här berörda myndigheter har åtkomst till register, ärendehanteringssystem eller andra gemensamt tillgängliga
uppgiftssamlingar som förs inom den myndighet vid vilken arbetstagaren är anställd. I avsnitt 4.1 har kort berörts att anställdas tillgång till STAMM, LIFOS och andra uppgiftssamlingar prövas individuellt. Migrationsverket tilldelar således varje anställd behörighet att ta del av och arbeta med personuppgifter i den utsträckning arbetstagaren behöver detta för att kunna utföra sina arbetsuppgifter. En mängd olika behörighetsnivåer finns. Trots detta är det ett relativt stort antal arbetstagare som har tillgång till integritetskänsliga personuppgifter som behandlas för ändamålen handläggning av ärenden, utlänningskontroll, mottagningsverksamhet och för informationsåtersökning. När det däremot gäller t.ex. direktåtkomst till personuppgifter i statistik- och uppföljningsdatasystemet PLUS har i dag endast ett begränsat antal anställda tillgång till de i systemet behandlade personuppgifterna. En annan sak är att tillgången till framställd statistik eller andra rapporter kan vara vida spridd sedan uppgifterna väl avidentifierats.
Även vid övriga myndigheter som omfattas av utlänningsdatalagens tillämpningsområde krävs i dag behörigheter av olika grad för åtkomst till myndighetens personuppgiftssamlingar.
6.10.3. Utredningens överväganden
Myndigheters direktåtkomst till personuppgifter som behandlas i register eller andra uppgiftssamlingar av en annan myndighet har sedan lång tid betraktas som särskilt integritetskänslig. I än högre grad har utlämnande till andra än myndigheter genom direktåtkomst ansetts medföra särskilda risker för enskilda. Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av, har genomgående åberopats som grund för att utifrån integritetssynpunkt särskilt reglera direktåtkomst (se t.ex. prop. 2000/01:126 s. 34).
Ett ytterligare skäl att vara återhållsam i fråga om myndigheters direktåtkomst till andra myndigheters automatiserade uppgiftssamlingar är att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos en mottagande myndighet. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir allmänhetens möjlighet att få tillgång till dessa uppgifter. Avser direktåtkomsten sekretessbelagda uppgifter hos den utlämnande myndigheten – vilket ofta är fallet beträffande
personuppgifter som behandlas i verksamhet enlighet utlännings- och medborgarskapslagstiftningen – är det därför, enligt utredningens mening, väsentligt att uppgifterna har ett sekretesskydd även hos den mottagande myndigheten. Det kan här anmärkas att den sekretess enligt 7 kap. 14 § andra stycket sekretesslagen som i allmänhet gäller för personuppgifter inom det aktuella verksamhetsområdet inte automatiskt följer med då uppgifterna sprids utanför det område vari uppgifterna sekretesskyddas.
Det sagda innebär enligt utredningens uppfattning att utlämnande av personuppgifter genom direktåtkomst bör särregleras i förhållande till personuppgiftslagen i syfte att genom regleringen minimera de särskilda risker för otillbörliga intrång i enskildas integritet som är förknippade med direktåtkomst. De grundläggande principerna för utlämnande av personuppgifter genom direktåtkomst bör därvid anges i den föreslagna lagen. Dessa är dels vilka mottagare som skall tillåtas ha direktåtkomst, dels för vilket eller vilka ändamål direktåtkomsten skall tillåtas. Mer detaljerade bestämmelser bör kunna meddelas i en förordning som utfärdas i anslutning till lagen.
Vad utredningen föreslår i det följande avses uttömmande reglera i vilken mån direktåtkomst till personuppgifter som behandlas automatiserat i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall vara tillåten. Personuppgifter får alltså inte lämnas ut genom direktåtkomst i annan utsträckning än vad utlänningsdatalagen medger.
Med tanke på att personuppgiftssamlingarna inom verksamhetsområdet generellt sett är av integritetskänslig karaktär och på att sträng sekretess gäller för en stor del av de behandlade personuppgifterna, bör särregleringen präglas av restriktivitet. Direktåtkomst till personuppgifter bör därför medges endast i den mån det finns särskilda skäl att tillhandahålla uppgifterna på det sättet. Ett sådant särskilt skäl kan vara att direktåtkomst leder till väsentliga effektivitetsvinster jämfört med annat utlämnande på medium för automatiserad behandling. Detta kräver bl.a. att mottagaren har ett påtagligt behov av att hämta in uppgifter från värdmyndigheten i en betydande och frekvent omfattning. Om en mottagande myndighets direktåtkomst leder såväl till en snabbare genomströmning av ärenden som till att beslutsunderlaget blir fylligare och säkrare, är direktåtkomsten till gagn både för samhället och för enskilda sökande. Direktåtkomst bör vid sådant förhållande kunna tillåtas,
under förutsättning att den inte medför oacceptabla försämringar av skyddet för enskildas integritet.
Direktåtkomst mellan myndigheter
Migrationsverket är central utlänningsmyndighet i Sverige och har i denna egenskap en viktig funktion som informationsförsörjare till andra myndigheter som också bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen eller som annars behöver upplysningar om utlänningar som berörs av deras verksamhet. Det är också bara andra myndigheters direktåtkomst till Migrationsverkets personuppgifter som det i detta lagstiftningsärende finns behov av att tillåta. Utredningen föreslår därför att lagen enbart tillåter direktåtkomst till Migrationsverkets personuppgifter. Utredningen har vidare funnit att det inte finns något behov av att utvidga kretsen av myndigheter som skall ha direktåtkomst jämfört med vad som gäller i dag.
Frågan är i stället om alla de myndigheter som i dag har direktåtkomst – Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen, polismyndigheterna, utlandsmyndigheterna samt Centrala studiestödsnämnden – bör ha detta utifrån de utgångspunkter som utredningen anfört i det föregående.
När det gäller Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna är det uppenbart att effektivitetsvinsterna med direktåtkomst är stora. Gemensamt för myndigheterna är dessutom att de behöver uppgifterna för att utföra arbetsuppgifter i verksamhet som föreslås omfattas av utlänningsdatalagens bestämmelser (se avsnitt 6.2.3.1) och för ändamål som anges i utlänningsdatalagen (se avsnitt 6.5.3). Riskerna från integritetssynpunkt med direktåtkomst för myndigheter med samma verksamhetsområde som Migrationsverket är, enligt utredningens uppfattning, betydligt mindre än om de sprids utanför detta område. Visserligen kommer Rikspolisstyrelsens och polismyndigheternas fortsatta behandling att ofta regleras av polisdatalagen. Den lagen ger dock, enligt utredningens mening, ett tillfredsställande integritetsskydd. I övrigt kommer myndigheternas fortsatta hantering av personuppgifterna att regleras av utlänningsdatalagen och dess bestämmelser till skydd för enskildas personliga integritet. Sekretesskyddet för uppgifterna är vidare,
med ett undantag som behandlas nedan, lika starkt hos dessa mottagande myndigheter som hos Migrationsverket.
Som utredningen närmare kommer att utveckla i avsnitt 7 har de uppgifter som Integrationsverket skulle få direktåtkomst till inte ett lika starkt sekretesskydd hos Integrationsverket som hos Migrationsverket. Detta talar i någon mån mot att tillåta direktåtkomst. Uppgifterna som Integrationsverket har direktåtkomst till är emellertid förhållandevis harmlösa. Vidare kommer uppgifterna att behandlas enligt utlänningsdatalagen med det skydd som detta innebär för enskildas personliga integritet. Utredningens slutsats blir därför att Integrationsverket bör medges direktåtkomst.
Vid en samlad bedömning anser utredningen sålunda att det finns skäl att tillåta Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna att ha direktåtkomst till personuppgifter som behandlas av Migrationsverket. En bestämmelse härom föreslås införas i utlänningsdatalagen.
När det gäller Centrala studiestödsnämnden har nämnden för närvarande direktåtkomst till personuppgifter som nämnden behöver för handläggning av ärenden om hemutrustningslån till flyktingar och vissa andra utlänningar (avsnitt 3.3).
Enligt utredningens uppfattning är det mindre lämpligt att sprida integritetskänsliga uppgifter genom direktåtkomst till en mottagande myndighet som behandlar uppgifterna för andra ändamål än de för vilka uppgifterna ursprungligen har insamlats. Det kan vidare påpekas att de vid direktåtkomst tillgängliga personuppgifterna avser också utlänningar som inte är aktuella i Centrala studiestödsnämndens ärenden. Nämndens behandling styrs dessutom i huvudsak endast av personuppgiftslagens bestämmelser. För nämnden gäller t.ex. inga sökbegränsningar vid behandlingen av dessa uppgifter. Även om det torde åvila Migrationsverket att i egenskap av personuppgiftsansvarig myndighet genomföra de rättsliga sökbegränsningarna tekniskt så att det rent faktiskt inte går att söka i uppgiftssamlingarna på ett otillåtet sätt, är detta svagare rättsliga skydd för uppgifterna en omständighet som talar mot att tillåta direktåtkomst för Centrala studiestödsnämnden.
Mot bakgrund av det anförda anser utredningen att nämndens direktåtkomst kan medföra en försämring av de enskildas integritetsskydd jämfört med om uppgifterna lämnas ut på annat sätt. Det bör också vägas in att Centrala studiestödsnämndens behov av uppgifter om utlänningar, som omfattas av nämndens handläggning, utan
alltför mycket merarbete torde kunna tillgodoses på annat sätt än genom direktåtkomst.
Ett ytterligare skäl mot att tillåta direktåtkomst är att de tillgängliga uppgifterna inte får ett lika gott sekretesskydd hos Centrala studiestödsnämnden som hos Migrationsverket. Enligt 9 kap. 5 § andra stycket sekretesslagen gäller sekretess i ärenden om studiestöd och hemutrustningslån för uppgifter om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Såvitt gäller annat än studiestöd under sjukdom gäller sekretessen dock inte beslut i ärenden. Ett rakt skaderekvisit gäller således hos Centrala studiestödsnämnden för samma uppgifter som hos Migrationsverket presumeras vara sekretessbelagda enligt ett omvänt skaderekvisit, dvs. som får lämnas ut bara om det står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider men (7 kap. 14 § andra stycket sekretesslagen). Sekretessen enligt 9 kap. 5 § andra stycket sekretesslagen gäller inte heller för tillgängliga uppgifter om utlänningar som inte förekommer i nämndens ärenden.
Utredningen föreslår således att Centrala studiestödsnämnden inte skall medges direktåtkomst enligt utlänningsdatalagen. Förslaget hindrar självfallet inte att Migrationsverkets lämnar ut personuppgifterna till nämnden på medium för automatiserad behandling. Enligt vad utredningen erfarit förbereds inom Migrationsverket en snar övergång till ett sådant utlämnandesätt. Personuppgifter, som omfattas av författningsreglerade uppgiftsskyldigheter, kommer enligt det nya systemet att överföras från verket till nämnden genom s.k. filöverföring.
Närmare om hur utlämnande av personuppgifter genom direktåtkomst skall regleras
Enligt utredningens uppfattning är det inte lämpligt att i lagen precisera vilka uppgifter eller vilka uppgiftskategorier som direktåtkomsten får avse mer än att direktåtkomsten bara skall vara tillåten till uppgifter som Migrationsverket behandlar för vissa ändamål. Närmare preciseringar eller begränsning bör dock kunna ges i förordningsform, se avsnitt 6.18.3. Vidare bör av lagen uttryckligen framgå för vilka ändamål de mottagande myndigheterna får ha direktåtkomst.
Enligt utredningens bedömning bör direktåtkomsten enbart få förekomma dels till personuppgifter som Migrationsverket behandlar för ändamålet handläggning av ärenden, dels till personuppgifter som Migrationsverket behandlar för ändamålet informationsåtersökning. Av integritetsskäl bör direktåtkomsten inte få avse andra personuppgifter hos Migrationsverket än de nu nämnda. Förslaget i denna del överensstämmer med vad som i dag gäller.
När det gäller det först nämnda ändamålet, handläggning av ärenden, bör samtliga övriga myndigheter som omfattas av utlänningsdatalagens tillämpningsområde få ha direktåtkomst. För Utlänningsnämnden, Integrationsverket och utlandsmyndigheternas del föreslås att direktåtkomsten enbart får syfta till att ge information om personuppgifter som behövs i den mottagande myndighetens handläggning eller biträde vid handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen (dvs. samma ändamål för vilket Migrationsverket behandlar uppgifterna). Även Rikspolisstyrelsen och polismyndigheterna bör tillåtas direktåtkomst för detta ändamål. Polisens åtkomst till dessa uppgifter bör därutöver få användas för att inhämta information som polisen behöver för sin yttre och inre utlänningskontroll.
För att markera att möjligheterna till direktåtkomsten skall tillämpas restriktivt, bör föreskrivas att de tillgängliga personuppgifterna skall vara oundgängligen nödvändiga för att den mottagande myndigheten skall kunna utföra sina arbetsuppgifter.
Vidare bör Utlänningsnämnden, liksom i dag, samt utlandsmyndigheterna få ha direktåtkomst till personuppgifter som behandlas av Migrationsverket för ändamålet informationsåtersökning och som de mottagande myndigheterna behöver för samma ändamål.
Ändamålsbegränsningen innebär att mottagande myndigheter inte får använda direktåtkomsten för annat ändamål än det som bestämmelserna om direktåtkomst anger. Givetvis får informationen inte heller användas i verksamhet som inte alls omfattas av utlänningsdatalagens tillämpningsområde. Polisen får t.ex. inte i brottsutredande syfte kontrollera en brottsmisstänkt utlänning i Migrationsverkets STAMM-bas.
Det förhållandet att en mottagande myndighet, såsom t.ex. är fallet med Wilma-anslutna utlandsmyndigheter, kan registrera uppgifter i den uppgiftssamling till vilken man har direktåtkomst, innebär en fristående behandling av personuppgifter som regleras av utlänningsdatalagens bestämmelser.
I enlighet med utredningens förslag sker utlandsmyndigheternas och Integrationsverkets behandling av personuppgifter för ärendehandläggning under Migrationsverkets personuppgiftsansvar. Migrationsverkets personuppgiftsansvar innebär bl.a. att personuppgifter som behandlas av utlandsmyndigheterna och Integrationsverket och som registreras i eller annars överförs till Migrationsverkets uppgiftssamlingar för fortsatt behandling inte lämnas ut till Migrationsverket i personuppgiftslagens mening. Migrationsverket ansvarar ju också för dessa myndigheters behandlingar av personuppgifterna, däribland för registreringen i STAMM och för annan överföring. Det sagda innebär att Migrationsverket i princip får ha åtkomst till sådana personuppgifter hos utlandsmyndigheter och Integrationsverket som omfattas av personuppgiftsansvaret utan att det särskilt behöver anges i utlänningsdatalagen, eftersom åtkomsten inte innebär något utlämnande av personuppgifter. En annan sak är att sekretess kan hindra att uppgifterna överförs till Migrationsverkets datasystem. Som nyss sagts återkommer utredningen till frågan om direktåtkomst och sekretess i avsnitt 7.
Direktåtkomst för enskilda
Under utredningens arbete har det inte framkommit att det finns något behov hos enskilda subjekt av direktåtkomst till personuppgifter som behandlas av Migrationsverket. Av hänsyn till risken för oacceptabla integritetsintrång anser utredningen vidare att det inte utan mycket starka skäl bör förekomma att andra än myndigheter får direktåtkomst till uppgifter som behandlas enligt utlänningsdatalagen.
Även om det i och för sig kan tänkas finnas ett intresse för en enskild sökande att ha omedelbar tillgång till vissa automatiserat behandlade personuppgifter i ärenden som berör honom eller henne anser utredningen att säkerhetsmässiga skäl åtminstone för närvarande talar emot en sådan åtkomst.
Vilka personer inom myndigheterna skall få ges åtkomst?
Från integritetssynpunkt är det givetvis angeläget att personalens möjlighet att via en direktuppkopplad terminal ta del av och söka efter uppgifter som behandlas inom myndigheten eller av en annan myndighet inte är vidare än nödvändigt. Endast de personer som på
grund av sina arbetsuppgifter behöver tillgång till uppgifterna bör därför ha åtkomst till dem. Redan den sekretess som i stor utsträckning gäller för de integritetskänsliga personuppgifter som behandlas inom myndigheterna utgör emellertid ett starkt incitament för myndigheterna att begränsa personalens åtkomst till uppgifterna.
Personuppgiftslagens allmänna bestämmelser om grundläggande krav på säkerhet vid behandling av personuppgifter (30 och 31 §§personuppgiftslagen) medför vidare att den personuppgiftsansvariga myndigheten måste vidta olika åtgärder för att förhindra missbruk. Ett exempel på en säkerhetsåtgärd kan vara just att åtkomsten till personuppgifter som behandlas begränsas genom system med olika behörighetsnivåer. Vid utredningens kartläggning av den nuvarande behandlingen av personuppgifter har som nyss nämnts framkommit att myndigheterna tillämpar behörighetssystem vars syfte är att begränsa den krets som har tillgång till integritetskänslig eller annars hemlig information till det nödvändiga.
Enligt utredningens mening är det i och för sig inte nödvändigt att införa en bestämmelse i utlänningsdatalagen som närmare anger vilka personer som skall få ges åtkomst till behandlade personuppgifter. Det bör dock uttryckligen framgå av lagen att personuppgiftsansvarig myndighet endast får ge åtkomstbehörighet till de personer som på grund av sina arbetsuppgifter har ett verkligt behov av uppgifterna. Den föreslagna bestämmelsen gäller åtkomst till personuppgifter som behandlas såväl inom den egna myndigheten som av en annan myndighet men till vilken den egna myndigheten har direktåtkomst enligt vad som föreslagits i det föregående.
Utredningen återkommer i avsnitt 6.12 till vad som föreslås gälla i fråga om säkerhet vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
6.11. Information till den registrerade
Utredningens bedömning: Personuppgiftslagens bestämmelser i 23–27 §§ om den information som skall lämnas till den registrerade bör gälla även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Några ytterligare bestämmelser om information behövs inte.
6.11.1. Personuppgiftslagens bestämmelser om information
I 23–27 §§personuppgiftslagen finns bestämmelser om information om behandling av personuppgifter som den personuppgiftsansvarige är skyldig att lämna till den registrerade. Dessa bestämmelser har sin motsvarighet i artikel 10–13 i dataskyddsdirektivet.
Regleringen gäller dels den personuppgiftsansvariges skyldighet att självmant lämna information till den registrerade i samband med att personuppgifterna samlas in (23–25 §§), dels den personuppgiftsansvariges skyldighet att lämna information på den registrerades begäran (26 §). Gemensamt för båda fallen är att bestämmelser om sekretess och tystnadsplikt går före skyldigheten att lämna information (27 §).
Enligt 23 § personuppgiftslagen skall den personuppgiftsansvarige i samband med att personuppgifter samlas in från personen själv, självmant lämna den registrerade information om behandlingen av uppgifterna. Enligt kommentaren till personuppgiftslagen bör huvudregeln vara att den registrerade får information innan han eller hon lämnar uppgifterna eller uppgifterna annars samlas in från honom eller henne (Öman – Lindblom, Personuppgiftslagen En kommentar, 2001, andra uppl, s. 187). Domstolsdatautredningen har beträffande frågan om när information bör lämnas i det fallet att den registrerade själv har sänt in uppgifter till den personuppgiftsansvarige, ansett att det är en rimlig utgångspunkt att myndigheten första gången den tar skriftlig kontakt med den enskilde lämnar information om att uppgifter om denne som lämnas i ett mål eller ärende kan komma att registreras och fortsättningsvis behandlas automatiserat vid handläggningen av målet eller ärendet (SOU 2001:32 s. 125).
När uppgifterna samlas in från någon annan källa än den registrerade, skall den personuppgiftsansvarige enligt 24 § som huvudregel självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras, dvs. när de matas in i en dator eller sorteras in i ett manuellt register som omfattas av lagen. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Från informationsskyldigheten i fråga om uppgifter som samlas in från annan källa än den enskilde själv finns några undantag. Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter i lag eller någon annan författning. Vidare behöver information inte lämnas,
om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.
I 25 § anges vilken information som skall lämnas självmant enligt 23 eller 24 §. Informationen skall omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till, t.ex. på grund av att han eller hon redan har fått informationen i enlighet med annan lagstiftning.
En gång per kalenderår är den personuppgiftsansvarige enligt 26 § skyldig att till var och en som ansöker om det gratis lämna besked huruvida personuppgifter som rör den registrerade behandlas eller ej. Behandlas sådana uppgifter, skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtas, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. I 26 § andra stycket finns det bestämmelser dels om den registrerades ansökan, dels om vid vilken tidpunkt efter ansökan som den personuppgiftsansvarige skall lämna information. Från informationsplikten enligt 26 § gäller endast undantag för personuppgifter i löpande text som inte har fått sin slutliga utformning när den registrerade gjorde sin ansökan eller som utgör minnesanteckning. Förebilden till undantagen är regleringen i 2 kap. 9 § tryckfrihetsförordningen. Praxis kring denna tryckfrihetsbestämmelse torde kunna ge en viss vägledning vid tolkningen av undantagen i 26 § personuppgiftslagen. Med löpande text avses text som inte har strukturerats så att sökning av personuppgifter underlättas. Undantagen gäller emellertid inte om personuppgifter i den löpande texten har lämnats ut till tredje man eller om personuppgifterna i den löpande texten behandlas enbart för historiska, statistiska eller vetenskapliga ändamål. Vidare gäller inte undantagen från informationsplikten om personuppgifterna i den löpande texten har behandlats under längre tid än ett år före den registrerades ansökan.
Från informationsskyldigheten i 23–26 §§ finns ett väsentligt och generellt undantag vid sekretess och tystnadsplikt som enligt 27 § alltid gäller före skyldigheten att lämna information. I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller, enligt 27 §, inte bestämmelserna i 23–26 §§.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om vilken information som skall lämnas till den registrerade och hur lämnandet av informationen skall gå till (50 § e). Regeringen har i 13 § 5 personuppgiftsförordningen bemyndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har emellertid ännu inte utfärdats. Däremot har Datainspektionen gett ut allmänna råd om information till den registrerade enligt personuppgiftslagen.
6.11.2. Utredningens överväganden
I det föregående har påpekats att personuppgiftslagen inte innehåller någon bestämmelse som medger ytterligare undantag i fråga om informationsskyldigheten än dem som framgår av lagen. Anledningen därtill är att personuppgiftslagen inte går längre än vad som krävs med hänsyn till dataskyddsdirektivet (prop. 1997/98:44 s. 79). Personuppgiftslagens informationsbestämmelser uppfyller således direktivets minimikrav. I en särlag för behandling av personuppgifter i en viss verksamhet är det därför bara möjligt att göra andra undantag än dem personuppgiftslagen anger, om verksamheten i fråga inte omfattas av dataskyddsdirektivets tillämpningsområde. Direktivet tillåter dock att informationsskyldigheten utvidgas eller preciseras.
Som utredningen tidigare konstaterat (avsnitt 5.3) är verksamhet enligt utlännings- och medborgarskapslagstiftningen till övervägande del sådan som omfattas av gemenskapsrätten. Utredningen har också bedömt att utlänningsdatalagen inte bör innehålla från dataskyddsdirektivet avvikande särbestämmelser i fråga om behandling av personuppgifter i verksamhet som faller utanför direktivets tillämpningsområde. Vad som faller utanför är t.ex. verksamhet enligt medborgarskapslagstiftningen och lagen om särskild utlänningskontroll.
Den enskildes rätt att få information om behandling av personuppgifter som gäller honom eller henne är en viktig del av det integritetsskydd som personuppgiftslagen och dataskyddsdirektivet syftar till att säkerställa, eftersom den enskilde behöver informationen för att kunna ta till vara sina rättigheter i samband med behandlingen. Enligt utredningens mening finns det inte något beaktansvärt skäl att minska detta integritetsskydd för sådan behandling enligt utlänningsdatalagen som inte omfattas av dataskyddsdirektivet. Enhetliga regler som bygger på direktivet bör således gälla. Det sagda innebär att utredningen inte föreslår någon inskränkning i förhållande till personuppgiftslagens bestämmelser om informationsskyldighet.
Enligt utredningens uppfattning är personuppgiftslagens bestämmelser om den personuppgiftsansvariges informationsplikt tillfredsställande från integritetssynpunkt när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det finns därför inget behov av att utvidga informationsskyldigheten utöver vad som följer av personuppgiftslagen. När personuppgifter behandlas enligt utlänningsdatalagen föreslås således att personuppgiftslagens bestämmelser om information skall gälla. Detta behöver inte särskilt anges i utlänningsdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inget annat sägs (se avsnitt 6.3).
Vidare anser utredningen att 25 och 26 §§personuppgiftslagen ger tillräcklig vägledning i fråga om vad informationen till den enskilde skall innehålla. Reglerna behöver därför inte preciseras i utlänningsdatalagen. Det kommer alltså att ankomma på respektive personuppgiftsansvarig myndighet att själv och inom personuppgiftslagens ramar avgöra vilken information som skall lämnas. När det gäller undantaget från informationsskyldigheten då det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i annan författning (24 § andra stycket personuppgiftslagen), kan framhållas att det enligt utredningens mening är tveksamt om bestämmelserna i utlänningsdatalagen är tillräckligt preciserade för att omfattas av undantaget. Lagen torde nämligen inte uppfylla kravet enligt artikel 11.2 i dataskyddsdirektivet om att registreringen eller utlämnandet måste vara uttryckligen föreskrivet i författning.
Sammanfattningsvis anser utredningen således att någon särbestämmelse om information inte behövs i utlänningsdatalagen.
Förslaget innebär bl.a. att det åligger Migrationsverket att i egenskap av personuppgiftsansvarig lämna sådan information till registre-
rade som personuppgiftslagen föreskriver även såvitt avser behandling som företas av utlandsmyndigheterna och viss behandling av Integrationsverket. Inget hindrar emellertid att det i praktiken är dessa myndigheter som överlämnar Migrationsverkets information till de registrerade eller annars förmedlar ansökningar eller andra förfrågningar från registrerade till Migrationsverket. Utredningen anser vidare att det kan förutsättas att Integrationsverket och utlandsmyndigheterna gör den utredning och de efterforskningar som krävs för att informationsskyldigheten skall kunna uppfyllas i varje enskilt fall.
6.12. Säkerheten vid behandling och Datainspektionens befogenheter
Utredningens bedömning: Personuppgiftslagens bestämmelser om säkerheten vid behandlingen (30 och 31 §§) och tillsynsmyndighetens befogenheter (32 och 43–47 §§) skall gälla också när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Regeringen, eller i vissa fall den myndighet som regeringen bestämmer, bemyndigas att meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas enligt utlänningsdatalagen.
Några särskilda bestämmelser därutöver behövs inte. Datainspektionen skall vara tillsynsmyndighet även då personuppgifter behandlas enligt utlänningsdatalagen.
6.12.1. Personuppgiftslagens bestämmelser om säkerhet vid behandling och tillsynsmyndighetens befogenheter
I 30 och 31 §§personuppgiftslagen finns regler om hur den personuppgiftsansvarige skall organisera arbetet för att garantera säkerheten för personuppgifter som behandlas.
Enligt 30 § får ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Av dataskyddsdirektivet framgår inte hur utförliga instruktioner som den personuppgiftsansvarige måste lämna sina medhjälpare. Datalagskommittén har dock framhållit att den personuppgiftsansvarige i princip bär ansvaret för att
instruktionerna är så tydliga att otillåten behandling inte kommer att utföras (SOU 1997:39 s. 408). Om det i lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet, skall dessa gälla i stället (30 § tredje stycket). Enligt personuppgiftslagens förarbeten avses särskilt bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).
Enligt 31 § skall en personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Personuppgiftslagen föreskriver således inte någon konkret säkerhetsåtgärd som skall eller bör vidtas utan ger en kortfattad och allmänt hållen uppräkning av de faktorer som skall beaktas av den personuppgiftsansvarige. Avsikten är, enligt personuppgiftslagens förarbeten, att regeringen eller myndighet som regeringen bestämmer skall meddela närmare föreskrifter om säkerhetsåtgärder som behövs (prop. 1997/98.44 s. 92). Enligt 50 § b personuppgiftslagen får regeringen eller myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige. I 16 § personuppgiftsförordningen har regeringen bemyndigat tillsynsmyndigheten, dvs. Datainspektionen, att meddela sådana föreskrifter. Några föreskrifter har ännu inte meddelats. Däremot har Datainspektionen gett ut allmänna råd om säkerhet för personuppgifter.
Av 32 § personuppgiftslagen följer att Datainspektionen i enskilda fall får besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta. Datainspektionen har också rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (43 §). Datainspektionen har vidare vissa möjligheter att förelägga vite och att förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än att lagra dem (44–46 §§). Datainspektionen har också möjlighet att hos domstol ansöka om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (47 §).
6.12.2. Utredningens överväganden
Enligt utredningens uppfattning bör personuppgiftslagens bestämmelser om säkerheten vid behandling av personuppgifter gälla även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Att i lagen eller i en förordning som utfärdas med stöd av lagen konkret ange vilka säkerhetsåtgärder som skall vidtas ter sig inte lämpligt. Rent allmänt bör emellertid framhållas att det stora antalet registrerade i här aktuell verksamhet och mängden integritetskänsliga uppgifter medför att höga krav måste ställas på de säkerhetsåtgärder som skall vidtas för att skydda personuppgifterna. Hög kvalitet på tekniska skyddsåtgärder såsom t.ex. säkra funktioner för behörighetskontroll, loggning, kryptering, säkerhetskopiering, antivirusprogram m.m. måste förutsättas, särskilt i en så integritetskänslig och omfattande verksamhet som bedrivs av Migrationsverket. Minst lika viktigt är fasta rutiner för hanteringen av personuppgifter och att personalen kontinuerligt utbildas och informeras om säkerhetsfrågor. Personuppgifter i e-post kan nämnas som ett exempel på behandling som det kan finnas särskild anledning att skapa fasta rutiner och interna säkerhetsregler för.
Det kan vidare nämnas att bestämmelser om säkerhetsåtgärder till skydd för uppgifter finns även i annan lagstiftning, t.ex. i arkivlagen (1990:782) med anknytande författningar. Sådana bestämmelser gäller vid sidan av personuppgiftslagens bestämmelser. Det innebär att en myndighet måste vidta skyddsåtgärder såväl i egenskap av arkivbildande myndighet som i egenskap av personuppgiftsansvarig. Enligt utredningens lagförslag kommer personuppgiftsansvarig myndighet inte alltid att vara identisk med arkivbildande myndighet. Migrationsverket föreslås bli personuppgiftsansvarigt för utlandsmyndigheternas och viss del av Integrationsverkets behandling av personuppgifter enligt lagen. Utlandsmyndigheternas och Integrationsverkets arkivansvar kommer emellertid att kvarstå. Enligt utredningens bedömning finns det inte anledning att befara att detta delvis överlappande ansvar mellan myndigheterna kommer att ge upphov till några problem.
Bestämmelserna om tillsynsmyndighetens befogenheter bör gälla även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Sammanfattningsvis föreslår utredningen således att personuppgiftslagens bestämmelser om säkerheten vid behandling av person-
uppgifter och tillsynsmyndighetens, dvs. Datainspektionens, befogenheter skall gälla även när personuppgifter behandlas enligt den föreslagna utlänningsdatalagen. Som nämnts i avsnitt 6.4 och som närmare kommer att beröras i avsnitt 6.18.6 föreslår utredningen att det i lagen införs ett uttryckligt bemyndigande för regeringen eller i vissa fall den myndighet regeringen bestämmer att meddela föreskrifter om säkerhetsåtgärder. Bemyndigandet syftar främst till att Migrationsverket skall ges rätt att besluta om närmare föreskrifter för sådan behandling av personuppgifter som utförs av Integrationsverket eller utlandsmyndigheterna men som Migrationsverket är personuppgiftsansvarigt för. Detta bemyndigandet utesluter inte att Datainspektionen beslutar om säkerhetsåtgärder i enskilda fall enligt 32 § personuppgiftslagen eller meddelar föreskrifter om säkerhetsåtgärder enligt 16 § 2 personuppgiftsförordningen jämförd med 50 § b personuppgiftslagen.
6.13. Överföring av personuppgifter till tredje land
Utredningens förslag: Myndigheter får föra över uppgifter till tredje land om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamålen handläggning av ärenden eller en myndighets biträde i sådana ärenden, yttre och inre utlänningskontroll, uppgiftsutlämnande samt informationsåtersökning.
6.13.1. Personuppgiftslagens bestämmelser om överföring av personuppgifter till tredje land
Spridning av personuppgifter till tredje land regleras i 33–35 §§personuppgiftslagen. Med tredje land avses en stat som inte ingår i EU eller är ansluten till EES. Regleringen grundas på bestämmelserna i artikel 25 och 26 i dataskyddsdirektivet och ingresspunkt 56–60 till direktivet. Bestämmelserna i direktivet är tämligen detaljerade och komplicerade. För att undvika alltför komplicerad lagstiftning infördes i personuppgiftslagen endast de regler som är nödvändiga med hänsyn till dataskyddsdirektivet, nämligen det grundläggande förbudet mot överföring av personuppgifter till tredje land och de konkreta undantag från förbudet som anges i direktivet (prop. 1997/98:44 s. 95 f.). I övrigt bemyndigades
regeringen eller den myndighet regeringen bestämmer att inom direktivets ram meddela ytterligare undantag från förbudet. Dessa undantag kan vara generella eller avse enskilda fall.
Nedan följer en kortfattad redogörelse för bestämmelserna om överföring av personuppgifter till tredje land. Redogörelsen koncentreras till bestämmelser som är relevanta för utredningens överväganden.
Enligt 33 § personuppgiftslagen gäller ett principiellt förbud mot att till tredje land föra över personuppgifter som är under behandling eller skall behandlas i tredje land, om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna. Vid bedömningen av om skyddsnivån är adekvat skall särskild vikt läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmandelandet och de regler som finns för behandlingen i det tredje landet. Med att personuppgifter är under behandling avses att de är föremål för sådan behandling som omfattas av personuppgiftslagen, dvs. behandling som är helt eller delvis automatiserad eller som sker manuellt i register. Förbudet träffar också personuppgifter som förs över i syfte att de i tredje land skall undergå sådan behandling.
Riktigt vad som i praktiken skall förstås med överföring av personuppgifter till tredje land är svårt att utläsa ur direktivet och personuppgiftslagen. Enligt en kommentar till lagen verkar också det förfarandet att personuppgifter, som undergår automatiserad behandling i Sverige, sänds till tredje land i form av en pappersutskrift omfattas (Öman – Lindblom, Personuppgiftslagen En kommentar, andra upplagan, 2001, s. 246). Enligt kommentaren verkar inte heller krävas att personuppgifterna lämnas ut till tredje man för att reglerna om överföring till tredje land skall vara tillämpliga. Personuppgifterna kan alltså överföras till tredje land även om de fortsätter att vara under den personuppgiftsansvariges kontroll, t.ex. om den personuppgiftsansvarige på en tillfällig resa till tredje land tar med sig en bärbar dator vari personuppgifter dessförinnan lagrats (a.a. s. 247). Motsvarande bedömning har gjorts vid direktivets genomförande i Finland och Danmark medan Norge har intagit en motsatt ståndpunkt. Hur direktivet och lagen i detta avseende skall tolkas blir en fråga för rättstillämpningen, i sista hand EG-domstolen.
Vissa undantag från förbudet i 33 § finns angivna i 34 § personuppgiftslagen. Enligt denna bestämmelse får personuppgifter överföras till tredje land, om den registrerade har lämnat sitt samtycke
till överföringen eller om överföringen är nödvändig för vissa särskilt uppräknade syften. Sistnämnda undantag torde sakna tillämpning för personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter får dessutom överföras för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention (se avsnitt 2.1). En överföring som sker för att följa lagens krav, t.ex. lämnande av information enligt 26 § till en registrerad i tredje land, torde vidare vara tillåten.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela ytterligare undantag från förbudet i 33 § i vissa fall. Undantag får därvid bl.a. föreskrivas för överföring till vissa stater eller om överföring till tredje land behövs med hänsyn till ett viktigt allmänt intresse. I punkt 58 i ingressen till dataskyddsdirektivet anges utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter som exempel på viktiga allmänna intressen.
Det bör vidare påpekas att allt överförande till tredje land av personuppgifter måste vara tillåten behandling enligt 10 och 13– 22 §§ samt uppfylla de grundläggande kraven i 9 § personuppgiftslagen. Ett uppgiftsutlämnande får givetvis inte heller strida mot sekretesslagen.
Här skall vidare nämnas att utlänningsdataförordningen medger att uppgifter som behandlas i ett rättsfallsregister får föras över till tredje land under förutsättning att uppgifterna inte direkt pekar ut den registrerade.
6.13.2. Utredningens överväganden
I utredningens direktiv har regeringen anfört att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen till betydande del är av internationell karaktär samt att överföring av uppgifter till andra EU-länder eller till tredje land är vanligt förekommande inom ramen för olika former av samarbete. Vid utredningens kartläggning av den nuvarande behandlingen i verksamhetsområdet har det framkommit att det i huvudsak är till andra EU-länder eller annars inom EES som personuppgifter överförs för ändamål som föreslås i utlänningsdatalagen.
När det gäller informationsutbytet med utlandsmyndigheter belägna i tredje land bör anmärkas att utlämnande till dem av
personuppgifter – genom direktåtkomst till Migrationsverkets datasystem eller på annat sätt – inte torde innebära att uppgifterna förs över till tredje land i strid mot förbudet i 33 § personuppgiftslagen. Till stöd härför kan artikel 4.1 b) dataskyddsdirektivet åberopas.
I artikel 4 regleras vilken nationell rätt som är tillämplig på behandling av personuppgifter. Av punkt 1 b) i artikeln följer att en medlemsstats nationella rätt skall tillämpas även om den registeransvarige inte är etablerad inom medlemsstatens territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten. Överföring till en utlandsmyndighet kan därför inte ses som en överföring till tredje land. Enligt utredningens uppfattning är det först om utlandsmyndigheten i sin tur lämnar ut personuppgifterna till mottagare i det tredje landet, t.ex. till en förtroendeadvokat eller andra utomstående, som det sker en överföring till tredje land av personuppgifterna.
Internationellt samarbete och informationsutbyte har kommit att spela en alltmer framträdande roll i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna utveckling jämsides med att myndigheternas informationshantering i allt högre grad blir elektronisk medför, enligt utredningen, att det är ett allmänt intresse att personuppgifter som behandlas enligt utlänningsdatalagen bör kunna föras över till tredje land när det krävs för att myndigheterna skall kunna utföra sina uppgifter på ett rationellt och rimligt sätt. Den föreslagna utlänningsdatalagen bör därför inte hindra överföring till tredje land som är befogad utifrån detta allmänintresse.
Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredje land, om den registrerade samtycker till det. Om en registrerad i tredje land t.ex. ansöker om visum vid en utlandsmyndighet, får han eller hon givetvis anses ha samtyckt till den överföring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredje land som inleder en elektronisk kommunikation med en myndighet i Sverige, t.ex. via e-post eller via ett särskilt inrättat elektroniskt ansökningsförfarande, anses samtycka till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredje land. Här får det anses vara fråga om s.k. konkludent handlande som konstituerar ett samtycke.
Emellertid har utredningens genomgång av verksamhetsområdet visat att det ibland finns behov av att överföra personuppgifter till tredje land även i fall där det inte föreligger något samtycke och
inte rimligen heller kan krävas att den registrerades samtycke först inhämtas. Det kan här nämnas att Utredningen om sekretess vid utlandsmyndigheter m.m., i sitt betänkande Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110 s. 66 f.), har redovisat att sekretessbelagda personuppgifter, även utan den registrerades samtycke, ofta lämnas ut till förtroendeadvokater eller andra då utlandsmyndigheter i tredje land biträder utlänningsmyndigheter i Sverige med utredning i enskilda ärenden.
Även andra fall kan tänkas då en utlandsmyndighet, polisen eller en utlänningsmyndighet måste lämna ut personuppgifter till tredje land, t.ex. för att därigenom själva få ytterligare information som behövs i ett ärende eller för identitetskontroll av en utlänning som påträffas i Sverige. Frågor kan också ställas av myndigheter i tredje land till svenska myndigheter. Utlänningsmyndigheterna deltar vidare i olika samarbetsorgan rörande asyl- och migrationsfrågor där även tredje länder medverkar och där det kan bli aktuellt att från svensk sida tillhandahålla sådan allmängiltig information som finns t.ex. i Migrationsverkets informationssamling LIFOS. Även den informationen kan ibland innehålla personuppgifter som omfattas av den föreslagna utlänningsdatalagen.
Mot bakgrund av det sagda är det utredningens slutsats att de i dag tillämpliga undantagen – den registrerades samtycke och undantaget i utlänningsdataförordningen – inte är tillräckliga för all sådan överföring av personuppgifter som avses behandlas enligt utlänningsdatalagen och som sker för ett viktigt allmänt intresse. Ytterligare undantag behövs. En särreglering i utlänningsdatalagen är alltså påkallad.
Utredningen föreslår att en bestämmelse tas in i lagen som ersätter personuppgiftslagens regler om undantag från förbudet mot överföring av personuppgifter till tredje land (34 § första stycket personuppgiftslagen). Förutom med den registrerades samtycke föreslås överföring av personuppgifter till tredje land få ske om det är oundgängligen nödvändigt för den överförande myndighetens handläggning av ärende eller biträde i sådana ärenden, yttre eller inre utlänningskontroll, fullgörande av uppgiftsutlämnande samt för sådan behandling som sker för ändamålet att återsöka information om praxis, förhållanden i andra länder m.m.
Förslaget är enligt utredningens bedömning förenligt med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse. Av hänsyn till integritetsintresset kan det dock finnas anledning att i vissa fall
begränsa vilka uppgiftskategorier som får föras över eller till vilka mottagare som överföringen får ske. Som kommer att framgå i avsnitt 6.18.4 föreslår utredningen därför att regeringen, eller i vissa fall den myndighet regeringen bestämmer, skall bemyndigas att meddela föreskrifter om begränsningar i förhållande till vad lagen medger.
6.14. Anmälan till Datainspektionen m.m.
Utredningens bedömning: Behandling av personuppgifter enligt utlänningsdatalagen behöver inte anmälas till tillsynsmyndigheten (Datainspektionen).
Bestämmelserna i 38–40 §§personuppgiftslagen om personuppgiftsombudets åligganden skall tillämpas.
Bestämmelsen i 41 § personuppgiftslagen om att regeringen får meddela föreskrifter om särskild anmälningsskyldighet till tillsynsmyndigheten och förhandskontroll avseende särskilt integritetskänsliga behandlingar bör gälla även när personuppgifter behandlas enligt utlänningsdatalagen.
Några särbestämmelser i utlänningsdatalagen som gäller det sagda behövs inte.
Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § första stycket personuppgiftslagen av anmälningsskyldighet. Anmälan skall göras skriftligen till Datainspektionen (tillsynsmyndigheten). Anmälningsskyldigheten är emellertid inte undantagslös. Av personuppgiftslagen följer att anmälan inte behöver göras, om den personuppgiftsansvarige har anmält att ett personuppgiftsombud har utsetts och vem det är (37 §). Vidare får regeringen eller den myndighet regeringen bestämmer enligt 36 § tredje stycket meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Sådana föreskrifter finns bl.a. i 3 § 3 personuppgiftsförordningen där det anges att anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen inte gäller för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Personuppgiftsförordningens undantag från anmälningsplikten innebär att behandling av personuppgifter som kommer att regleras av den föreslagna utlännings-
datalagen inte kommer att omfattas av anmälningsskyldigheten såvitt annat inte uttryckligen anges i lagen. Detta gäller alldeles oavsett om ett personuppgiftsombud har utsetts eller inte.
Något skäl att ändå föreskriva anmälningsplikt i utlänningsdatalagen finns inte enligt utredningens uppfattning.
Personuppgiftslagens bestämmelser i 38–40 §§ om personuppgiftsombudets uppgifter bör vidare tillämpas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Visserligen föreligger ingen skyldighet att utse ett personuppgiftsombud enligt personuppgiftslagen. Ombuden fyller dock en viktig funktion för enskildas integritetsskydd. Hos Migrationsverket, Integrationsverket och Utlänningsnämnden finns för närvarande personuppgiftsombud. Enligt utredningens uppfattning bör ombud finnas hos ansvariga myndigheter när det gäller sådan omfattande och integritetskänslig behandling av personuppgifter som här är i fråga.
Slutligen anser utredningen att bestämmelsen i 41 § personuppgiftslagen om att regeringen får meddela föreskrifter om särskild anmälningsskyldighet till tillsynsmyndigheten och förhandskontroll avseende särskilt integritetskänsliga behandlingar, bör gälla även när personuppgifter behandlas enligt utlänningsdatalagen.
Eftersom personuppgiftslagen gäller om inget annat sägs (se avsnitt 6.3), behövs ingen föreskrift i utlänningsdatalagen som berör frågor om anmälning eller personuppgiftsombud.
6.15. Bevarande och gallring m.m.
Utredningens förslag: Personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall bevaras eller gallras i enlighet med arkivlagens bestämmelser. Det behövs ingen bestämmelse om detta i utlänningsdatalagen. Ett undantag föreslås dock för Migrationsverkets fingeravtrycksregister som skall gallras enligt nuvarande ordning. En bestämmelse härom bör intas i en förordning som utfärdas i anslutning till utlänningsdatalagen.
Personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande kärnverksamhet skall avskiljas från dessa uppgiftssamlingar när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter skall vara förbehållen de personer som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Enligt direktiven bör utredningen uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål.
Dataskyddsdirektivet och personuppgiftslagen utgår från att det ligger i den registrerades intresse att personuppgifter inte bevaras. Gallring av elektroniskt lagrade allmänna handlingar är en sedan många år vedertagen metod att skydda enskildas personliga integritet vid behandling av personuppgifter inom offentlig verksamhet.
Frågor om bevarande och gallring berör emellertid inte bara integritetsskydd. Mot den registrerades integritetsintresse står nämligen allmänna och enskilda intressen av att information bevaras såväl för samtiden som för eftervärlden.
Nedan redogörs i korthet för det bakomliggande regelverket i fråga om bevarande och gallring samt för vad som för närvarande gäller i berört hänseende i den verksamhet som omfattas av den föreslagna utlänningsdatalagens tillämpningsområde.
6.15.1. Grundläggande regler
Handlingsoffentligheten
Enligt 2 kap. 1 § tryckfrihetsförordningen har varje svensk medborgare en grundlagsfäst rätt att ta del av allmänna handlingar. Av bestämmelsen framgår att syftet härmed är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar, handlingsoffentligheten, är ett av de viktigaste inslagen i offentlighetsprincipen, dvs. den grundsats som innebär att samhällsorganens verksamhet skall bedrivas under allmän insyn och kontroll.
Handlingsoffentlighetens syften brukar, utöver vad som anges i 2 kap. 1 §, sammanfattningsvis sägas vara att garantera rättssäkerheten samt effektiviteten i förvaltningen och i folkstyret.
Vad som är en allmän handling definieras i 2 kap. tryckfrihetsförordningen. Här skall enbart nämnas att med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Begreppet handling avser alltså inte bara papper med skrift eller bild utan även t.ex. upptagningar för automatiserad behandling, CDromskivor, filmer m.m. Handlingar i form av upptagningar tar inte
sikte på något konkret fysiskt objekt utan på själva informationsinnehållet.
I 15 kap. sekretesslagen finns regler om myndigheternas registreringsskyldighet beträffande allmänna handlingar. Syftet är att garantera allmänhetens rätt att få tillgång till allmänna handlingar. Vad gäller upptagningar för automatisk databehandling finns särbestämmelser i 15 kap.9–14 §§sekretesslagen. Det åligger myndigheter som i sin verksamhet använder automatisk databehandling att bl.a. ordna denna med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar.
Handlingsoffentligheten är emellertid inte undantagslös. Av hänsyn till allmänna eller enskilda intressen gäller en rad undantag som är tillkomna efter en avvägning gentemot intresset av offentlighet. I vilka fall allmänna handlingar är undandragna allmän insyn och kontroll regleras i sekretesslagen.
Personuppgifter som förekommer i verksamhet enligt utlännings- och medborgarskapslagstiftningen kan ofta inte lämnas ut, eftersom en prövning enligt sekretesslagen hindrar ett utlämnande. Den bestämmelse som i första hand är tillämplig finns i 7 kap. 14 § andra stycket sekretesslagen som reglerar sekretessen i verksamhet för kontroll över utlänningar m.m. När det gäller bistånd åt asylsökande m.fl. kan också 7 kap. 4 § tredje stycket sekretesslagen komma i fråga. Den nu berörda sekretessen syftar till att skydda enskildas personliga integritet. När det gäller information om förhållanden i länder varifrån många asylsökande kommer, kan även reglerna om utrikessekretess enligt 2 kap. 1 § sekretesslagen bli tillämpliga.
Arkivvård och gallring
Handlingsoffentligheten bärs upp av arkivsystemet som innebär att allmänna handlingar skall bevaras i arkiv som hålls ordnade bl.a. för att tillgodose allmänhetens rätt att ta del av allmänna handlingar.
Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i arkivlagen (1990:782). Lagen är en ramlag som innehåller allmänna och övergripande bestämmelser för myndigheternas arkiv. Lagbestämmelserna fylls ut av arkivförordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som Riksarkivet utfärdar. Många bestämmelser är teknikoberoende och avser såväl handlingar på
papper som elektroniskt lagrade upptagningar. I lag eller förordning kan meddelas från arkivlagen avvikande regler om gallring av allmänna handlingar som då gäller i stället för arkivlagen.
Riksarkivet är den arkivmyndighet som utövar tillsyn över att Migrationsverket, Utlänningsnämnden, Integrationsverket och Rikspolisstyrelsen fullgör sina skyldigheter enligt arkivlagen. Landsarkiven utövar tillsyn över polismyndigheterna. Utlandsmyndigheterna omfattas av arkivlagens bestämmelser men står inte under någon arkivmyndighets tillsyn. I stället är det Regeringskansliet som skall ha tillsyn över utlandsmyndigheternas arkiv. Regeringskansliet får meddela föreskrifter om bl.a. gallring av allmänna handlingar, se 60 § förordningen (1996:1515) med instruktion för Regeringskansliet. I förarbetena till arkivlagen anges att utrikesrepresentationen, dvs. utlandsmyndigheterna, visserligen är självständiga förvaltningsmyndigheter men att de hör så intimt samman med Utrikesdepartementet att det naturliga är att Utrikesdepartementet, som har en omfattande arkivverksamhet, svarar för utlandsmyndigheterna (prop. 1989/90:72 s. 75).
I 3 § arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet och att de skall bevaras, hållas ordnade och vårdas så att rätten att ta del av allmänna handlingar tillgodoses. Dessutom skall behovet av information för rättskipningen och förvaltningens samt forskningens behov tillgodoses. Med forskning avses i arkivlagen inte enbart professionell, vetenskaplig forskning utan även amatörforskning, t.ex. släktforskning.
Myndigheternas arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast eller koncept) som myndigheten beslutar skall tas om hand för arkivering. För elektronisk information gäller en specialregel. Om upptagningar för automatisk behandling är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, skall upptagningen bilda arkiv endast hos en av myndigheterna. Arkivmyndighet blir i första hand den myndighet som svarar för huvuddelen av upptagningen. Svarar myndigheterna för ungefär lika stora delar av upptagningen, får Riksarkivet meddela föreskrifter om hos vilken myndighet upptagningen skall bilda arkiv (4 § arkivförordningen).
Huvudprincipen enligt arkivlagen är att allmänna handlingar skall bevaras. Enligt 10 § arkivlagen får emellertid gallring ske. Därvid skall beaktas att arkiven utgör en del av kulturarvet och att
det arkivmaterial som återstår skall kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det kan således konstateras att arkivlagen inte föreskriver att bevarande- och gallringsfrågor skall beaktas också utifrån integritetssynpunkt. Gallring kan många gånger föranledas av kostnads- och utrymmeshänsyn.
Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. Traditionella pappershandlingar förstörs fysiskt. När det gäller gallring av elektroniska upptagningar innebär detta normalt att viss information raderas från databäraren.
Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det skall vara fråga om gallring. Gallring kan också ske genom att elektroniskt lagrad information överförs till papper eller mikrofilm, varefter informationen raderas från det elektroniska mediet. Även om rätten till insyn inte försvinner då informationen finns kvar på papper eller på mikrofilmen, så har möjligheterna att få fram informationen försämrats.
Riksarkivet har definierat gallring som förstöring av allmänna handlingar eller uppgifter i allmänna handlingar. Överföring till annan databärare räknas som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet, t.ex. i fråga om elektroniska signaturer. (RA-FS 1994:2 och RA-FS 1997:4).
En statlig myndighet får inte på egen hand avgöra vad som skall gallras ur dess arkiv. Tvärtom får allmänna handlingar hos myndigheten gallras endast i enlighet med föreskrifter eller beslut av Riksarkivet eller i enlighet med gallringsföreskrifter i lag eller förordning. Från arkivlagen avvikande gallringsregler i lagar eller förordningar tar då över arkivlagens regler om bevarande.
I den mån det i särförfattningar för myndigheters behandling av personuppgifter saknas gallringsbestämmelser, tillämpas arkivlagens bestämmelser om bevarande som huvudprincip och gallring som undantag.
I särförfattningar som reglerar myndigheters integritetskänsliga behandling av personuppgifter finns emellertid vanligtvis regler som innebär att uppgifter skall gallras efter viss tid, särskilt i fråga om uppgifter som behandlas automatiserat. Som exempel kan
nämnas lagen (2001:617) om behandling av personuppgifter inom kriminalvården som föreskriver gallring som huvudprincip oberoende av om personuppgifterna behandlas manuellt i register eller automatiserat. Ett annat exempel är lagen (2001:181) om behandling av personuppgifter i skatteförvaltningens beskattningsverksamhet som enbart föreskriver gallring av personuppgifter som behandlas automatiserat. Dessa gallringsbestämmelser har motiverats utifrån integritetssynpunkt för att förhindra att känsliga eller annars ömtåliga uppgifter bevaras i onödan.
I förarbetena till arkivlagen (prop. 1989/90:72 s. 50 f.) konstaterades mot bakgrund av då gällande s.k. registerförfattningar att gallringsbestämmelserna i flertalet registerförfattningar var konstruerade utifrån en omvänd princip i förhållande till arkivlagen, nämligen att gallring skall ske, om inte något annat uttryckligen föreskrivits. Enligt departementschefen var denna omvända princip rimlig med hänsyn till de integritetsintressen som kan föreligga på de särskilda registerförfattningarnas område. Det framhölls vidare att undantag från registerförfattningens gallringsskyldighet, som kan förestavas med hänsyn till insynsaspekten, myndighetens informationsbehov och rättssäkerhetsaspekter, som regel bör tas in direkt i den särskilda registerlagen. Sådana frågor kan nämligen normalt regleras genom generella bestämmelser. Däremot borde, menade departementschefen, konkreta avgöranden av vilka handlingar som bör bevaras med hänsyn till forskningens behov i princip överlåtas på fackkunnigt folk inom arkivmyndigheterna. När det gäller bevarande för forskningens behov förordade departementschefen således att det i lagen slås fast att, utöver de undantag från gallringsplikten som konkret anges i lagen, ytterligare undantag fick föreskrivas av regeringen eller den myndighet som regeringen bestämmer.
Det är i linje med dessa förarbetsuttalanden vanligt att det i de förordningar som utfärdats i anslutning till särlagar i förhållande till personuppgiftslagen, har överlåtits åt Riksarkivet att meddela närmare föreskrifter om undantag från gallringbestämmelser i särlagen.
Avslutningsvis kan nämnas att Offentlighets- och sekretesskommittén, OSEK, i ett nyligen lämnat delbetänkande, Ordning och reda bland allmänna handlingar (SOU 2002:97) har föreslagit en ny lag om hantering av allmänna handlingar. Lagen samordnar regleringen i 15 kap. sekretesslagen om registrering av allmänna handlingar och utlämnande av allmänna handlingar m.m. med arkivlagen. Förslaget remissbehandlas för närvarande.
Enligt 9 § första stycket i) personuppgiftslagen skall den personuppgiftsansvarige se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste uppgifterna avidentifieras eller utplånas.
För myndigheter gäller emellertid 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen och myndigheternas arkivbildning.
Enligt bestämmelsen tillämpas inte personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter i allmänna handlingar. Lagen hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Personuppgiftslagen ställer således inte något krav på att personuppgifter som är allmänna handlingar skall utplånas eller gallras. För personuppgifter som inte är allmänna handlingar gäller dock regeln i 9 § första stycket i), nämligen att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
6.15.2. Nuvarande förhållanden i verksamhet enligt utlännings- och medborgarskapslagstiftningen
Några särbestämmelser om gallring finns inte i utlänningslagen eller annan författning som styr verksamhet som omfattas av den föreslagna utlänningsdatalagens tillämpningsområde. I utlänningsdataförordningen finns endast en bestämmelse om gallring. Denna gäller Migrationsverkets automatiserade fingeravtrycksregister, ur vilket uppgifter skall gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. För övriga uppgifter som förekommer i verksamhetsområdet gäller därmed de regler om bevarande och gallring som följer av arkivlagen. Det innebär att huvudprincipen är att allmänna handlingar inte skall gallras och att gallring får ske endast i enlighet med föreskrifter eller beslut av Riksarkivet eller, beträffande utlandsmyndigheter, av Regeringskansliet.
Riksarkivet har utfärdat några myndighetsspecifika beslut för Migrationsverket och Utlänningsnämnden som gäller gallring av vissa allmänna handlingar. Dessa föreskrifter rör enstaka typer av handlingar av ringa bevarandeintresse och har motiverats av andra intressen än hänsyn till enskildas integritet.
Riksarkivet har dessutom meddelat flera föreskrifter och allmänna råd som gäller generellt för de myndigheter som är underkastade Riksarkivets normgivningskompetens. Riksarkivet har bl.a. meddelat föreskrifter om gallring av handlingar – såväl pappershandlingar som elektroniskt lagrade upptagningar – av tillfällig eller ringa betydelse för myndigheternas verksamhet.
Som framgått av avsnitt 4 förekommer merparten av den automatiserade behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen i datorbaserade system vari personregister ingår som härrör från datalagens giltighetstid. Dessa personregister inrättades och fördes före utlänningsdataförordningens införande med stöd av tillstånd från Datainspektionen.
Enligt datalagen gällde att Datainspektionen skulle meddela föreskrift om bl.a. bevarande och gallring av personuppgifter i den mån det behövdes för att förebygga risk för otillbörliga intrång i personlig integritet. I flera av Datainspektionens tillståndsbeslut – bl.a. tillståndet för Migrationsverkets STAMM från år 1994 och tillståndet för Utlänningsnämndens verksamhetsstödjande register UNik från år 1995 – finns föreskrifter om gallring. För UNik gällde att uppgifter generellt gallrades fortlöpande fem år efter beslutsdatum. För STAMM gällde en mängd särskilda gallringsfrister för olika typer av uppgifter. När det gäller STAMM framgår av tillståndet att gallringen endast gällde den elektroniskt lagrade informationen och inte dokument i “sitt ursprungliga pappersformat”. Detsamma torde ha gällt även för gallringen i UNik och i andra personregister.
Migrationsverket, som av de aktuella myndigheterna står för den i särklass mest omfattande och integritetskänsliga behandlingen av personuppgifter, har under detta år utvecklat ett system enligt vilket personuppgifter avställs, se härom avsnitt 4.1.1.1. Äldre personuppgifter, som bedöms vara inaktuella för myndighetens verksamhet, överförs från den verksamhetsstödjande databasen STAMM till en separat databas där de avställda uppgifterna fortsättningsvis lagras. Någon gallring är det således inte frågan om, t.ex. är sök- och sammanställningsmöjligheterna oförändrade. De avställda uppgifterna är åtkomliga för behörig personal inom
Migrationsverket. Tidpunkten för när uppgifter avställs varierar med ärendeslag och personkategori.
Avställning är en arkivterm som enligt Riksarkivets definition innebär att handlingar eller uppgifter som redan har givits en bestämd ordning tas ut för att ges en annan ordning, Detta sker i allmänhet för att överföra uppgifterna till en ordning, ett format, som är särskilt anpassad för slutlig långtidslagring. Avställning är en teknikoberoende åtgärd som kan användas just på det sätt
Migrationsverket gjort, dvs. vissa data som finns i ett system i drift inaktiveras genom att överföras till ett arkiveringsbart sekundärminne för långtidslagring. Avställning innebär således inte att information förstörs eller försämras utan avser närmast att ställa informationen i ordning för bevarande.
Från datasystemet LIFOS tas en gång om året sådana uppgifter bort som inte längre bedöms ha något värde ur informationssynpunkt.
6.15.3. Utredningens överväganden
6.15.3.1 Bevarande och gallring
I verksamhet enligt utlännings- och medborgarskapslagstiftningen har stora mängder personuppgifter samlats och samlas fortlöpande i manuella och automatiserade register, datorbaserade ärendehanteringssystem och i andra automatiserade uppgiftssamlingar hos de myndigheter som föreslås omfattas av utlänningsdatalagens tillämpningsområde. Frågan är om hänsynen till enskildas integritetsskydd motiverar att det – såsom vanligen gäller enligt motsvarande registerlagar – införs särbestämmelser i förhållande till personuppgiftslagen eller arkivlagen i fråga om hur länge personuppgifter får bevaras.
Personuppgifter som inte är allmänna handlingar
Som redovisats tidigare gäller enligt 9 § första stycket i) och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Efter denna tid måste uppgifterna förstöras eller avidentifieras.
Enligt utredningens uppfattning saknas det anledning att föreslå en härifrån avvikande bestämmelse för personuppgifter som inte är allmänna handlingar. Det innebär bl.a. att personuppgifter i minnesanteckningar, utkast och koncept som en befattningshavare vid någon av de aktuella myndigheterna har skrivit med hjälp av ett ordbehandlingsprogram och som inte tas om hand för arkivering, i allmänhet skall rensas ur datorsystemet eller avidentifieras så snart de inte längre behövs i verksamheten. Det torde nämligen sällan finnas anledning att bevara dessa uppgifter för sådana syften som medger en längre tids bevarande. Eftersom 9 § personuppgiftslagen gäller även då personuppgifter behandlas enligt utlänningsdatalagen, behövs ingen uttrycklig bestämmelse om detta.
Manuellt behandlade personuppgifter i allmänna handlingar
Åtskilliga av de personuppgifter som behandlas i verksamheten är allmänna handlingar. Med den princip som för närvarande gäller skall handlingarna som huvudregel bevaras, dock med möjlighet till särskild gallring med stöd av arkivlagens och arkivförordningens bestämmelser.
För personuppgifter i allmänna handlingar som behandlas manuellt, alltså framställningar i skrift eller bild, och som omfattas av den föreslagna lagen, anser utredningen att en fortsatt tillämpning av de allmänna arkivbestämmelserna är godtagbar utifrån integritetssynpunkt, inte minst med tanke på det starka sekretessskydd som gäller för uppgifterna.
Automatiserat behandlade personuppgifter i allmänna handlingar
När det gäller personuppgifter som behandlas automatiserat, alltså upptagningar som kan läsas endast med tekniskt hjälpmedel, är tekniken så utvecklad att ofattbart stora informationsmängder kan samlas i myndigheternas datorsystem. I princip kan allt vara åtkomligt för en rad tjänstemän vid myndigheterna. Även om sekretess gäller för många uppgifter, är denna typ av behandling integritetskänslig, bl.a. eftersom möjligheterna att sammanställa uppgifterna trots föreslagna sökbegränsningar är mycket stora.
För att minska risken för integritetskränkningar har utredningen därför övervägt att föreslå en lagbestämmelse om att personupp-
gifter, som behandlas automatiserat, som huvudregel skall gallras då de inte längre behövs för verksamheten. En sådan bestämmelse kan emellertid inte reglera detaljfrågor utan måste vara allmänt och principiellt hållen med hänsyn till verksamhetens mångfacetterade art och behov. En gallringsbestämmelse av nu berört slag skulle kunna utformas enligt följande lydelse.
Personuppgifter som behandlas automatiserat skall gallras så snart de inte behövs för de ändamål som anges i 5 § första stycket, dock senast tio år efter utgången av det kalenderår då det senaste ärendet som gäller den registrerade slutligt har avgjorts eller annan åtgärd beträffande honom eller henne har upphört.
Första stycket utgör dock inte hinder mot att personuppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål.
Regeringen, eller den myndighet regeringen bestämmer (förslagsvis Riksarkivet efter samråd med personuppgifts- och arkivansvarig myndighet), skulle vidare kunna ges rätt att föreskriva såväl kortare gallringsfrister som undantag från gallring med hänsyn till verksamhetens behov eller till arkivväsendets ändamål.
Det finns emellertid enligt utredningen tungt vägande skäl mot att ändra den nuvarande ordningen genom att införa gallring som huvudregel för automatiserat behandlade personuppgifter. Dessa skäl sammanhänger med senare års intensifiering av myndigheternas användning av modern informationsteknik samt utveckling mot en allt högre grad av elektronisk akt- och ärendehantering.
Av de myndigheter lagförslaget omfattar, har Migrationsverket planer på en fullständig övergång till en sådan hantering. Enligt planerna kommer information i ärenden och i mottagningsverksamhet i allt väsentligt endast att behandlas och lagras elektroniskt utan att motsvarande information också finns på papper. Personakterna, dossiererna, kommer då inte att vara pappersbaserade. Även den långsiktiga arkiveringen avses ske på medium för automatiserad behandling. Avsikten med planerna är att göra effektivitetsvinster och kostnadsbesparingar. Ett rimligt antagande är att också de andra myndigheter som skall tillämpa utlänningsdatalagen kommer att utvecklas åt samma håll inom en inte alltför avlägsen framtid.
Det är naturligtvis ett samhälleligt intresse att myndigheterna kan effektivisera sin verksamhet. Enligt utredningens uppfattning bör en registerlag inte försvåra en sådan utveckling, såvida inte utvecklingen leder till oacceptabla följder för den personliga integriteten. Ett införande av gallring som huvudregel beträffande automa-
tiserat behandlade personuppgifter kan befaras komma att försvåra en övergång till elektronisk akthantering, eftersom den nya tekniken kan komma i konflikt med de intressen som bär upp arkivverksamheten.
Med tanke på den stränga sekretess – med en sekretesstid för uppgifterna i allmänna handlingar ända upp till 50 år – som råder för stora delar av verksamhetsområdets personuppgifter, väger argument för bevarande i syfte att tillgodose allmänhetens intresse av insyn efter sekretesstidens utgång särskilt tungt. Det är en allvarlig konsekvens av att handlingar som enbart finns i elektronisk form gallras, om gallringen medför att allmänna handlingar som är sekretessbelagda inte alls finns kvar för allmänhetens insyn och för forskningens behov då tiden för handlingssekretessen har löpt ut. Den grundlagsfästa handlingsoffentligheten skulle därmed bli starkt urgröpt beträffande ett statligt område som har tydliga politiska dimensioner och ofta är omdiskuterat av sin samtid. Handlingar från verksamhetsområdet torde i framtiden ha ett stort forskningsvärde för historiker och andra som vill granska den förda politiken, invandrarnas historia m.m.
Efterkommande släktingar till invandrare som vill släktforska kan nämnas som exempel på enskilda som kommer att ha intresse av bevarat material. Att information finns bevarad kan också vara av vikt för den enskilde registrerade som i efterhand kan vilja söka klarhet i händelseförlopp i handläggning av ärenden som berört honom eller henne. Det kan alltså ifrågasättas om enskilda registrerade alltid har ett intresse av att uppgifter från myndighetsutövning rörande honom eller henne inte bevaras.
Även om handlingsoffentligheten och arkivlagens krav torde kunna uppfyllas genom att elektronisk information i register och andra uppgiftssamlingar gallras genom att överföras till och sparas på papper, går bl.a. viktiga sök- och sammanställningsmöjligheter förlorade. Rätten att ta del av s.k. potentiella handlingar försvinner därmed. Att ersätta elektroniskt material med pappersutskrifter torde vidare kräva en hel del merarbete och medföra större förvaringskostnader.
Enligt utredningens mening är det dessutom mindre lämpligt att, såsom fallet blir med gallring som huvudregel, det i praktiken överlåts till de personuppgifts- och arkivansvariga myndigheterna att aktivt bevaka bevarandeintressena. Med gallring som huvudregel kan det nämligen antas att det blir dessa myndigheter som får ta initiativet till avsteg från huvudregeln genom att föreslå undantag
från gallring. Det kan också befaras att så många undantag från gallringsbestämmelsen måste göras att huvudregeln om gallring i själva verket blir undantag.
Det finns många andra sätt att skydda den enskildes integritet än att gallra uppgifter. Redan den sekretess som gäller för merparten av uppgifterna är ett starkt skydd. Vidare anser utredningen att det kan förutsättas att behörighetskontrollen blir strikt styrd enligt utredningens förslag om åtkomst samt att säkerhetsåtgärderna blir effektiva (se avsnittenen 6.10 och 6.12).
Utredningen är medveten om att en avsaknad av gallringsbestämmelse utgör ett väsentligt avsteg från vad som brukar föreskrivas i registerlagar. Många av dessa gallringsbestämmelser torde emellertid förutsätta att samma information finns i sin originalform och sparas på papper. Förvisso motsvarar detta vad som i huvudsak nu gäller i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Enligt utredningens uppfattning bör utlänningsdatalagen emellertid vara mer anpassad till förväntade förhållanden, där andra metoder än gallring kan användas för att skydda enskildas personliga integritet.
Sammanfattningsvis föreslås således att det inte införs någon gallringsbestämmelse i lagen. När det gäller uppgifter i Migrationsverkets fingeravtrycksregister bör emellertid de nuvarande föreskrifterna om gallring bibehållas. En bestämmelse om detta kan lämpligen intas i en förordning som utfärdas i anslutning till lagen.
Utredningen vill dock påpeka att frågor om bevarande eller gallring i registerförfattningar av nu aktuellt slag är komplicerade och att alla aspekter härpå inte har kunnat beaktas inom ramen för utredningens arbete. Enligt utredningens mening finns det därför skäl att i ett annat sammanhang mera grundligt utreda den allmänna intressekonflikten mellan enskildas integritet och bevarande av allmänna handlingar i en offentlig förvaltning som alltmer övergår till elektronisk informationshantering.
6.15.3.2 Avskiljande av inaktuella personuppgifter från automatiserade uppgiftssamlingar
Förslaget att låta arkivlagens bestämmelser om bevarande och gallring gälla också för automatiserat behandlade personuppgifter innebär inte att utredningen anser att det är tillfredsställande från integritetssynpunkt att personuppgifter som inte längre behövs i
verksamheten är tillgängliga för behöriga handläggare i datoriserade register, ärendehanteringssystem och liknande uppgiftssamlingar tillsammans med uppgifter som är aktuella. Utredningen föreslår därför att särskilda åtgärder skall vidtas beträffande inaktuella uppgifter som behandlas i verksamheten för ändamålen att handlägga ärenden, bedriva utlänningskontroll samt mottagningsverksamhet. Det är nämligen för dessa ändamål som stora integritetskänsliga uppgiftssamlingar generellt sett finns tillgängliga för stora grupper av anställd personal.
För denna typ av automatiserade uppgiftssamlingar föreslår utredningen att personuppgifter, som inte längre behövs för den löpande verksamheten, skall plockas bort, avskiljas, från uppgiftssamlingen så att de inte längre är åtkomliga via registrets, ärendehanteringssystemets eller annan uppgiftssamlings applikation för den personal som är involverad i den löpande verksamheten. Endast personal som är i oundgängligt behov av de inaktuella uppgifterna skall därefter medges åtkomst till dem, t.ex. verksarkivarier eller högre beslutsfattare. Den personuppgiftsansvariga myndigheten måste därför göra en särskild behörighetsprövning beträffande de avskilda uppgifterna. Det får vidare inte förekomma att annan myndighets direktåtkomst till Migrationsverkets personuppgifter omfattar avskilda uppgifter.
Hur avskiljandet skall ske bör personuppgiftsansvarig myndighet själv få bestämma. Det får dock inte innebära informationsförlust av något slag. En metod är att uppgifterna avställs till en annan databas på det sätt Migrationsverket för närvarande gör med inaktuella uppgifter i STAMM. Att i lagen ge någon bestämd tidsfrist för när personuppgifterna skall avskiljas behövs inte heller. Självfallet bör personuppgifter om en utlänning avskiljas när han eller hon har beviljats svenskt medborgarskap. En stor mängd personuppgifter om utlänningar som inte varit aktuella i något ärende på lång tid, kan inte heller anses behövas i den löpande verksamheten. Det bör emellertid överlämnas till personuppgiftsansvarig myndighet att närmare besluta när personuppgifter skall avskiljas. Utarbetande av fasta rutiner, tidsplan och dokumentation över avskiljandet torde underlätta för myndigheterna att uppfylla sina skyldigheter enligt den föreslagna bestämmelsen.
Utredningen anser alltså att det inte är nödvändigt att föreslå några särskilda föreskrifter i ämnet. Som utredningen återkommer till i avsnitt 6.18.6 bör dock regeringen, eller i vissa fall den myndighet regeringen bestämmer, ges möjlighet att meddela när-
mare föreskrifter om avskiljande. Syftet härmed är att Migrationsverket genom vidaredelegation från regeringen skall ges möjlighet att meddela särskilda föreskrifter om avskiljande beträffande personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Även när det gäller ändamålen att återsöka rättslig och annan information finns stora mängder information i uppgiftssamlingar tillgänglig för ett stort antal användare, såsom i Migrationsverkets LIFOS. Eftersom många personuppgifter avidentifieras innan de förs in i databasen, bedömer utredningen att integritetshänsyn inte påkallar att dessa uppgifter avskiljs. När det gäller ändamålen framställning av statistik samt planering och uppföljning m.m., är det endast ett fåtal användare som har tillgång till uppgiftssamlingar som förs för dessa ändamål. Något avskiljande behövs därför inte heller när det gäller personuppgifter av nu aktuellt slag.
6.16. Rättelse, skadestånd och straff
Utredningens förslag: Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.
Överträdelser av bestämmelser i utlänningsdatalagen skall inte straffbeläggas.
6.16.1. Rättelse och skadestånd
Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade genast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har meddelats med stöd av lagen, dvs. vidta rättelse. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 § personuppgiftslagen). Att en
uppgift utplånas innebär att den förstörs så att den inte kan återskapas. Det står den personuppgiftsansvarige fritt att välja vilken korrigeringsmetod som bör tillämpas (prop. 1997/98:44 s. 87). Den sist nämnda metoden, utplåning, torde emellertid inte kunna tillämpas när det gäller uppgifter i allmänna handlingar.
Vad som är en felaktig behandling och bör föranleda rättelse är inte möjligt att närmare definiera utan får avgöras efter en bedömning i det enskilda fallet. Felaktigheten kan t.ex. bestå såväl i att den behandlade personuppgiften inte är korrekt som i att en korrekt uppgift har använts på ett felaktigt sätt.
Sker rättelse skall den personuppgiftsansvarige också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, såvida den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid mot lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Enligt utredningens uppfattning bör den enskilde vara berättigad att begära rättelse och skadestånd vid behandling som utförts i strid mot de särskilda bestämmelserna i utlänningsdatalagen men inte samtidigt mot personuppgiftslagens bestämmelser. Personuppgiftslagens bestämmelser är emellertid så utformade att de endast gäller vid behandling i strid mot den lagen. En uttrycklig föreskrift bör därför tas in i utlänningsdatalagen om att personuppgiftslagens bestämmelser om rättelse och skadestånd gäller även då personuppgifter har behandlats i strid mot utlänningsdatalagen.
När det gäller rättelse bör noteras att det enligt 9 § första stycket
h) personuppgiftslagen är ett grundläggande krav på den personuppgiftsansvarige att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e) och g) ställs vidare krav på att den personuppgiftsansvarige ser till att uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är
nödvändigt, aktuella. Den personuppgiftsansvarige måste således – oberoende av bestämmelsen i 28 § om skyldigheten att vidta rättelse på den registrerades begäran – självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Dessa krav, liksom andra grundläggande krav i 9 § första stycket personuppgiftslagen, gäller även då personuppgifter behandlas enligt den föreslagna utlänningsdatalagen och någon uttrycklig bestämmelse om detta eller hänvisning till 9 § personuppgiftslagen behövs inte i särlagen (se avsnitt 6.3).
Den personuppgiftsansvariges skyldighet att självmant korrigera en felaktig eller ofullständig uppgift ställer givetvis krav på att det – i en stor organisation med många anställda som i praktiken behandlar personuppgifter – finns lämpliga rutiner för hur den enskilde anställde skall agera när han eller hon finner att en uppgift bör korrigeras i något avseende. Inte minst viktigt är detta när det gäller utlandsmyndigheternas och Integrationsverket behandling av personuppgifter som sker under Migrationsverkets personuppgiftsansvar. I dessa fall kan det inte sällan handla om korrigering av personuppgifter som tidigare har lämnats ut av Migrationsverket till Integrationsverket genom datasystemet ROSE eller till utlandsmyndigheter på CD-romskiva enligt Alma-systemet. En förutsättning för att Migrationsverket skall kunna uppfylla sina skyldigheter enligt 9 § första stycket personuppgiftslagen torde vara att Integrationsverket och utlandsmyndigheterna regelmässigt underrättar Migrationsverket om att en korrigering enligt 9 § första stycket h) personuppgiftslagen bör utföras eller har utförts vid myndigheten.
6.16.2. Straff
Personuppgiftslagen innehåller också en straffbestämmelse (49 §). Enligt den bestämmelsen kan bl.a. den som uppsåtligen eller av oaktsamhet behandlar uppgifter i strid mot vissa bestämmelser i lagen dömas till straff.
Behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen utförs emellertid vid myndigheter. Den person som gör sig skyldig till en straffbar behandling i strid mot personuppgiftslagen torde ådra sig ansvar för tjänstefel enligt brottsbalkens bestämmelser. Av allt att döma blir det därför inte aktuellt att tillämpa personuppgiftslagens straffbestämmelse i dessa fall. Det kan nämnas att regeringen har gjort motsvarande
bedömningar beträffande en del andra särlagar, se t.ex. polisdatalagen och prop. 1997/98:97 s. 109 eller lagen om behandling av personuppgifter inom kriminalvården och prop. 2000/01:126 s. 42.
Mot bakgrund av det anförda anser utredningen att det saknas anledning att straffbelägga överträdelser av bestämmelser i utlänningsdatalagen. Någon särbestämmelse om straff eller hänvisning till 49 § personuppgiftslagen föreslås därför inte.
6.17. Överklagande
Utredningens förslag: En myndighets beslut om rättelse eller om information enligt 26 § personuppgiftslagen skall kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätten.
Andra beslut får inte överklagas.
Beslut som fattas rörande personuppgifter och som direkt berör den enskilde är beslut att avslå en ansökan om information enligt 26 § personuppgiftslagen samt beslut att avslå en begäran om rättelse.
Enligt utredningens uppfattning bör sådana beslut kunna överklagas då personuppgifter behandlas enligt utredningens lagförslag.
Den normala ordningen när en myndighet fattar ett beslut av förvaltningskaraktär är enligt 22 a § förvaltningslagen (1986:223) att beslutet kan överklagas hos allmän förvaltningsdomstol och att det krävs prövningstillstånd för vidare överklagande till kammarrätten. Samma ordning bör gälla då beslut om information och rättelse enligt personuppgiftslagen överklagas. Detta är också vad som generellt gäller i nyare s.k. registerförfattningar som är anpassade till personuppgiftslagens bestämmelser, se t.ex. 16 § utlänningsdataförordningen och 12 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården.
Övriga beslut enligt lagen torde inte direkt beröra den enskilde och bör därför inte kunna överklagas (jfr prop. 2000/01:33 s. 109 f.).
6.18. Detaljreglering i förordning eller myndighetsföreskrifter
Utredningens förslag: I lagen föreskrivs att regeringen – utöver bemyndiganden rörande fingeravtrycksregistret och utlämnande till enskild på medium för automatiserad behandling – får meddela ytterligare föreskrifter som innebär begränsningar i förhållande till lagens bestämmelser såvitt avser ändamål, personuppgiftskategorier, sökbegrepp, direktåtkomst och överföring till tredje land.
Vidare föreslås att regeringen får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter.
Slutligen föreslås att regeringen får delegera föreskriftsrätten till annan myndighet i fråga om behandling som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. Rätten till vidaredelegation gäller dock inte sökbegränsningar.
I avsnitt 5.3 har utredningen framhållit att detaljfrågor inte bör regleras i utlänningsdatalagen utan i författningar av lägre rang där närmare integritetsavvägningar vid behov kan göras. I avsnitten 6.7. och 6.9 har också föreslagits att regeringen skall meddela närmare föreskrifter om Migrationsverkets fingeravtrycksregister samt att personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Därutöver bör särskilda bestämmelser tas in i lagen enligt vilken regeringen, eller i vissa fall den myndighet regeringen bestämmer, bemyndigas att meddela ytterligare föreskrifter i frågor som det kan finnas skäl att närmare reglera. Vilka dessa frågor är utvecklas i det följande. I samband därmed behandlas bestämmelserna i den förordning som enligt utredningens förslag skall utfärdas i anslutning till utlänningsdatalagen.
6.18.1. Begränsningar i fråga om vissa ändamål och personuppgiftsslag
Det kan i många fall finnas anledning att av hänsyn till enskildas integritet begränsa vilka personuppgifter som får behandlas för ett visst ändamål. Utredningen föreslår därför att regeringen i lagen bemyndigas att meddela begränsningar i förhållande till utlänningsdatalagen i fråga om vilka uppgifter som får behandlas och i fråga om ändamålen för vilka personuppgifter får behandlas. Såsom utredningen återkommer till i avsnitt 6.18.7 bör detaljerade bestämmelser härom kunna, efter vidarebemyndigande i förordning, meddelas i Migrationsverkets myndighetsföreskrifter när det gäller personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Vad gäller vissa personuppgifter eller uppgifter om särskilda personkategorier föreslås dock att några begränsningar framgår av den föreslagna förordningen.
I verksamhet enligt utlännings- och medborgarskapslagstiftningen förekommer ofta personuppgifter om andra personer än dem som omfattas av myndigheternas direkta verksamhet, t.ex. uppgifter om släktingar, referenter, uppgiftslämnare m.m. Likaså är det vanligt att uppgifter om en utlänning som omfattas eller har omfattats av verksamheten förekommer i ett ärende som gäller en annan utlänning. Personuppgifter som på detta sätt används i ärenden eller angelägenheter som inte gäller de registrerade själva bör behandlas med särskild försiktighet. Utredningen föreslår därför att dessa får behandlas för ändamålen handläggning av ärenden och utlänningskontroll enligt 5 kap. utlänningslagen samt för mottagnings- och bosättningsändamål endast om det är oundgängligen nödvändigt. Vad som avses med kravet oundgängligen nödvändigt har utvecklats i avsnitt 6.6.
I förordningen bör vidare införas en motsvarighet till utlänningsdataförordningens bestämmelse om att personuppgifter som direkt pekar ut den registrerade inte får behandlas i Migrationsverkets eller Utlänningsnämndens rättsfallsregister. Något behov av att i den vägledande rättsliga informationen t.ex. namnge registrerade finns inte. Det bör noteras att den föreslagna begränsningen inte gäller behandling av personuppgifter som sker för att ge vägledande information om förhållanden i andra länder. I det sammanhanget är identiteten på en uppgiftslämnare eller andra registrerade ofta mycket viktig för bedömningen av informationens tillförlitlighet.
Enligt utredningens mening finns det vidare inte något tungt vägande behov av att behandla känsliga personuppgifter om ras, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv för ändamålen utlänningskontroll enligt 5 kap. utlänningslagen eller för mottagnings- och bosättningsverksamhet som inte utgör ärendehandläggning. Av förordningen bör framgå att dessa uppgifter inte får behandlas för nämnda ändamål. Däremot får uppgifter som avslöjar etniskt ursprung – t.ex. språk, hemort eller tillhörighet till viss minoritetsgrupp – eller rör hälsa behandlas för ändamålen, om utlänningsdatalagens krav på att uppgifterna skall vara oundgängligen nödvändiga är uppfyllt.
För ändamålet informationsåtersökning får enligt den nu gällande utlänningsdataförordningen känsliga personuppgifter enbart behandlas i löpande text. Den ordningen bör fortfarande gälla och en motsvarande bestämmelse föras in i den nya förordningen.
6.18.2. Utlämnande till enskild på medium för automatiserad behandling
I avsnitt 6.9 har framhållits att utlämnande av personuppgifter på medium för automatiserad behandling innebär särskilda risker för intrång i registrerades personliga integritet. Utredningen har därför föreslagit att regeringen närmare föreskriver om när det sättet för utlämnande till enskild mottagare skall vara tillåtet. I det följande redovisas de fall som enligt utredningens uppfattning kan ske utan otillbörliga intrång i enskildas integritet och som därför bör tillåtas. Givetvis förutsätter förslagen i det följande att uppgifterna över huvud taget får behandlas genom att lämnas ut samt att sekretesslagen inte hindrar ett utlämnande.
För det första anser utredningen att elektroniskt utlämnande av personuppgifter skall tillåtas om den registrerade samtycker till detta.
Oberoende av samtycke bör myndigheterna dessutom ha möjlighet att t.ex. använda e-post för kommunikation med enskilda sökande eller andra som berörs av verksamhet som omfattas av utlänningsdatalagens tillämpningsområde. I den mån personuppgifter som hör till ett ärende eller en angelägenhet som gäller den enskilde skall lämnas ut, bör det kunna få ske elektroniskt utan särskilt krav på samtycke från den registrerade vare sig denne är
identisk med den enskilde eller inte. Bestämmelsen avses emellertid inte medge att beslut expedieras elektroniskt.
Vidare anser utredningen att personuppgifter även skall kunna få lämnas ut elektroniskt till enskild, om detta utlämnandesätt är nödvändigt för den utlämnande myndighetens handläggning av ärenden eller biträde i sådan handläggning eller för Migrationsverkets och Integrationsverkets faktiska mottagnings- respektive bosättningsverksamhet. Kan uppgifterna lika enkelt och säkert utlämnas utan användning av automatiserat medium, bör nödvändighetskravet inte anses uppfyllt. Exempel på när elektroniskt utlämnande till enskild torde vara nödvändigt är Migrationsverkets utlämnande till AB Svenska Pass av personuppgifter på CD-romskiva såsom underlag för bolagets framställning av resedokument och främlingspass. Andra tänkbara exempel på nödvändigt elektroniskt utlämnande till enskild av större mängder personuppgifter är när Migrationsverket anlitar en privat entreprenör för att driva mottagningsförläggning eller annan verksamhet som har samband med mottagningsverksamheten.
Slutligen bör Migrationsverket ges rätt att elektroniskt lämna ut personuppgifter om registrerade utlänningars namn, födelsedatum och adress till Svenska röda korset. Svenska röda korset bedriver en relativt omfattande verksamhet beträffande efterforskningar och familjeåterföreningar av försvunna krigsflyktingar. Enligt en skrift som regeringen har överlämnat till utredningen, se bilaga 2, är Svenska röda korset i behov av de nämnda personuppgifterna för att kunna genomföra denna verksamhet. Att personuppgifterna utlämnas elektroniskt i stället för manuellt anser utredningen kan godtas ur integritetssynpunkt. Som inledningsvis anmärkts krävs dock också att utlämnandet är möjligt enligt sekretesslagen. I avsnitt 7.5 återkommer utredningen till denna sekretessfråga.
6.18.3. Begränsningar i fråga om direktåtkomst
Som utredningen nämnt i avsnitt 6.10 bör närmare preciseringar eller begränsningar av den i utlänningsdatalagen tillåtna direktåtkomsten till Migrationsverkets personuppgifter kunna ges i förordning. Utredningen föreslår därför att regeringen bemyndigas att meddela föreskrifter som innebär begränsningar av de personuppgifter som får omfattas av direktåtkomst. I utredningens förslag till en förordning finns sådana begränsande bestämmelser. Syftet
med dessa är att minimera de integritetsrisker som, enligt vad som sagts i avsnitt 6.10, är förknippade med att personuppgifter lämnas ut från Migrationsverket genom annan myndighets direktåtkomst.
Enligt utredningens bedömning finns det inget behov av att ge regeringen möjlighet att vidaredelegera denna begränsande föreskriftsrätt till Migrationsverket. Det följer nämligen av verkets personuppgiftsansvar att myndigheten inom utlänningsdatalagens ram kan närmare besluta vilka uppgifter som lämnas ut genom direktåtkomst. Det kan här påpekas att utlänningsdatalagens bestämmelser om direktåtkomst inte utgör bestämmelser om uppgiftsskyldighet utan bara anger i vilken omfattning personuppgifter får lämnas ut genom direktåtkomst. Migrationsverket är alltså inte genom utlänningsdatalagen förpliktad att lämna ut uppgifter genom direktåtkomst. Inte heller behövs vidaredelegation för sådan personuppgiftsbehandling som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar, eftersom Integrationsverket och utlandsmyndigheterna enligt den föreslagna utlänningsdatalagen inte får lämna ut personuppgifter till annan genom direktåtkomst.
Regeringskansliet, Utlänningsnämnden, Integrationsverket samt utlandsmyndigheterna
När det gäller Regeringskansliets, Utlänningsnämndens samt utlandsmyndigheternas direktåtkomst för ändamålet handläggning av ärende anser utredningen att de endast skall kunna ges direktåtkomst till personuppgifter som de är i oundgängligt behov av för sin handläggning av eller utredning i ärenden enligt utlänningslagen eller medborgarskapslagen. Regeringskansliets direktåtkomst föreslås således inte få avse uppgifter som krävs för handläggning av ärenden enligt lagen om särskild utlänningskontroll. Personuppgifterna i sist nämnda ärenden torde vara särskilt integritetskänsliga och bör därför inte vara åtkomliga via direktåtkomst.
I förordningen bör också föreskrivas att Integrationsverkets direktåtkomst endast får omfatta personuppgifter som verket är i oundgängligt behov av för sin handläggning av ärenden enligt förordningen om statlig ersättning för flyktingmottagande m.m.
Av hänsyn till de registrerades personliga integritet bör samtliga dessa myndigheters direktåtkomst begränsas så till vida att åtkomsten inte får avse personuppgifter i Migrationsverkets fingerav-
trycksregister eller personuppgifter om andra uppgifter om lagöverträdelser m.m. än sådana som avser beslut om förvar enligt utlänningslagen. Av samma skäl föreslås att direktåtkomsten inte heller får omfatta känsliga personuppgifter som avslöjar ras, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening eller som rör hälsa eller sexualliv. Personuppgifter som avslöjar ett etniskt ursprung bör dock tillåtas med tanke på verksamhetens karaktär.
Rikspolisstyrelsen och polismyndigheterna
Såvitt utredningen erfarit har polisen i dag tillgång till i Migrationsverkets STAMM-bas registrerade uppgifter om sökandes dossiernummer, namn, person- eller samordningsnummer, kön, nuvarande och tidigare medborgarskap, adress, samhörigheter, inresedatum, individstatus (avliden, avviken, verkställd utresa eller hämtning, konstaterad utresa, trolig utresa, frivillig hemresa, avhyst), uppgift om förekomsten av LMA-kort, öppna och avslutade ärenden samt beslut. Dessa uppgifter bör polisen även i fortsättningen kunna få ha direktåtkomst till. Enligt utredningens uppfattning bör det i förordningen anges att Rikspolisstyrelsens och polismyndigheternas direktåtkomst får avse dessa uppgifter.
Dessutom bör Migrationsverket genom föreskrifter kunna medge direktåtkomst till ytterligare personuppgifter som är oundgängligen nödvändiga för polisens fullgörande av sina arbetsuppgifter enligt utlänningslagen. Eftersom sådana föreskrifter utvidgar direktåtkomstens omfattning i förhållande till förordningens begränsningsregel, krävs att Migrationsverket uttryckligen bemyndigas därtill. Direktåtkomst bör dock inte tillåtas till fingeravtrycksregistret eller till känsliga personuppgifter. Migrationsverket skall samråda med Datainspektionen innan direktåtkomst medges till ytterligare personuppgifter än de i förordningen angivna.
6.18.4. Begränsningar i fråga om överföring till tredje land
I avsnitt 6.13 har utredningen föreslagit en särreglering i förhållande till personuppgiftslagen som tillåter överföring av personuppgifter till tredje land i långt större utsträckning än vad som kan ske med stöd av personuppgiftslagen. Utredningen föreslår emellertid att
regeringen skall kunna meddela begräsningar i fråga om överföring till tredje land. Detta bör uttryckligen framgå av utlänningsdatalagen. Vidare föreslås att regeringen skall kunna bemyndiga annan myndighet, dvs. Migrationsverket, att meddela föreskrifter om begränsningar såvitt avser annan myndighets överföring till tredje land som sker under verkets personuppgiftsansvar.
De begränsningar som enligt utredningens förslag bör tas in i förordningen avser för det första en begränsning i fråga om överföring av personuppgifter som behandlas för ändamålet att ge vägledande information om förhållanden i andra länder. Som påpekats i avsnitt 6.18.1 föreslås för detta ändamål ingen begränsning i fråga om personuppgifter som direkt pekar ut en registrerad. Av hänsyn till de registrerades integritet bör dock överföring till tredje land tillåtas endast efter det att direkt utpekande uppgifter borttagits.
Den andra begränsningen som utredningen föreslår gäller utlandsmyndigheterna som utan den registrerades samtycke endast bör få överföra personuppgifter till tredje land, om det krävs för den egna myndighetens handläggning eller för det biträde åt annan myndighet med utredningar i ärenden enligt utlänningslagen eller medborgarskapslagen.
6.18.5. Migrationsverkets fingeravtrycksregister
I avsnitt 6.7 har utredningen föreslagit att regeringen bemyndigas att meddela närmare föreskrifter om Migrationsverkets fingeravtrycksregister. Enligt utredningens uppfattning bör utlänningsdataförordningens regler om registrets innehåll och gallring gälla också fortsättningsvis. Motsvarande bestämmelser bör därför tas in i den föreslagna förordningen. I övrigt bör utlänningsdatalagens och förordningens allmänna bestämmelser tillämpas även i fråga om fingeravtrycksregistret. När det gäller utlämnande av personuppgifter ur registret på medium för automatiserad behandling anser utredningen att utlänningsdatalagens generella regler om sådant utlämnande skall gälla. Någon motsvarighet till utlänningsdataförordningens bestämmelse om sådant utlämnande bör därför inte tas in i förordningen.
6.18.6. Föreskrifter om säkerhetsåtgärder och avskiljande
Som föreslagits i avsnitt 6.11 skall personuppgiftslagens bestämmelser om den personuppgiftsansvariges skyldighet att vidta åtgärder till skydd för behandlade personuppgifter gälla även vid behandling som omfattas av utlänningsdatalagens tillämpningsområde. Den personuppgiftsansvariga myndigheten beslutar om vilka säkerhetsåtgärder som skall vidtas inom den egna myndigheten. Någon uttrycklig bestämmelse om detta behövs inte utan följer av personuppgiftslagen (se 31 § personuppgiftslagen).
Emellertid skall Migrationsverket vara personuppgiftsansvarigt även för utlandsmyndigheternas och i viss utsträckning för Integrationsverkets behandling av personuppgifter som sker med stöd av lagen. Förslaget har motiverats i avsnitt 6.4 där utredningen också framfört att detta personuppgiftsansvar bör förenas med en möjlighet för Migrationsverket att meddela föreskrifter om säkerhetsåtgärder till skydd för de av utlandsmyndigheterna och Integrationsverket behandlade personuppgifterna. Härigenom kan Migrationsverket inom lagens ram närmare reglera t.ex. vilka faktiska skyddsåtgärder utlandsmyndigheterna och Integrationsverket skall vidta i fråga om personuppgifter som behandlas vid myndigheterna under Migrationsverkets personuppgiftsansvar. Eftersom de först nämnda myndigheterna är helt fristående myndigheter i förhållande till Migrationsverket torde en uttrycklig föreskriftsrätt krävas.
Av samma skäl som beträffande säkerhetsåtgärder anser utredningen att Migrationsverket är i behov av en föreskriftsrätt även när det gäller avskiljande av personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. För personuppgifter som behandlas inom den egna myndigheten är de i lagen föreslagna bestämmelserna om avskiljande tillräckliga för att ge personuppgiftsansvariga myndigheter befogenhet att närmare besluta i fråga om avskiljande.
Bemyndigande i lag kan dock inte ges direkt till en förvaltningsmyndighet. I lagen bör därför en bestämmelse tas in om att regeringen får bemyndiga annan myndighet att meddela föreskrifter om säkerhetsåtgärder och avskiljande. Den vidare delegationen från regeringen till Migrationsverket bör tas in i den förordningen som föreslås utfärdas i anslutning till utlänningsdatalagen.
Bemyndigandet i fråga om säkerhetsåtgärder utesluter inte att Datainspektionen beslutar om säkerhetsåtgärder i enskilda fall enligt
32 § personuppgiftslagen eller meddelar föreskrifter om säkerhetsåtgärder enligt 16 § 2 personuppgiftsförordningen jämförd med 50 § b personuppgiftslagen.
6.18.7. Ytterligare föreskrifter
Regeringen bör i lagen bemyndigas att meddela föreskrifter om ytterligare begränsningar såvitt avser sökbegrepp än de som anges i utlänningsdatalagen. Utredningen har dock inte funnit anledning att föreslå någon ytterligare begränsning i förordningen.
Såsom redovisats i avsnitt 6.8.1 kan en myndighet på grund av sökbegränsningar som föreskrivs i lag eller förordning sakna befogenhet att göra sammanställningar av personuppgifter ur en upptagning för automatiserad behandling. En sådan sammanställning anses inte förvarad hos myndigheten och utgör därmed inte heller en allmän handling. Att föreskriva begränsningar i fråga om sökbegrepp är den i registerförfattningar vanliga metoden att begränsa myndigheternas befogenheter att göra sammanställningar.
Sådana sökbegränsningar som beslutas på annat sätt än i lag eller förordning har ingen verkan när det gäller vad som skall anses vara en allmän handling. Enligt utredningens mening är det därför olämpligt att regeringen bemyndigar myndigheterna att meddela föreskrifter om sökbegrepp. Möjlighet till vidaredelegation från regeringen i fråga om sökbegrepp föreslås således inte.
Migrationsverket bör slutligen få meddela ytterligare begränsningar i fråga om de ändamål för vilka personuppgifter får behandlas och av vilka slags personuppgifter som får behandlas när det gäller Integrationsverkets och utlandsmyndigheternas behandling under Migrationsverkets personuppgiftsansvar.
7. Sekretess
7.1. Inledning
Utredningens förslag till utlänningsdatalag syftar till att – inom den ram som är acceptabel med hänsyn till enskildas personliga integritet – möjliggöra för myndigheterna att utbyta personuppgifter med användande av modern och rationell informationsteknik. Detta förutsätter dock att personuppgifterna kan utlämnas även med hänsyn till sekretesslagens (1980:100) bestämmelser.
I utredningsdirektiven anges att det är naturligt att sekretessfrågor kommer upp i sammanhang som rör överföring av känsliga uppgifter mellan olika myndigheter. I det helhetsperspektiv som utredningen skall anlägga ingår även att beakta vad Utredningen om sekretess hos utlandsmyndigheter m.m. har kommit fram till i frågor om sekretess och överföring av uppgifter (SOU 2001:110) och vid behov föreslå kompletterande författningsändringar eller andra åtgärder.
Nedan redogörs för de sekretessregler som i allmänhet kan vara tillämpliga på personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen, avsnitt 7.1. Dessutom redogörs för sådana sekretessbrytande bestämmelser som är aktuella när det gäller utlämnande av sekretessbelagda uppgifter från myndigheter som bedriver sådan verksamhet, avsnitt 7.2. Utredningens kartläggning av den nuvarande behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen har visat att det i dag förekommer rutinmässiga överföringar mellan myndigheter av stora mängder sekretessbelagda personuppgifter genom sådan behandling som avses omfattas av utlänningsdatalagens bestämmelser. I avsnitt 7.3. redovisas vilka bestämmelser myndigheterna synes stödja sig på för att lämna ut dessa uppgifter. Därefter, i avsnitt 7.4, redovisas utredningens överväganden i de sekretessfrågor som redogörelsen i det föregående föranleder. Slutligen behandlas i avsnitt 7.5 den sekretess-
fråga som ställts av Svenska röda korset i den till utredningen överlämnade skrivelsen, bilaga 2.
7.2. Sekretess i verksamhet enligt utlännings- och medborgarskapslagstiftningen
7.2.1. Allmänt om sekretess
I avsnitt 6.15.1 har översiktligt redogjorts för begreppet allmän handling och för allmänhetens grundlagsskyddade rätt att ta del av myndigheternas allmänna handlingar, den s.k. handlingsoffentligheten. Rätten att ta del av allmänna handlingar gäller dock inte undantagslös. I 2 kap. 2 § första stycket tryckfrihetsförordningen anges att denna rätt får begränsas om det är påkallat med hänsyn till vissa särskilt angivna intressen, bl.a. till rikets förhållande till annan stat eller mellanfolklig organisation och till skyddet för enskildas personliga eller ekonomiska förhållanden. Enligt bestämmelsens andra stycke skall sådana begränsningar anges noga i bestämmelse i särskild lag eller i annan lag till vilken den särskilda lagen hänvisar. Den särskilda lag som åsyftas är sekretesslagen.
Sekretesslagen innehåller bl.a. bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar. Enligt 1 kap. 1 § sekretesslagen innebär sekretess förbud att röja en uppgift, vare sig det sker muntligen eller genom att en handling lämnas ut eller om det sker på annat sätt.
En uppgift som omfattas av sekretess får inte röjas för enskild eller för annan myndighet i andra fall än som anges i sekretesslagen eller i lag eller förordning till vilken sekretesslagen hänvisar.
Förbudet att lämna ut en uppgift är i regel inte absolut, vilket tar sig uttryck i att det uppställs skaderekvisit i flertalet materiella sekretessbestämmelser. En avvägning skall göras mot den risk för skada som ett utlämnande kan medföra. Det innebär bl.a. att en uppgift inte skall omfattas av sekretess, om man inte kan förutse någon skada av angiven typ som resultat av att uppgiften lämnas ut.
I lagen förekommer två typer av skaderekvisit, ett rakt och ett omvänt. Det raka skaderekvisitet innebär att sekretess föreligger, om det kan antas att en viss angiven skada uppkommer om uppgiften röjs. Det omvända skaderekvisitet innebär att sekretess föreligger, om det inte står klart att uppgiften kan röjas utan skada. När ett rakt skaderekvisit har ställts upp, presumeras alltså att
uppgiften är offentlig medan presumtionen vid ett omvänt skaderekvisit är att uppgiften omfattas av sekretess.
Det raka skaderekvisitet innebär att skadebedömningen kan göras inom ganska vida ramar (prop. 1979/80:2 del A, s. 80). Avsikten är att bedömningen som regel skall göras med utgångspunkt i själva uppgiften och således inte behöva knytas till en skadebedömning i det enskilda fallet. Avgörande för om sekretess gäller eller inte är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom en viss sekretessbestämmelse. Är uppgiften sådan att den genomsnittligt sett måste betraktas som harmlös, skall den normalt sett falla utanför sekretessen. Om uppgiften å andra sidan är av sådant slag att den lätt kan komma att missbrukas, skall den omfattas av sekretess.
Det omvända skaderekvisitet utgår från att sekretess är huvudregel, vilket innebär att utlämnaren har ett ganska begränsat utrymme för sin bedömning. I praktiken innebär detta att en uppgift som omfattas av en sådan sekretessregel inte kan lämnas ut, om det saknas kännedom om mottagarens identitet och dennes avsikter med uppgiften. Som framhålls i sekretesslagens förarbeten (a. prop. s. 81) innebär konstruktionen med skaderekvisit att frågan om vem som begär en uppgift eller vad som är ändamålet med en begäran kan få betydelse när sekretessfrågan skall avgöras (jfr 2 kap. 14 § tredje stycket tryckfrihetsförordningen).
För att en enskild skall anses lida skada eller men krävs naturligtvis att uppgifterna kan hänföras till denne. Som regel bör man alltså kunna lämna ut avidentifierade uppgifter utan att risk för skada eller men uppkommer.
Flertalet sekretessregler är begränsade till verksamhet av ett visst slag, till ärenden av en angiven art eller till viss myndighet (s.k. primär sekretess). Som huvudregel följer sekretess inte med då en uppgift lämnas ut till en annan myndighet. Uppgiften kan emellertid i många fall vara hemlig även hos den mottagande myndighet på grund av en sekretessbestämmelse som gäller för den myndighetens verksamhet. Särskilda bestämmelser om överföring av sekretess finns dock i 11–13 kap. sekretesslagen.
Om uppgifter som omfattas av sekretess lämnas från en myndighet till en annan och den mottagande myndigheten inte kan åberopa vare sig en primär sekretessregel eller en regel om överföring av sekretess, blir uppgiften som var hemlig hos den ut-
lämnande myndigheten offentlig hos den mottagande myndigheten.
7.2.2. Sekretessbestämmelser som gäller i verksamhet enligt utlännings- och medborgarskapslagstiftningen
I det följande beskrivs de materiella sekretessregler som ofta är tillämpliga för personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen, nämligen utrikessekretessen, utlänningssekretessen, socialtjänstsekretessen, sekretessen för Schengens informationssystem samt statistiksekretessen. Även annan sekretess kan ibland bli aktuell. Sådana andra sekretessbestämmelser som spelar en mindre roll för de stora personuppgiftsflödena mellan eller från de aktuella myndigheterna lämnas emellertid utanför redovisningen.
Utrikessekretessen
Utrikessekretessen regleras i 2 kap. 1 § sekretesslagen och är tillämplig inom all offentlig verksamhet som omfattas av sekretesslagen. Enligt bestämmelsen gäller sekretess för uppgifter som angår Sveriges förbindelser med annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. Ett rakt skaderekvisit gäller vid sekretessprövningen. Utgångspunkten är alltså att alla uppgifter inom utrikessekretessens område är offentliga.
I verksamhet enligt utlännings- och medborgarskapslagstiftningen, såsom denna definieras i utlänningsdatalagen, se avsnitt 6.2, är bestämmelsen om utrikessekretess tillämplig främst beträffande uppgifter som förekommer hos Migrationsverket och Utlänningsnämnden. Utrikessekretessens syfte är att skydda svenska intressen och inte enskilda. Det innebär att personuppgifter kan omfattas av utrikessekretess endast om ett röjande skadar svenska intressen. Så kan vara fallet t.ex. beträffande uppgiftslämnare i reserapporter från s.k. fact findingresor eller i diplomatiska rapporter som Utrikesdepartementet översänder till myndigheterna.
Såsom beskrivits i avsnitt 4.1.6 innehåller Migrationsverkets datasystem LIFOS sådan allmän länderinformation som här avses, däribland personuppgifter om uppgiftslämnare för vilka utrikessekretess torde gälla. Det bör noteras att samma personuppgifter också kan omfattas av sekretess enligt 7 kap. 14 § första stycket sekretesslagen som behandlas i det följande.
Ibland kan också utredningsuppgifter i enskilda ärenden omfattas av utrikessekretess, t.ex. i fråga om identiteten på en informationskälla, om ett röjande bedöms allvarligt kunna försvåra Sveriges fortsatta möjligheter att få tillgång till dylik information (se SOU 2001:110 s. 40).
Utlänningssekretessen
I 7 kap. 14 § sekretesslagen finns bestämmelser om skydd för utlänningar. Sekretesskyddet för utlänningar är avsett att förhindra att röjande av uppgift om utlänning leder till skada som hänger samman med hans eller hennes särskilda förhållanden som utlänning (prop. 1997/80:2 del A, s. 208).
Av paragrafens första stycke framgår att sekretess gäller för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar. Bestämmelsen tar sikte på varje slag av uppgifter som rör utlänningar, oavsett i vilket sammanhang uppgifterna förekommer. Skaderekvisitet är rakt, vilket innebär en presumtion för offentlighet. Skadebedömningen skall, som tidigare nämnts, göras med utgångspunkt i själva uppgiften. Avgörande är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom bestämmelsen. Endast en relativt allvarlig skada skall leda till sekretess. Det krävs nämligen att det kan antas att ett röjande av uppgiften skulle medföra att någon utsätts för övergrepp eller allvarligt men. Enligt uttalanden i förarbetena fordras visserligen inte någon högre grad av sannolikhet för sådan skada för att sekretessen skall gälla, redan en beaktansvärd skaderisk är tillräcklig. Skaderisken skall dock vara föranledd av förhållandet mellan utlänningen och utländsk stat eller organisation av utlänningar (a. prop. s. 209). Som typexempel på fall där sekretess bör gälla, nämns
i förarbetena situationer där röjande av uppgifter om en politisk flykting här i landet leder till repressalier mot flyktingen eller hans anhöriga i hemlandet (a. prop. s. 208). Utredningar och skäl till beslut i asylärenden som handläggs av Migrationsverket respektive Utlänningsnämnden torde inte sällan innehålla sådana uppgifter. Som nyss sagts kan även uppgifter i LIFOS angående enskilda uppgiftslämnare eller andra personer i t.ex. Migrationsverkets reserapporter omfattas av sekretess enligt den aktuella bestämmelsen.
Tillämpningsområdet för utlänningssekretessen enligt paragrafens första stycke är inte begränsat till viss myndighet eller verksamhet eller vissa ärenden. Sekretessen gäller inom hela den offentliga förvaltningen.
Enligt andra stycket i samma paragraf gäller – utöver vad som framgår av första stycket – sekretess för uppgift om enskilds personliga förhållanden i myndighets verksamhet för kontroll över utlänningar och i ärenden om medborgarskap, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Med begreppet men avses främst integritetskränkningar av olika slag som kan uppstå på grund av att uppgifter om någons personliga förhållanden lämnas ut. Det kan också inbegripa ekonomiska konsekvenser för en enskild. Utgångspunkten för en bedömning av om men föreligger är den berörda personens egen upplevelse. Bedömningen kan emellertid i viss utsträckning korrigeras med utgångspunkt i gängse värderingar i samhället.
Uttrycket enskilds personliga förhållanden förekommer på många ställen i sekretesslagen. Vad som menas härmed skall bestämmas med ledning av vanligt språkbruk. Uttrycket avser så vitt skilda förhållanden som t.ex. en persons adress och yttringarna av ett psykiskt sjukdomstillstånd (a. prop. s. 84).
När det gäller verksamhet för kontroll över utlänningar avses inte bara förvaltningsärenden om t.ex. visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning utan också kontrollåtgärder eller annan löpande tillsyn (a. prop. s. 210). När det gäller uppgift i ärende om arbetstillstånd för utlänning omfattas den av sekretess även enligt 8 kap. 2 § sekretesslagen, om det kan antas att den enskilde lider skada om uppgiften röjs.
Med ärende om medborgarskap förstås alla ärenden enligt medborgarskapslagen.
Bestämmelsen i andra stycket innebär att sekretess är huvudregel. Tillämparen har alltså ett betydligt mer begränsat utrymme
för sin bedömning än vad som gäller enligt paragrafens första stycke. Vid bedömning av sekretessfrågan måste hänsyn tas till att uppgifter som i Sverige kan anses som tämligen harmlösa, kan uppfattas som mycket ömtåliga för den som kommer från ett annat land (Regner, Eliason, Heuman: Sekretesslagen, en kommentar, 1998, i fortsättningen Regner m.fl., s. 7:73).
Sekretessen enligt paragrafens andra stycke gäller även anmälan eller annan utsaga som lämnats av enskild i verksamhet för kontroll över utlänningar, t.ex. i ett asylärende. Syftet är att skydda uppgiftslämnaren och dennes närstående. Skyddet gäller emellertid endast om det kan antas att den enskilde löper risk att utsättas för repressalier av allvarligt slag om de lämnade uppgifterna röjs.
Beslut i utlännings- eller medborgarskapsärenden omfattas inte av sekretessbestämmelsen i andra stycket utom såvitt avser uppgifter i skälen.
Paragrafens andra stycke är tillämpligt på en stor del av de personuppgifter som Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna behandlar när de handlägger utlännings- och medborgarskapsärenden eller annars uppfyller åligganden enligt utlänningslagen. I och med det omvända skaderekvisitet presumeras flertalet personuppgifter som Migrationsverkets behandlar i sitt verksamhetsstödjande system STAMM vara hemliga enligt den ifrågavarande bestämmelsen.
Paragrafen om utlänningssekretess har ändrats vid ett flertal tillfällen sedan sekretesslagen trädde i kraft den 1 januari 1981. Från den 1 mars 2003 gäller ett nytt tredje stycke (SFS 2002:1124) som föreskriver sekretess för utlänningars personliga förhållanden hos Integrationsverket. Sekretess gäller enligt bestämmelsen i 1) ärende om statlig ersättning för kostnader för mottagande av flyktingar och andra skyddsbehövande som beviljats uppehållstillstånd och av personer som beviljats uppehållstillstånd på grund av anknytning till sådana utlänningar – dvs. ärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. – samt i 2) verksamhet som avser medverkan till bosättning för personer som omfattas av 1). Sekretessen är begränsad med ett rakt skaderekvisit. Sekretess gäller således endast om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Som huvudprincip är uppgifterna i ärendena och i bosättningsverksamheten alltså offentliga. Enligt bestämmelsens förarbeten är avsikten att Integrationsverket skall kunna hemlig-
hålla typiskt sett integritetskänsliga uppgifter om den enskilde utlänningen, t.ex. om dennes hälsotillstånd eller politiska inställning och liknande uppgifter om anhöriga i hemlandet (prop. 2001/02:191 s. 94 och 115).
Fjärde stycket infördes år 1997 med anledning av Sveriges anslutning till Dublinkonventionen samma år. Dublinkonventionen har, som redovisats i avsnitt 3.1, tillkommit för att garantera att var och en som ansöker om asyl i någon medlemsstat skall få sin asylansökan prövad. I Dublinkonventionens artikel 15 behandlas informationsskyldigheten i individuella asylärenden med närmare angivande av under vilka förutsättningar olika slags personuppgifter skall utväxlas mellan staterna. Av artikel 15.5. framgår att uppgifter som Sverige tar emot bara får användas för i artikeln 15.1 angivna ändamål samt att de bara får lämnas vidare till sådana myndigheter och rättsinstanser som i något avseende handlägger utlänningsärenden.
Enligt den aktuella sekretessbestämmelsen gäller absolut sekretess, i den mån riksdagen har godkänt avtal om detta med främmande stat eller mellanfolklig organisation, för uppgifter som avses i första och andra styckena och som en myndighet har fått enligt avtalet. Något skaderekvisit är alltså inte uppställt. Föreskrifterna i 14 kap. 1–3 §§ får i fråga om denna sekretess inte tillämpas i strid mot avtalet. Bestämmelsens syfte är enligt förarbetena att säkerställa att uppgifter som Sverige tagit emot enligt artikel 15 i Dublinkonventionen endast lämnas vidare till sådana myndigheter och rättsinstanser som nyss nämnts och som avses i artikel 15 punkt 5 (prop. 1996/97:87 s. 19 och 23). När Migrationsverket eller Utlänningsnämnden gör eller får förfrågningar i enlighet med artikel 15 i Dublinkonventionen är den aktuella sekretessbestämmelsen alltså tillämplig på den från utländsk myndighet mottagna informationen. De mottagna personuppgifterna behandlas sedan i myndigheternas automatiserade system.
Inom EU har nyligen antagits en EG-förordning – rådets förordning 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat – som ersätter Dublinkonventionen. Förordningen trädde i kraft den 16 mars 2003 och skall börja tillämpas på asylansökningar som lämnas in fr.o.m. den sjätte månaden från ikraftträdandet. Vilken medlemsstat som har ansvaret för att pröva
en asylansökan som lämnas in dessförinnan skall enligt artikel 29 i förordningen avgöras enligt Dublinkonventionens kriterier.
Ytterligare ändringar i paragrafen har föreslagits av Utredningen om sekretess hos utlandsmyndigheter m.m. I utredningens betänkande Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110) föreslås en skärpning av sekretessen hos utlandsmyndigheterna genom att sekretess enligt andra stycket skall gälla inte bara då en utlandsmyndighet handlägger utlännings- och medborgarskapsärenden utan också då en utlandsmyndighet medverkar i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap genom att biträda handläggande myndighet – dvs. Migrationsverket, Utlänningsnämnden eller polismyndigheter – med utredning. Dessutom föreslås ändringar av utlänningslagen och medborgarskapslagen genom införande av bestämmelser som anger att uppgifter om utlänningar eller enskilds personliga förhållanden får utbytas mellan utlandsmyndigheter och den myndighet som biträds. För att uppgifter skall få lämnas till en utlandsmyndighet krävs, enligt förslaget, att de behövs för att utlandsmyndigheten skall kunna fullgöra sin utredning och att det föreligger särskilda skäl för att uppgiften lämnas. Något krav på särskilda skäl föreslås inte när det gäller utlandsmyndighetens återrapportering till den handläggande myndigheten. Ändringsförslagen i denna del kompletteras med ett förslag till ytterligare ett nytt stycke i 7 kap. 14 § sekretesslagen som anger att uppgifter som avses i första och andra styckena i 7 kap. 14 § får lämnas ut utan hinder av sekretess enligt vad som föreskrivs i utlänningslagen och medborgarskapslagen. Förslaget har remissbehandlats och bereds för närvarande i Regeringskansliet. Enligt vad utredningen inhämtat, är det emellertid osäkert huruvida regeringen kommer att föreslå någon ändring av sekretesslagen när det gäller utlandsmyndigheternas medverkan i utlännings- och medborgarskapsärenden.
Slutligen kan nämnas att Utredningen om översyn av regler och praxis vid verkställighet av avvisnings- och utvisningsbeslut i sitt nyligen lämnade betänkande Verkställighet vid oklar identitet m.m. (SOU 2003:25) bl.a. har funnit att gällande sekretessregler skapar problem i samarbetet mellan Migrationsverket och polismyndigheter i ärenden avseende verkställighet av avvisnings- eller utvisningsbeslut. Utredningen har därför bl.a. föreslagit att Migrationsverket och Utlänningsnämnden åläggs en generell skyldighet att till polismyndighet lämna uppgifter som behövs i sådana ärenden.
Enligt förslaget författningsregleras uppgiftsskyldigheten genom en ny bestämmelse i utlänningslagen.
Socialtjänstsekretessen
I 7 kap. 4 § sekretesslagen regleras sekretess inom socialtjänstens område. I paragrafens tredje stycke beskrivs närmare den s.k. socialtjänstsekretessens omfång. Där anges bl.a. att med socialtjänst jämställs verksamhet rörande ärenden om bistånd åt asylsökande och andra utlänningar. Sekretessen omfattar uppgifter om enskildas personliga förhållanden. I förarbetena till bestämmelsen framhålls att de uppgifter som asylsökande m.fl. kan behöva lämna för att få bistånd kan vara av lika ömtålig art och förtjäna samma skydd som uppgifter som lämnas i ärenden om socialbidrag, t.ex. uppgifter som belyser den enskilde utlänningens hälsotillstånd (prop. 1987/88:80 s. 35).
Presumtionen är för sekretess i och med att ett omvänt skaderekvisit föreskrivs. Uppgifter får lämnas ut, endast om det står klart att uppgifterna kan röjas utan att den enskilde eller någon honom närstående lider men.
Av de myndigheter som enligt utredningens förslag har att tillämpa utlänningsdatalagen är det Migrationsverket som ger sådant bistånd åt asylsökande och andra utlänningar som avses i 7 kap. 4 §. Bestämmelsen om socialtjänstsekretess är således tillämplig beträffande uppgifter om enskildas personliga förhållanden som finns i den ärendehandläggning som Migrationsverket utför enligt lagen (1994:137) om mottagande av asylsökande m.fl. (LMA). Enligt den lagen lämnas bistånd i form av logi, bostadsersättning, dagersättning eller särskilt bidrag (se även avsnitt 3.3). Sekretessen torde vidare även kunna omfatta uppgifter i Migrationsverkets ärenden enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land och enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigas resor till Sverige.
Sekretess för Schengens informationssystem
Enligt 7 kap. 41 § sekretesslagen gäller sekretess hos bl.a. polismyndighet, Rikspolisstyrelsen och Migrationsverket för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem om bl.a. att en person skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (spärrlistan). Ett omvänt skaderekvisit uppställs. Uppgift får således inte lämnas ut, om det inte står klart att så kan ske utan att den enskilde eller någon honom närstående lider men. När det gäller spärrlistan omfattar sekretessen motsvarande uppgifter också hos annan myndighet som prövar ansökningar om visering och uppehållstillstånd, dvs. utlandsmyndigheter eller Utlänningsnämnden. I tredje stycket görs undantag från sekretessen för sådant uppgiftsutlämnande som regleras i polisdatalagen (1998:622) eller i lagen om Schengens informationssystem.
De uppgifter som Migrationsverket har i sitt Sirenedatasystem (som är en kopia av spärrlistan i Rikspolisstyrelsens nationella SISregister, se avsnitt 4.1.2) omfattas av paragrafens tillämpningsområde liksom de uppgifter som utlandsmyndigheterna erhåller vid sina kontroller i viserings- och uppehållstillståndsärenden av om sökandena förekommer i spärrlistan. För utlandsmyndigheter som använder Almasystemet (se avsnitt 4.1.3) kan tilläggas att sekretessbestämmelsen gäller beträffande de utdrag ur spärrlistan som Migrationsverket lagrar på CD-romskivor och lämnar till utlandsmyndigheterna var fjortonde dag.
Statistiksekretess
I 9 kap. 4 § regleras den s.k. statistiksekretessen. Sekretess gäller i sådan verksamhet hos myndigheter som avser framställning av statistik samt, i den utsträckning regeringen föreskriver det, i annan därmed jämförbar undersökning som utförs av myndighet för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är enligt huvudregeln absolut, men det finns undantag för vilka ett omvänt skaderekvisit gäller.
Statistiksekretessen är i verksamhet enligt utlännings- och medborgarskapslagstiftningen tillämplig främst i fråga om den statistik
som Migrationsverket och Integrationsverket kontinuerligt för i datoriserade uppgiftssamlingar och som närmare har beskrivits i avsnitt 4.1.5 och 4.3. För uppgifterna torde ofta gälla även utlännings- eller socialtjänstsekretess.
7.2.3. Begränsningar i sekretessen i förhållande till andra myndigheter
Gemensamt för de myndigheter som föreslås tillämpa utlänningsdatalagen vid sin behandling av personuppgifter är att åtskilliga personuppgifter omfattas av någon eller några av de sekretessbestämmelser som redovisats i det föregående. Som tidigare sagts gäller sekretess också mellan myndigheter. Därutöver kan nämnas att sekretess även gäller mellan olika verksamhetsgrenar inom samma myndighet, när de är att betrakta som självständiga i förhållande till varandra (1 kap. 3 § andra stycket sekretesslagen).
Huvudprincipen om sekretess mellan myndigheter (och mellan olika verksamhetsgrenar) motiveras enligt förarbetena främst av att den skyddar den enskilde (prop. 1979/80 del A s. 90). Den omständigheten att ett större antal tjänstemän får kunskap om ett känsligt förhållande kan upplevas som menligt av den som uppgiften rör. Även om de funktionärer hos en annan myndighet som får del av informationen i sin tur har tystnadsplikt, ökar risken för obehörig vidarespridning. Uppgifter hos annan myndighet kan läggas till grund för åtgärder som, även om de är helt lagenliga, har en negativ innebörd för den enskilde. Sådana åtgärder kan i sekretesslagens mening innebära skada och men för den enskilde. I förarbetena framhålls att ståndpunkten att helt rättsenliga åtgärder ibland kan få bedömas som skada eller men är nödvändig för att sekretess skall kunna upprätthållas även mellan myndigheter (a. prop. s. 83).
Det är emellertid givet att myndigheter ofta behöver utbyta information med varandra, däribland personuppgifter. Myndigheter har dessutom en skyldighet att samverka med andra myndigheter genom att lämna dem hjälp inom ramen för den egna verksamheten, se 6 § förvaltningslagen (1986:223). I 15 kap. 5 § sekretesslagen preciseras denna samverkansskyldighet. I bestämmelsen föreskrivs att en myndighet är skyldig att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte hinder föreligger på grund av sekretess eller av hänsyn till arbetets
behöriga gång. När det gäller sekretessbelagda uppgifter innebär bestämmelsen att en myndighet är skyldig att lämna ut uppgifterna, om den finner att en sekretessbrytande bestämmelse är tillämplig.
Enligt 1 kap. 3 §sekretesslagen får sekretessbelagda uppgifter lämnas till annan myndighet i de fall som anges i sekretesslagen eller i lag eller förordning som sekretesslagen hänvisar till. Följande sekretessbrytande bestämmelser är de mest väsentliga för verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Enligt 1 kap. 5 §sekretesslagen får sekretessbelagda uppgifter lämnas från en myndighet till en annan (eller till en enskild), om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin egen verksamhet. Bestämmelsen är avsedd att tillämpas restriktivt och får t.ex. inte användas endast i syfte att höja myndigheternas effektivitet.
I 14 kap.1–3 §§sekretesslagen finns generella begränsningar i sekretessen mellan olika myndigheter i Sverige (eller olika verksamhetsgrenar).
Sekretess hindrar enligt 14 kap. 1 § inte att en uppgift lämnas till regeringen eller riksdagen. Inte heller hindrar sekretess att sekretessbelagd uppgift lämnas till annan myndighet, om en uppgiftsskyldighet följer av lag eller förordning. För att en bestämmelse om uppgiftsskyldighet skall ha företräde framför en sekretessregel krävs att det är fråga om en uttrycklig uppgiftsskyldighet, uppgiften skall lämnas ut. Enligt förarbetena är det inte nödvändigt att föreskriften i fråga har avfattats med tanke på att uppgifterna kan vara hemliga (prop. 1979/80 del A, s. 322 f.). Däremot krävs för att bestämmelsen skall vara tillämplig att den uppfyller vissa krav på konkretion. Den kan ta sikte på utlämnande av uppgifter av speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse skyldighet för viss myndighet att lämna andra myndigheter information. En författningsreglerad uppgiftsskyldighet innebär att någon sekretessprövning inte behöver göras. Den prövning som görs avser i stället vilka uppgifter som skall lämnas ut till följd av uppgiftsskyldigheten.
En bestämmelse som mera generellt ålägger en myndighet att samarbeta med andra myndigheter anses inte innefatta en uppgiftsskyldighet som här avses. Detsamma gäller bestämmelserna i 15 kap. 5 § sekretesslagen om myndigheternas upplysningsplikt gentemot varandra respektive den allmänna samverkansskyldigheten myndigheter emellan som föreskrivs i 6 § förvaltningslagen
( 1986:223 ) (Regner m.fl. s. 14:6).
Författningsreglerad uppgiftsskyldighet med sekretessbrytande verkan som berör verksamhet enligt utlännings- och medborgarskapslagstiftningen är t.ex. Migrationsverkets respektive Integrationsverkets skyldighet enlig förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar att lämna vissa särskilt angivna uppgifter till Centrala studiestödsnämnden. Ytterligare exempel är Migrationsverkets skyldigheter enligt 6 kap. 13 § a studiestödsförordningen (2000:655) respektive 19 c § förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande att lämna vissa angivna uppgifter till Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd.
I 14 kap. 2 § regleras uppgiftslämnande i vissa särskilda situationer. Av intresse i förevarande sammanhang är andra punkten i paragrafens första stycke enligt vilken sekretess inte hindrar att uppgift, i annat fall än som avses i 14 kap. 1 §, lämnas till en annan myndighet, om uppgiften behövs där för omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer. En sådan omprövning föranleds i allmänhet av ett överklagande. Omprövningen kan också följa av att beslut författningsenligt skall underställas en överordnad myndighet eller att sistnämnd myndighet har befogenhet att på eget initiativ förnya prövningen. Bestämmelsen är t.ex. tillämplig när Migrationsverkets beslut överklagas till Utlänningsnämnden. Det kan anmärkas att det – utöver bestämmelserna i 14 kap. 2 § och sådan särskild författningsreglerad uppgiftsskyldighet som avses i 14 kap. 1 § – inte finns någon allmän befogenhet att lämna en överordnad myndighet sekretessbelagda uppgifter.
I 14 kap. 3 § första stycket finns den s.k. generalklausulen som införts för att inte oförutsedda hinder skall uppkomma i myndigheternas verksamhet. Generalklausulen innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen skall skydda. Den mottagande myndighetens behov av uppgifterna skall vägas mot det intresse som sekretesskyddet typiskt sett tillgodoser. Bestämmelsen är subsidiär i förhållande till 14 kap. 1 och 2 §§.
I förarbetena uttalades att generalklausulen ger särskilt utrymme för informationsutbyte mellan myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller mellan myndigheter som har närbesläktade funktioner och som båda har
rättslig befogenhet att direkt fordra in de utväxlade uppgifterna (prop. 1979/80:2 del A, s. 326 f.).
Generalklausulen hindrar i och för sig inte att utbyte av uppgifter mellan myndigheter sker rutinmässigt även utan särskild författningsreglering. Den bygger emellertid på att rutinmässigt uppgiftsutbyte i regel skall vara författningsreglerat. I de undantagsfall när rutinmässigt uppgiftslämnande inte är författningsreglerat men likväl anses tillräckligt motiverat, måste den intresseavvägning som skall göras enligt generalklausulen ske på förhand. Den behöver då inte avse prövning av individuella fall utan kan göras på ett sätt som liknar den som enligt förarbetena skall ske i fråga om massuttag (a. prop. s. 327). Den särskilda skaderisk som kan vara förbunden med varje enskild uppgift kan man vid massuttag inte bilda sig en uppfattning om. Å andra sidan är beställarens identitet alltid känd och oftast också dennes avsikt med uppgifterna. Dessa kunskaper i förening med en bedömning av den skaderisk som typiskt sett är förbunden med uppgifter av det slag som avses med beställningen bör i de allra flesta fall ge fullt tillräckligt underlag för bedömningen av om sekretessregleringen skall anses hindra ett utlämnande eller inte (a. prop. s. 81). Det sagda innebär enligt utredningen att utrymmet att tillämpa generalklausulen på ett rutinmässigt utlämnande av sådana uppgifter som omfattas av ett omvänt skaderekvisit är begränsat.
Vid tillämpningen av generalklausulen bör hänsyn tas bl.a. till om uppgifterna kommer att omfattas av sekretess hos den mottagande myndigheten i samma utsträckning som hos den utlämnande. Har det i en lag eller förordning föreskrivits att uppgifter “bör” eller “får” lämnas från en myndighet till en annan, finns det särskild anledning att anse att generalklausulen är tillämplig (Regner m.fl., s. 14:27).
Generalklausulen gäller inte i fråga om all sekretess. I 14 kap. 3 § andra stycket anges vissa undantag från bestämmelsens tillämpningsområde. Av intresse i detta sammanhang är undantaget för socialtjänstsekretessen, som enligt vad som tidigare sagts avser bl.a. ärenden om bistånd åt asylsökande och andra utlänningar (se avsnitt 7.2.2). Undantaget innebär alltså att Migrationsverket inte med stöd av generalklausulen kan lämna till annan myndighet sådana uppgifter som hör till ett ärende om bistånd enligt lagen om mottagande av asylsökande m.fl. Vidare kan generalklausulen inte tillämpas, om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen.
Som huvudregel gäller sekretess till skydd för enskild inte i förhållande till den enskilde själv. Vidare kan den enskilde helt eller delvis efterge sekretessen ( 14 kap. 4 § sekretesslagen).
Slutligen kan nämnas att utlämnande av sekretessbelagda uppgifter till utländsk myndighet får ske under de förutsättningar som anges i 1 kap. 3 § tredje stycket sekretesslagen. Där sägs att sekretessbelagd uppgift får lämnas ut till utländsk myndighet eller mellanfolklig organisation, endast om utlämnandet sker i enlighet med särskild föreskrift om det i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. En EG-förordning jämställs med lag. I artikel 249 i Romfördraget anges att en EG-förordning skall vara bindande och direkt tillämplig i varje medlemsstat. En EG-förordning gäller därmed på samma sätt som en nationell lag, dock med företräde
framför lagen i händelse av en kollision.
7.3. Personuppgiftsflödet och sekretess
I avsnitt 4.1. har beskrivits hur personuppgifter rutinmässigt och ibland i stor omfattning lämnas ut från Migrationsverkets datasystem till andra svenska myndigheter och till vissa enskilda mottagare. Till några av de mottagande myndigheterna – Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna, Wilmaanslutna utlandsmyndigheter samt Centrala studiestödsnämnden – sker utlämnandet i dag genom dessa myndigheters direktåtkomst till någon eller några delar av Migrationsverkets datasystem. Till övriga utlandsmyndigheter, Arbetsmarknadsstyrelsen och landstingen sker utlämnandet på annat sätt men ändå på medium för automatiserad behandling medan uppgifter åtminstone än så länge lämnas till Riksskatteverket genom ordinär post. De enskilda mottagare som får personuppgifter i större omfattning är AB Svenska Pass och Nordea (Postgirot). I båda fallen lämnas uppgifterna ut på medium för automatiserad behandling.
Härutöver registrerar Utlänningsnämnden, Integrationsverket, polismyndigheterna och Wilmaanslutna utlandsmyndigheter personuppgifter i Migrationsverkets STAMM-bas för fortsatt lagring i
det systemet. I avsnitt 6.10.3 har framhållits att detta uppgiftsflöde från Integrationsverket och utlandsmyndigheterna till Migrationsverket enligt utredningens bedömning inte innebär att uppgifterna lämnas ut till Migrationsverket i personuppgiftslagens mening, eftersom Migrationsverket är personuppgiftsansvarigt för de andra myndigheternas behandling av uppgifterna i form av registrering. Enligt sekretesslagens regelsystem är det dock fråga om uppgiftslämnande från en myndighet till en annan.
Eftersom de materiella sekretessbestämmelser som beskrivits i avsnitt 7.2.2 är tillämpliga beträffande åtskilliga av de personuppgifter som lämnas ut i enlighet med det sagda, finns det anledning att närmare belysa vilka sekretessregler som aktualiseras vid informationsflödet och vilka sekretessbrytande bestämmelser myndigheterna torde tillämpa då de lämnar ut sekretessbelagda uppgifter. I nästa avsnitt, 7.4, analyseras om regleringen är tillfredsställande och, om så inte är fallet, om det finns skäl att förslå någon författningsändring eller annan åtgärd.
Naturligtvis lämnar, som redan har sagts, de aktuella myndigheterna ut sekretessbelagda personuppgifter även i andra fall än som här berörs. Utredningen har emellertid inte närmare undersökt förekomsten av sådant informationsflöde utan har inriktat granskningen på rutinmässigt informationsflöde som sker i större omfattning utan någon egentlig sekretessprövning i det enskilda fallet.
7.3.1. Direktåtkomst och sekretess
I avsnitt 6.10.3 har påpekats att uppgifter som en myndighet har tillgång till genom direktåtkomst till en annan myndighets automatiserade uppgiftssamlingar, blir allmänna handlingar hos den mottagande myndigheten när upptagningarna har gjorts tillgängliga för myndigheten, se 2 kap. 6 § första stycket tryckfrihetsförordningen. Alldeles oavsett huruvida myndigheten faktiskt använder direktåtkomsten eller inte, är därför varje åtkomlig enskild personuppgift utlämnad till myndigheten redan genom att den blir åtkomlig. Direktåtkomst beträffande uppgifter för vilka gäller sekretess förutsätter således att en sekretessbrytande regel är tilllämplig på utlämnandet.
Här kan anmärkas att all direktåtkomst som förekommer i verksamhet enligt utlännings- och medborgarskapslagstiftningen
grundas på de mottagande myndigheternas behov av uppgifterna. Bestämmelsen i 1 kap. 5 § sekretesslagen om nödvändigt utlämnande för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet torde alltså inte tillämpas.
Som framgått av det tidigare sagda har samtliga myndigheter som i dag har direktåtkomst till personuppgifter i STAMM-basen tillgång till mycket stora mängder personuppgifter för vilka sekretess enligt främst 7 kap. 14 § andra stycket sekretesslagen normalt gäller. Integrationsverkets direktåtkomst till delsystemet ROSE, som verket har för sin handläggning av ärenden om ersättning till kommuner och landsting, omfattar även uppgifter för vilka torde gälla sekretess enligt 7 kap. 4 § sekretesslagen.
Den direktåtkomst Utlänningsnämnden i dag har till LIFOS kan omfatta personuppgifter för vilka gäller sekretess enligt främst 2 kap. 1 § eller 7 kap. 14 § första stycketsekretesslagen. Det bör anmärkas att vägledande beslut i allmänhet avidentifieras innan de görs tillgängliga i LIFOS, varför det i praktiken endast i mycket ringa utsträckning förekommer personuppgifter som är sekretessbelagda enligt 7 kap. 14 § andra stycket sekretesslagen.
Nedan beskrivs vilka sekretessbrytande bestämmelser som Migrationsverket i dag torde tillämpa vid utlämnandet till de olika myndigheter som har direktåtkomst. Utredningen återkommer i nästa avsnitt till hur man kan se på de mottagande myndigheternas registrering av uppgifter i STAMM.
För Utlänningsnämndens direktåtkomst till sekretessbelagda uppgifter i STAMM får det förutsättas att Migrationsverket tillämpar generalklausulen i 14 kap. 3 § sekretesslagen till stöd för utlämnandet. Visserligen tillåter bestämmelsen i 14 kap. 2 § första stycket 2 att uppgifter lämnas till en myndighet som skall ompröva beslut eller åtgärd av den myndighet där uppgiften förekommer. Den bestämmelsen omfattar emellertid endast uppgifter om personer som är aktuella i överklagade ärenden vid Utlänningsnämnden. Nämndens nuvarande tillgång till uppgifter avser, enligt vad utredningen upplysts om, alla i STAMM registrerade utländska sökande. Även när det gäller Utlänningsnämndens direktåtkomst till sekretessbelagda uppgifter i LIFOS sker utlämnandet under åberopande av generalklausulen i 14 kap. 3 § sekretesslagen.
Integrationsverkets direktåtkomst avser personuppgifter som
Integrationsverket behöver som underlag vid sin handläggning av ärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. Förordningen har ändrats fr.o.m. den
1 januari 2003 (SFS 2002:1056), bl.a. genom att det i 40 § föreskrivs att Migrationsverket på begäran skall lämna uppgifter till Integrationsverket om uppgifterna behövs i ärenden om ersättning till kommuner och landsting enligt förordningen. Detta innebär att Migrationsverket numera kan tillämpa 14 kap. 1 § sekretesslagen i fråga om Integrationsverkets direktåtkomst.
Beträffande Rikspolisstyrelsens och polismyndigheternas samt
Wilmaanslutna utlandsmyndigheters direktåtkomst saknas någon särreglering av Migrationsverkets uppgiftslämnande. Direktåtkomsten till de sekretessbelagda uppgifterna förutsätter således för närvarande att Migrationsverket, enligt en prövning på förhand, lämnar ut uppgifterna med stöd av generalklausulen i 14 kap. 3 § sekretesslagen.
Som nämnts i avsnitt 7.2.3 har Migrationsverket en författningsreglerad skyldighet att lämna vissa uppgifter till Centrala studiestödsnämnden. Nämnden har direktåtkomst till STAMM. Utlämnandet till nämnden såvitt avser dessa uppgifter kan således ske enligt 14 kap. 1 § sekretesslagen. Uppgiftsskyldigheten omfattar dock endast utlänningar som är parter i ärenden vid nämnden. Åtkomliga uppgifter om andra utlänningar torde Migrationsverket lämna ut med åberopande av generalklausulen.
7.3.2. Annat rutinmässigt utlämnande och sekretess
För Migrationsverkets utlämnande av uppgifter på CD-rom till utlandsmyndigheter enligt Almasystemet gäller samma som beträffande Wilmaanslutna utlandsmyndigheter, nämligen att uppgifter som omfattas av sekretess enligt 7 kap. 14 § andra stycket sekretesslagen torde lämnas ut av Migrationsverket med tillämpning av generalklausulen i 14 kap. 3 § sekretesslagen.
Samma sekretess gäller för personuppgifter som Migrationsverket rutinmässigt lämnar på medium för automatiserad behandling till Integrationverket i samband med att Integrationsverket skall medverka vid enskilda utlänningars bosättning efter erhållet uppehållstillstånd. I dessa fall inhämtas dock regelmässigt den enskildes samtycke till att uppgifterna lämnas ut till Integrationsverket. Uppgifterna kan därmed lämnas ut med stöd av 14 kap 4 § sekretesslagen.
Från Migrationsverket sänds uppgifter genom on line-förbindelse till Arbetsmarknadsstyrelsen om alla beviljade arbetstillstånd.
Vidare underrättas Riksskatteverket om alla beviljade svenska medborgarskap. Uppgifterna avser således endast själva besluten i dessa utlännings- och medborgarskapsärenden. För uppgifter i sådana beslut gäller inte bestämmelsen om sekretess enligt 7 kap. 14 § andra stycket. Inte heller är uppgifterna rimligen av den karaktären att de omfattas av sekretess enligt samma paragrafs första stycke. De utlämnade uppgifterna är alltså offentliga.
Enligt folkbokföringsförordningen (1991:749) åligger det Migrationsverket och Integrationsverket att under vissa förhållanden underrätta skattemyndighet om enskilds adress. På förslag av Riksskatteverket övervägs för närvarande en ändring av förordningen som innebär att Migrationsverket skall underrätta skattemyndigheterna om att utlänning, som haft tillfälligt uppehållstillstånd, inte har sökt förlängning av tillståndet inom tre månader från det tillståndet löpt ut. Uppgiftsskyldighet enligt folkbokföringsförordning innebär att de i förordningen avsedda uppgifterna, som kan omfattas av utlänningssekretess, lämnas ut med stöd av 14 kap. 1 § sekretesslagen.
Även till landstingen lämnar Migrationsverket rutinmässigt ut personuppgifter. Det sker på disketter med lagrade personuppgifter om vilka asylsökande som har skrivits in på olika flyktingförläggningar. Visserligen är logi en form av bistånd som lämnas till en utlänning enligt 13 § lagen om mottagande av asylsökande m.fl., vilket kan tala för att bestämmelsen om socialtjänstsekretess i 7 kap. 4 § sekretesslagen skulle vara tillämplig. Uppgiften hos Migrationsverket om på vilken flyktingförläggning en utlänning är inskriven torde emellertid, enligt utredningens bedömning, inte kunna hänföras till ett ärende om bistånd enligt lagen om mottagande av asylsökande m.fl. Däremot kan normalt sekretess gälla för uppgiften enligt 7 kap. 14 § andra stycket sekretesslagen. Migrationsverket torde därmed tillämpa generalklausulen vid utlämnandet.
Härutöver har framkommit att det finns ett behov av att Migrationsverket skall kunna rutinmässigt lämna ut uppgifter om asylsökande barn och ungdomar till kommuner för att kommunerna skall kunna uppfylla sina skyldigheter enligt förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl. Behovet omfattar uppgifter om barnens och ungdomarnas namn, födelsedatum och bostadsadress. Utan dessa uppgifter kan kommunerna t.ex. inte tillskriva barnens målsman med kallelse till skola.
Såsom nämnts tidigare lämnar Migrationsverket på CD-romskiva ut uppgifter om utlänningars namn, födelsedatum, fotografi, namnteckning m.m. till AB Svenska Pass, som ombesörjer den faktiska framställningen av resedokument och främlingspass. Sekretess gäller hos verket för uppgifterna enligt 7 kap. 14 § andra stycket sekretesslagen. Utfärdande av resedokument och främlingspass är emellertid uppgifter som åvilar Migrationsverket enligt utlänningslagstiftningen. Enligt uppgift tillämpar Migrationsverket 1 kap. 5 § sekretesslagen vid utlämnandet i den mån den enskilde inte lämnar sitt samtycke till utlämnandet.
Vid Migrationsverkets filöverföring av uppgifter om belopp och enskildas kontonummer till Nordea (Postgirot) i samband med utbetalningar av ersättningar enligt lagen om mottagande av asylsökande m.fl., får det enligt utredningens bedömning anses vara klart att dessa uppgifter kan lämnas ut till Nordea utan att den enskilde eller någon honom eller henne närstående lider men. Sekretess gäller således inte för uppgifterna.
När det gäller Utlänningsnämndens, polismyndigheternas och Wilmaanslutna utlandsmyndigheters registrering av personuppgifter i Migrationsverkets automatiserade uppgiftssamlingar avser det uppgifter som normalt är sekretessbelagda enligt 7 kap. 14 § andra stycket sekretesslagen. Någon särreglering av uppgiftslämnandet finns inte utan myndigheterna torde tillämpa generalklausulen till stöd för att lämna uppgifterna till Migrationsverket.
För Integrationsverkets utlämnande av personuppgifter till Migrationsverket genom registrering i STAMM-basens delsystem ROSE i samband med handläggningen av ärenden om statlig ersättning för kostnader för flyktingmottagande, kan uppgifterna omfattas av sekretess enligt den nya bestämmelsen i 7 kap. 14 § tredje stycket sekretesslagen. I den mån så är fallet, torde Integrationsverket tillämpa generalklausulen till stöd för att lämna ut uppgifterna.
7.3.3. Utlämnande till utländsk myndighet och sekretess
Till följd av Dublinkonventionen och samarbetet enligt Schengenkonventionen lämnar Migrationsverket personuppgifter till utländska utlänningsmyndigheter i andra konventionsstater.
Enligt artikel 15 i Dublinkonventionen föreskrivs informationsskyldighet beträffande vissa angivna personuppgifter (se avsnitt
3.1). Inom ramen för informationsutbytet enligt Dublinkonventionen har den centrala databasen Eurodac för uppgifter om fingeravtryck och kön inrättats (se avsnitt 4.1.7).
Som tidigare sagts (se bl.a. avsnitt 7.2.2) har Dublinkonventionen ersatts av en EG-förordning. Denna innehåller samma informationsskyldighet i fråga om personuppgifter som Dublinkonventionen. Samma uppgiftsslag kommer alltså att utlämnas även efter förordningens fulla ikraftträdande. I avsnitt 3.1 har redovisats vilka personuppgifter informationsskyldigheten omfattar.
I förarbetena till Sveriges anslutning till Dublinkonventionen framhölls att de uppgifter som enligt artikel 15 alltid skall delges en annan medlemsstat inte är av den karaktären att de normalt omfattas av utlänningssekretess. Ofta står det enligt regeringen klart att sådana uppgifter kan lämnas ut utan att den enskilde lider men (prop. 1996/97:87 s. 20). Utredningen är dock något tveksam till den bedömningen, inte minst med tanke på att utlämnandet av uppgifter kan få till följd att den enskildes asylansökan här eller utomlands avslås, vilket många gånger måste anses innebära men för den enskilde.
Vid de automatiserade konsultationerna i viseringsärenden enligt Schengenstaternas särskilda Visionsystem (se avsnitt 4.1.3) utlämnar Migrationsverket väsentligen samma slags personuppgifter som omfattas av Dublinkonventionens och den nämnda EGförordningens informationsskyldighet. Enligt utredningens uppfattning torde även detta utlämnande ibland kunna få menliga följder för enskilda sökande genom konsultationernas inverkan på beslutsfattandet i ärendena.
Personuppgiftslämnandet enligt artikel 15 i Dublinkonventionen respektive artikel 21 i EG-förordningen och i samband med konsultationerna enligt artikel 17 i Schengenkonventionen avser således uppgifter som enligt utredningens uppfattning många gånger torde omfattas av utlänningssekretess enligt 7 kap. 14 § andra stycket sekretesslagen.
Genom vad som framkommit stöder sig Migrationsverket på 1 kap. 3 § tredje stycket sekretesslagen vid utlämnandet av uppgifterna. När det gäller uppgifter om grunder för asylansökan och skäl för beslut som lämnas ut enligt Dublinkonventionen tillämpas i stället bestämmelsen i 14 kap. 4 § sekretesslagen om den enskildes medgivande till utlämnandet. Enligt artikel 15.3 i konventionen krävs nämligen den asylsökandes samtycke till kommunikation av dessa uppgifter.
7.4. Utredningens överväganden
Utredningens förslag:
1. I utlänningsdatalagen erinras uttryckligen om sekretesslagen.
2. I utlänningslagen (1989:529) införs en sekretessbrytande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i fråga om uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. En motsvarande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden och utlandsmyndigheterna införs i lagen (2001:82) om svenskt medborgarskap.
3. En skyldighet för Migrationsverket att till landsting lämna uppgifter om utlänningar som registrerats vid en mottagningsförläggning införs i förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande.
4. En skyldighet för Migrationsverket att lämna vissa personuppgifter till kommuner införs i förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl.
5. Personuppgiftsutlämnandet till utländska myndigheter enligt Schengenkonventionens rådfrågningssystem författningsregleras i utlänningsförordningen (1989:547).
6. Bestämmelsen i 7 kap. 14 § fjärde stycket sekretesslagen ändras genom att den anpassas till den nya EG-förordning som ersatt Dublinkonventionen. En övergångsbestämmelse införs som anger att sekretess enligt bestämmelsens äldre lydelse alltjämt gäller dels för uppgifter som före ändringen mottagits från utländsk myndighet, dels för uppgifter som efter ändringen tas emot enligt Dublinkonventionen till följd av EG-förordningens övergångsbestämmelser.
7.4.1. Inledning
Med tanke på att personuppgifter som kommer att behandlas enligt utlänningsdatalagen i stor utsträckning omfattas av sekretess, är det befogat att erinra om att bestämmelserna i sekretesslagen måste iakttas utöver den prövning som skall göras av om ett utlämnande av en personuppgift är tillåtet enligt utlänningsdatalagen. Utred-
ningen föreslår därför att en bestämmelse som uttryckligen erinrar om detta förs in i utlänningsdatalagen.
Förslaget till utlänningsdatalag syftar, såsom tidigare framhållits, till att möjliggöra att myndigheterna skall kunna utväxla personuppgifter rationellt och effektivt med hjälp av modern informationsteknik inom den ram som är acceptabel med hänsyn till enskildas personliga integritet. Samarbete och informationsutbyte mellan myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen gagnar inte bara effektiviteten i verksamheten utan också enskilda i och med att handläggningstider blir kortare och att rättsäkerheten ökar om myndigheterna får snabb tillgång till all relevant information. Detta förutsätter emellertid att sekretessbelagd information kan utväxlas i den omfattning som beskrivits i det föregående. Även när det gäller de beskrivna uppgiftslämnandena till andra än de myndigheter som föreslås omfattas av utlänningsdatalagens tillämpningsområde, anser utredningen att det finns ett påtagligt behov av att informationen kan lämnas ut. Utredningen syftar här bl.a. på landstingens och kommunernas informationsbehov samt på Visionkonsultationerna. Enligt utredningens bedömning är det således motiverat att det informationsutbyte som här avses också fortsättningsvis skall få omfatta sekretessbelagda personuppgifter. Frågan är då om nuvarande sekretessreglering medger det utlämnande som enligt det sagda behövs inom verksamhetsområdet.
7.4.2. Uppgiftslämnande som inte påkallar författningsändring
Som framgått i det föregående kan Migrationsverkets utlämnande av sekretessbelagda personuppgifter till Integrationsverket genom direktåtkomst till ROSE-systemet ske med stöd av 14 kap. 1 § sekretesslagen på grund av att det finns en författningsreglerad uppgiftsskyldighet som omfattar de lämnade uppgifterna. Med tanke härpå samt till vad som upplysts om att den enskildes samtycke inhämtas innan sekretessbelagda uppgifter lämnas ut till Integrationsverket i samband med bosättningsprocessen, anser utredningen att nuvarande sekretessbestämmelser ger tillfredsställande stöd för personuppgiftsflödet till Integrationsverket.
Sekretessen hindrar inte heller uppgiftslämnandet avseende enskildas adresser till Riksskatteverket, vilket också det äger rum i enlighet med en författningsreglerad uppgiftsskyldighet.
Bestämmelsen i 14 kap. 1 § första meningen sekretesslagen ger vidare stöd för den direktåtkomst som Regeringskansliet föreslås få enligt utlänningsdatalagen.
Enligt utredningens förslag skall Centrala studiestödsnämnden inte längre att ha direktåtkomst till Migrationsverkets personuppgifter. Det kan på grund därav förutsättas att utlämnandet inte längre kommer att avse andra enskilda utlänningar än dem som omfattas av Migrationsverkets författningsreglerade uppgiftsskyldighet enligt förordningen om lån till hemutrustning för flyktingar och vissa andra utlänningar. Uppgiftslämnandet kommer därmed i sin helhet att ske med stöd av 14 kap 1 § sekretesslagen. Något behov av en ytterligare reglering i fråga om utlämnandet till nämnden finns alltså inte.
Likaledes anser utredningen att 1 kap. 5 § sekretesslagen ger utrymme för Migrationsverkets utlämnande av personuppgifter till
AB Svenska Pass. Det utlämnandet får nämligen anses nödvändigt för att Migrationsverket skall kunna fullgöra sin egen verksamhet.
Det kan här erinras om möjligheten för en myndighet, som anlitar ett bolag, att i avtal med bolaget ta in en klausul om tystnadsplikt enligt vilken bolaget sluter avtal med sina anställda om tystnadsplikt (Regner m.fl. s. 1:20 f.). Myndigheten kan också ställa upp förbehåll om att utlämnade uppgifter som företagets arbetstagare får del av inte får röjas för utomstående (jfr 14 kap. 9 § sekretesslagen).
Inte heller när det gäller den direktåtkomst som utredningen föreslår att Utlänningsnämnden alltjämt skall få ha och utlandsmyndigheterna skall få till Migrationsverkets datasystem LIFOS anser utredningen att det påkallas någon författningsändring. Såsom tidigare framgått är det inte någon omfattande mängd sekretessbelagda personuppgifter som behandlas för ändamålet. Införandet av dessa personuppgifter i LIFOS sker inte på samma rutinmässiga sätt som när det t.ex. gäller registrering av uppgifter i ett ärendehanteringssystem. Bl.a. prövas i allmänhet informationens värde som vägledande information samt i vad mån personuppgifter kan avidentifieras innan de görs tillgängliga i systemet. I samband med den bedömningen torde en prövning i sekretesshänseende också kunna göras beträffande en i vart fall överskådlig mängd information. Mot den bakgrunden anser
utredningen att uppgifterna, i den mån de är sekretessbelagda, bör kunna lämnas ut med tillämpning av generalklausulen.
När det slutligen gäller Integrationsverkets registrering av personuppgifter i Migrationsverkets STAMM-bas via delsystemet ROSE, omfattar denna uppgifter om enskilda utlänningar som, enligt utredningens bedömning, i allt väsentligt är av mindre integritetskänslig karaktär. Uppgifterna torde därmed normalt kunna lämnas till Migrationsverket utan risk för sådant men som föreskrivs enligt det raka skaderekvisitet i 7 kap. 14 § tredje stycket sekretesslagen. Någon sekretessbrytande bestämmelse behöver således inte tillämpas för dessa uppgifter. I de mindre ofta förekommande fall då Integrationsverkets uppgifter bedöms omfattas av sekretess, anser utredningen att generalklausulen bör kunna tillämpas till stöd för utlämnandet. Utredningen lämnar därför inte något förslag till författningsreglering av uppgiftslämnandet från Integrationsverket till Migrationsverket.
7.4.3. Uppgiftsutlämnande som påkallar författningsändring
Personuppgiftsutbytet mellan utlänningsmyndigheterna, polisen och utlandsmyndigheterna
Det mycket omfattande informationsutbytet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i samband med handläggning av utlännings- eller medborgarskapsärenden eller annan verksamhet enligt utlänningslagen kan enligt utredningen inte ske enbart med stöd av generalklausulen i 14 kap. 3 § sekretesslagen. Detta gäller såväl beträffande Migrationsverkets utlämnande av sekretessbelagda personuppgifter genom de andra myndigheternas direktåtkomst som beträffande dessa andra myndigheters uppgiftslämnande genom registrering av sekretessbelagda uppgifter i Migrationsverkets datasystem. Detsamma gäller Migrationsverkets utlämnande på CD-romskiva till vissa utlandsmyndigheter. Såsom beskrivits i avsnitt 4.1.3 pågår en utveckling mot en allt högre grad av elektronisk informationsöverföring mellan dessa myndigheter. Bl.a. avses fler utlandsmyndigheter anslutas till Wilmasystemet. Vidare planeras polisens direktåtkomst till systemet vidgas. Polisen planeras också få möjlighet att registrera uppgifter i systemet.
Sannolikt kommer således med tiden ännu fler sekretessbelagda uppgifter att utbytas mellan myndigheterna.
Utlänningars intresse av ett starkt sekretesskydd för uppgifter om sina personliga förhållanden i utlännings- och medborgarskapsärenden har motiverat presumtionen för sekretess enligt 7 kap. 14 § andra stycket sekretesslagen. Det omvända skaderekvisitet förutsätter en sekretessprövning som sker för varje individuellt fall. Det uppgiftsutbyte som sker mellan här berörda myndigheter med stöd av generalklausulen grundar sig uppenbarligen inte på någon sådan prövning. Med tanke härpå och på det tidigare sagda om att rutinmässigt utbyte av sekretessbelagda uppgifter mellan myndigheter bör vara författningsreglerat, är det otillfredsställande att uppgifterna lämnas ut enbart med tillämpning av generalklausulen. En författningsändring behövs således.
Den vanliga metoden för att få till stånd ett genombrott av en sekretessregel i förhållandet mellan myndigheter är att i lag eller förordning föreskriva om en skyldighet att lämna ut uppgifter. Uppgifterna kan då lämnas ut utan hinder av sekretess enligt 14 kap. 1 § sekretesslagen.
Utredningen har dock övervägt ett annat alternativ för att möjliggöra utbytet av sekretessbelagda uppgifter mellan de aktuella myndigheterna. Enligt detta alternativ skulle 7 kap. 14 § andra stycket sekretesslagen kompletteras med en ny bestämmelse av innebörd att Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna skulle få lämna varandra uppgifter som avses i andra stycket, om uppgifterna behövdes för verksamhet som gäller kontroll över utlänningar eller medborgarskapsärenden. Sekretess skulle dock gälla för uppgifterna, om det kunde antas att den enskilde eller någon närstående till den enskilde skulle lida betydande men av om uppgifterna röjdes. Alternativet har närmast sin förebild i 7 kap. 1 § femte stycket sekretesslagen som infördes bl.a. för att utöka möjligheterna till automatiserat och rutinmässigt uppgiftsutbyte mellan myndigheter med gemensamt verksamhetsområde (prop. 1990/91:111 s. 25 f.). Av sistnämnda bestämmelse följer att landstingskommunala myndigheter och kommuner med tillämpning av ett rakt skaderekvisit kan lämna uppgifter till varandra för forskning och framställning av statistik eller för administration inom hälso- och sjukvårdsområdet. Genom att regeln är försedd med ett rakt skaderekvisit gäller normalt ingen sekretess för upp-
gifterna i förhållandet mellan de aktuella myndigheterna; i vart fall kan de lämnas ut med stöd av generalklausulen.
Utredningen har emellertid avstått från att föreslå en ändring av sekretesslagen enligt det redovisade alternativet. Anledningen härtill är de stora tillämpningsproblem som torde uppkomma i samband med skadebedömningen, dvs. när det skall bedömas vad som kan antas medföra betydande men för den enskilde eller dennes närstående.
Enligt utredningens bedömning talar övervägande skäl för att införa en uppgiftsskyldighet mellan de aktuella myndigheterna för att möjliggöra det rutinmässiga uppgiftsutbyte av sekretessbelagda personuppgifter som i dag sker och som är förutsatt enligt utlänningsdatalagen. Utredningen föreslår därför att det i utlänningslagen införs en skyldighet för Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna att lämna uppgifter till varandra. Även i medborgarskapslagen föreslås en motsvarande uppgiftsskyldighet mellan Migrationsverket och Utlänningsnämnden. Vidare föreslås beträffande båda lagarna att också utlandsmyndigheter som bedriver verksamhet enligt lagarna skall omfattas av uppgiftsskyldigheten. De andra myndigheterna får en motsvarande uppgiftsskyldighet till sådana utlandsmyndigheter.
För att samarbetet mellan myndigheterna skall kunna fungera smidigt, måste uppgiftsskyldigheten omfatta en mängd olika slags uppgifter som skall kunna utlämnas i olika situationer. Inom verksamhetsområdet sker dessutom ofta förändringar som genererar behov av informationsutbyte avseende helt nya uppgifter. Att närmare precisera alla de olika slags uppgifter som skall lämnas ut är därför inte möjligt. Uppgiftsskyldigheten bör dock begränsas så till vida att det uppställs ett krav på att uppgifterna skall vara nödvändiga för den mottagande myndighetens verksamhet enligt respektive lag. Det är den utlämnande myndigheten som har att göra denna nödvändighetsprövning.
Uppgiftsskyldighetens syfte är alltså att underlätta myndigheternas samarbete och informationsutbyte i den aktuella verksamheten genom att sekretessen inte skall hindra att myndigheterna får tillgång till uppgifter som är nödvändiga i verksamheten enligt utlänningslagen eller medborgarskapslagen. Uppgiftsskyldigheten gäller däremot inte om uppgifterna behövs för annan verksamhet som inte omfattas av nämnda lagar. I sådana fall bryts inte sekretessen enligt 7 kap. 14 § andra stycket sekretesslagen.
När det gäller automatiserade ärendehanteringssystem som är gemensamt tillgängliga för myndigheterna får nödvändighetsprövningen ske i första hand när man bestämmer vilka slags uppgifter som skall tillföras systemet. Bedömningen kan då ske med hänsyn till bl.a. uppgifternas art. Bedömer den utlämnande myndigheten att uppgifter av en viss typ inte är nödvändiga för annan myndighets verksamhet enligt utlänningslagen eller medborgarskapslagen, skall uppgiften inte föras in i de delar av systemet som är tillgängliga för de andra myndigheterna. I praktiken kommer givetvis främst typiskt sett mindre integritetskänsliga uppgifter såsom namn, dossiernummer, adress, viseringsansökningar m.m. att vara nödvändiga för de andra myndigheterna. Mera integritetskänsliga uppgifter om politisk åskådning, sexuell läggning etc. som t.ex. finns i utredningar i asylärenden torde knappast generellt sett kunna bedömas som nödvändiga för en annan myndighet. Det innebär att sådana uppgifter inte kan utlämnas genom direktåtkomst eller annat rutinmässigt utlämnande med stöd av den här föreslagna uppgiftsskyldigheten. Endast efter särskild prövning i det individuella fallet torde sådana uppgifter kunna anses omfattas av den föreslagna uppgiftsskyldigheten.
Avslutningsvis kan nämnas att det inte framkommit något behov av en likartad uppgiftsskyldighet i lagen om mottagande av asylsökande m.fl. Uppgifter som omfattas av socialtjänstsekretess enligt 7 kap. 4 § sekretesslagen, dvs. uppgifter i ärenden om bistånd till utlänningar, torde således inte kunna lämnas ut genom direktåtkomst eller annat rutinmässigt förfarande för syften som här avses.
Utlämnande av personuppgifter till landstingen
Landstingen har behov av uppgifter om vilka asylsökande som skrivits in vid olika förläggningar inom landstingen för att i första hand kunna fullgöra åtagandet gentemot staten att erbjuda asylsökande m.fl. hälso- och sjukvård. Sammantaget innebär det att uppgifter om samtliga registrerade vid flyktingförläggningar utlämnas fortlöpande och regelbundet till landstingen. Uppgifterna torde omfattas av sekretess enligt 7 kap. 14 § andra stycket sekretesslagen. Även om uppgifterna inte är att bedöma som påtagligt känsliga och kommer att omfattas av hälso- och sjukvårdssekretess enligt 7 kap. 1 § sekretesslagen hos landstingen, är det enligt
utredningens uppfattning tveksamt om utlämnandet kan ske med tillämpning av generalklausulen. En författningsreglerad skyldighet för Migrationsverket att lämna ut uppgifterna föreslås därför. En sådan uppgiftsskyldighet innebär att uppgifterna lämnas ut med stöd av 14 kap. 1 § sekretesslagen. Författningsregleringen bör lämpligen ske genom en ny bestämmelse som förs in i förordningen om statlig ersättning för hälso- och sjukvård till asylsökande. I bestämmelsen bör uttryckligen framgå vilka uppgifter som omfattas av uppgiftsskyldigheten. Enligt utredningens bedömning är följande personuppgifter nödvändiga för landstingens behov. Namn, födelsedatum, adress, Migrationsverkets dossiernummer och, i förekommande fall, familjesamhörighet samt tolkbehov.
Utlämnande av personuppgifter till kommuner
Enligt förordningen om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl. har asylsökande och vissa andra utländska barn och ungdomar som vistas i Sverige rätt till undervisning i det offentliga skolväsendet. De har också rätt till förskoleverksamhet och skolbarnomsorg. Enligt förordningen åligger det hemkommuner att svara för att undervisning, förskoleverksamhet och skolbarnomsorg kan komma till stånd. Med hemkommun avses den kommun där personen vistas.
En nödvändig förutsättning för att kommunerna skall kunna fullgöra sina uppgifter enligt förordningen är givetvis att de får fortlöpande information från Migrationsverket om vilka barn och ungdomar som kommunerna är skyldiga att bereda skolplats etc. Uppgift behövs om namn, födelsedatum och bostadsadress.
Av motsvarande skäl som beträffande det nyss behandlade uppgiftsutlämnandet till landstingen anser utredningen att Migrationsverket bör åläggas en författningsreglerad uppgiftsskyldighet i fråga om de nämnda personuppgifterna. Författningsregleringen bör lämpligen ske i förordningen om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl.
Utlämnande av personuppgifter enligt Dublin- respektive Schengenkonventionerna m.m.
Sverige har genom tillträdet till Dublinkonventionen förbundit sig att utlämna vissa personuppgifter till utländsk myndighet i en medlemsstat. Konventionens bestämmelse om uppgiftsskyldighet har inte införlivats med svensk rätt genom särreglering. Alltså saknas sådan särskild reglering som avses i 1 kap. 3 § tredje stycket sekretesslagen som tillåter utlämnandet till utländsk myndighet. Detsamma gäller beträffande utlämnandet av personuppgifter till utländsk myndighet genom Schengenkonventionens rådfrågningssystem, de s.k. Visionkonsultationerna.
Enligt utredningens mening är avsaknaden av uttryckligt författningsstöd för detta omfattande utlämnande av sekretessbelagda uppgifter till utländsk myndighet inte helt i överensstämmelse med sekretessregleringen. Visserligen står det klart att ett uppfyllande av Sveriges åtagande enligt konventionerna är förenligt med svenska intressen. Mer tveksamt är det emellertid huruvida, såsom föreskrivs i 1 kap. 3 § tredje stycket, uppgifterna i motsvarande fall skulle få utlämnas till svenska myndigheter utan särskild författningsreglering.
I propositionen som föregick Sveriges anslutning till Dublinkonventionen uttalade regeringen i fråga om uppgiftsskyldigheten att det i något undantagsfall skulle kunna förekomma att en sekretessprövning leder till att en uppgift inte bör lämnas ut. För att möjliggöra utlämnande i ett sådant fall bör, fortsatte regeringen, en bestämmelse om det föras in i utlänningsförordningen (prop. 1996/97:87 s. 20). Så har dock inte skett.
Uppgiftsskyldigheten enligt EG-förordningen nr. 343/2003 innebär emellertid en sådan särreglering som avses i 1 kap 3 § tredje stycket sekretesslagen, eftersom EG-förordningen gäller som direkt tillämplig lag i Sverige. Någon författningsändring är alltså inte påkallad för att sekretessbelagda uppgifter skall kunna lämnas ut enligt EG-förordningen.
Även om uppgifter under en övergångstid kommer att lämnas ut enligt Dublinkonventionen, torde utlämnandets omfattning att minska betydligt redan från hösten år 2003. Med tanke härpå anser utredningen att det inte längre behövs någon författningsreglering av uppgiftslämnandet enligt Dublinkonventionen.
När det däremot gäller utlämnandet av personuppgifter enligt Schengenkonventionens rådfrågningssystem Vision anser utred-
ningen att övervägande skäl talar för att det författningsregleras. Regleringen bör ske i utlänningsförordningen genom införandet av en bestämmelse som anger att personuppgifterna får lämnas ut. Uppgifterna bör specificeras i bestämmelsen och omfatta de personuppgifter som i dag utbyts, se redovisningen i avsnitt 4.1.3.
Slutligen är det utredningens uppfattning att 7 kap. 14 § fjärde stycket sekretesslagen måste anpassas med anledning av den EGförordning som ersatt Dublinkonventionen. Artikel 21.7 i förordningen innehåller motsvarande föreskrift som artikel 15 Dublinkonventionen om begränsningar i möjligheterna att vidarebefordra personuppgifter som en svensk myndighet mottagit från en utländsk myndighet. Utredningen föreslår därför att bestämmelsen i sekretesslagen ändras genom att en direkt hänvisning till EGförordningen ersätter den nuvarande hänvisningen till ett av riksdagen godkänt avtal.
Förslaget innebär enligt utredningens mening ingen otillåten implementeringsåtgärd utan är en nödvändig åtgärd för att förordningen i just denna fråga skall få verkan i den svenska sekretessregleringen (se även avsnitt 6.2.3.2).
Vidare föreslås en övergångsbestämmelse som medför att den nuvarande lydelsen av 7 kap. 14 § fjärde stycket sekretesslagen alltjämt gäller för uppgifter som redan mottagits och för uppgifter som framöver kommer att tas emot från utländsk myndighet enligt Dublinkonventionen.
7.5. Uppgiftsutlämnande till Svenska röda korset
Utredningens förslag: En sekretessbrytande bestämmelse införs i 7 kap. 14 § sekretesslagen som innebär att Migrationsverket får lämna uppgift om enskilds namn, födelsedatum och adress till
Svenska röda korset. En förutsättning för uppgiftslämnandet är att uppgifterna behövs i en angelägenhet som gäller föreningens verksamhet i fredstid för återförening av familjer som skingrats till följd av väpnade konflikter eller för efterforskning av personer som har förlorat kontakten med närstående på grund av krig, väpnad konflikt eller naturkatastrof.
Regeringen har till utredningen överlämnat en skrivelse från Svenska röda korset, se bilaga 2. Skrivelsen innehåller en hemställan om att Svenska röda korset skall kunna få tillgång till vissa hos Migrationsverket sekretessbelagda adressuppgifter och födelsedata rörande utlänningar.
I internationellt samarbete med andra nationella röda korsföreningar och internationella rödakorsföreningen (ICRC) är Svenska röda korset verksamt med att hjälpa familjer som splittrats i väpnade konflikter att återförenas. Samarbetet omfattar också efterforskning av personer som har rapporterats försvunna i samband med krig, väpnade konflikter och naturkatastrofer.
Mellan staten och Svenska röda korset finns ett skriftligt avtal angående föreningens efterforsknings- och familjeåterföreningsärenden i fredstid. Enligt avtalet har staten förbundit sig att bl.a. lämna Svenska röda korset ekonomiskt bidrag till den nämnda verksamheten. Dessutom omfattar avtalet bidrag till Svenska röda korsets utväxlande av s.k. rödakorsmeddelanden mellan familjemedlemmar som skilts åt vid en konflikt.
När Svenska röda korset hanterar efterforsknings- och familjeåterföreningsärenden behövs, enligt vad föreningen framfört, inte sällan upplysning från Migrationsverket huruvida den eftersökte befinner sig i Sverige. Om så är fallet, behövs uppgift om dennes postadress för att Svenska röda korset skall kunna skicka ett brev till denne med en förfrågan om han eller hon är den eftersökta personen. När uppgifter begärs från Migrationsverket, handlar det alltså om namngivna individers personuppgifter. I allmänhet rör det sig om enstaka eller ett fåtal personer vid varje förfrågan. Vidare vill Svenska röda korset kunna få uppgift om utlänningens födelsedatum, eftersom uppgiften behövs för att föreningen skall kunna bedöma om personen kan vara identisk med den eftersökte. Även uppgifter om eventuella namnändringar kan vara av betydelse för föreningen.
Migrationsverket lämnar dock endast i undantagsfall ut de begärda uppgifterna. Som regel avslår Migrationsverket Svenska röda korsets förfrågningar under åberopande av att uppgifterna är sekretessbelagda och inte kan lämnas ut till en enskild mottagare. I stället förekommer att Migrationsverket vidarebefordrar Svenska röda korsets brev till personerna i fråga.
De efterfrågade uppgifterna finns i Migrationsverkets verksamhet för kontroll över utlänningar. Någon gång torde sekretessprövningen kunna leda till att det inte står klart att uppgifterna kan
lämnas ut till Svenska röda korset utan att den enskilde berörde eller närstående till denne lider men.
Enligt Svenska röda korset medför de nuvarande svårigheterna att få del av önskad information en försvåring av föreningens verksamhet. Även i de fall Migrationsverket vidarebefordrar Svenska röda korsets brev har föreningen erfarit problem. Risken ökar nämligen påtagligt för att adressaterna av en eller annan anledning inte vill medverka i föreningens utredningar, om försändelserna synes härröra från Migrationsverket.
Svenska röda korsets återförenings- och efterforskningsverksamhet är en angelägen och humanitär uppgift som det ligger i samhällets intresse att underlätta. Sverige har vidare till följd av artikel 74 i tilläggsprotokoll I till Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter en allmän skyldighet att i möjligaste mån underlätta återförening av familjer som skingrats till följd av väpnade konflikter i omvärlden. Av artikeln följer också en särskild förpliktelse att uppmuntra Svenska röda korsets arbete med familjeåterföreningar. Det tidigare nämnda avtalet mellan staten och Svenska röda korset om bl.a. familjeåterföreningsverksamhet i fredstid har sin grund i denna förpliktelse.
Enligt utredningen bör Migrationsverket kunna lämna ut uppgifter om enskilds namn, födelsedatum och adress till Svenska röda korset i den här aktuella verksamheten. En sådan begränsad inskränkning av sekretesskyddet rörande typiskt sett mindre känsliga uppgifter torde normalt inte medföra några negativa konsekvenser för den enskilde. Det kan tvärtom antas att Svenska röda korsets förbättrade möjligheter att bedriva verksamheten i de allra flesta fall är i den enskildes intresse.
Eftersom Svenska röda korset är en enskild mottagare, måste begränsningar i sekretessen regleras antingen i sekretesslagen eller i lag eller förordning till vilken sekretesslagen hänvisar (1 kap. 2 § sekretesslagen). Enligt utredningens mening bör författningsregleringen i sin helhet ske i sekretesslagen genom införandet av ett nytt stycke i 7 kap.14 §sekretesslagen. I bestämmelsen bör uttryckligen framgå att uppgifterna bara får lämnas ut för ändamålet att användas för Svenska röda korsets verksamhet enligt avtalet med staten om familjeåterförening och efterforskning av försvunna personer.
8. Genomförandet
8.1. Ikraftträdande- och övergångsbestämmelser
Utredningens förslag: När utlänningsdatalagen träder i kraft skall utlänningsdataförordningen upphöra att gälla.
I fråga om sådan manuell behandling av personuppgifter som har påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998, skall lagen med ett undantag inte börja tillämpas förrän den 1 oktober 2007. Undantaget gäller lagens bestämmelse om överföring av personuppgifter till tredje land.
Utlänningsdatalagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att utlänningsdatalagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser i utlänningsdataförordningen eller datalagen.
Utlänningsdatalagen ersätter den reglering som nu finns i utlänningsdataförordningen. Utlänningsdataförordningen skall därför upphöra att gälla samtidigt som lagen träder i kraft.
När personuppgiftslagen trädde i kraft den 24 oktober 1998 föreskrevs i dess övergångsbestämmelser bl.a. att personuppgiftslagen skall tillämpas fullt ut först den 1 oktober 2007 när det gäller manuell personuppgiftsbehandling som påbörjats före ikraftträdandet eller manuell behandling för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998 (punkten 3). För sådan redan pågående behandling skall bestämmelserna i personuppgiftslagen om grundläggande krav på behandling av personuppgifter (9 §), om när personuppgiftsbehandling är tillåten (10 §), om förbud mot behandling av känsliga personuppgifter (13 §) samt om förbudet för andra än myndigheter
att behandla personuppgifter om lagöverträdelser m.m. (21 §) inte tillämpas förrän den 1 oktober 2007. Personuppgiftslagens övriga bestämmelser gäller dock, i vart fall alltsedan den 1 oktober 2001. Exempelvis gäller bestämmelserna om information, rättelse och om överföring av personuppgifter till tredje land.
Enligt den av utredningen valda lagtekniska lösningen skall personuppgiftslagen tillämpas parallellt med utlänningsdatalagen. Några av utlänningsdatalagens centrala bestämmelser utgör preciseringar eller undantag från bestämmelser i personuppgiftslagen som ännu inte gäller för manuell personuppgiftsbehandling som påbörjats redan före den 24 oktober 1998. Det sagda gäller utlänningsdatalagens bestämmelse om när personuppgifter över huvud taget får behandlas inom verksamhetsområdet. Den bestämmelsen ersätter 10 § personuppgiftslagen. Vidare innefattar utlänningsdatalagens reglering av när känsliga personuppgifter får behandlas ett undantag från personuppgiftslagens förbud, ett förbud som inte omfattar sådan redan påbörjad manuell behandling som här avses. Flera bestämmelser i utlänningsdatalagen berör för övrigt inte alls manuell behandling av personuppgifter, t.ex. reglerna om elektroniskt utlämnande, direktåtkomst och avskiljande. Mot bakgrund av det anförda anser utredningen att det för sådan manuell behandling som redan påbörjats före den 24 oktober 1998 är konsekvent att låta utlänningsdatalagen träda i kraft först den 1 oktober 2007, dvs. samtidigt med att 9, 10, 13 och 21 §§personuppgiftslagen börjar gälla för behandlingen. En övergångsbestämmelse härom föreslås därför.
Ett undantag härifrån är dock motiverat, nämligen för utlänningsdatalagens bestämmelse om överföring av personuppgifter till tredje land. Som nyss sagts gäller personuppgiftslagens grundläggande förbud mot sådan överföring även för den aktuella manuella behandlingen. Enligt utredningens bedömning är behovet av att kunna överföra de här avsedda personuppgifterna till tredje land lika påtagligt som när det gäller andra personuppgifter. Följaktligen bör utlänningsdatalagen i detta avseende gälla från lagens ikraftträdande för sådan manuell behandling som i övrigt är undantagen från lagens tillämpning fram till den 1 oktober 2007.
Slutligen anser utredningen att en övergångsbestämmelse behövs som reglerar att utlänningsdatalagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträtt efter det att lagen har trätt i kraft. Har omständigheten inträffat tidigare, kan det i stället bli aktuellt att
tillämpa äldre skadeståndsbestämmelser i utlänningsdataförordningen eller i datalagen, beroende på om tidpunkten ligger före eller efter den 1 oktober 2001. För sådan behandling som är skadeståndsgrundande också enligt 48 § personuppgiftslagen kan givetvis personuppgiftslagen vara tillämplig.
8.2. Konsekvensbeskrivningar
Utredningens bedömning: Utredningens förslag innebär i allt väsentligt inga merkostnader för de myndigheter som omfattas av utlänningsdatalagens tillämpningsområde. Förslagen möjliggör i stället en ökad effektivitet vid informationshanteringen som på sikt kan vara kostnadsbesparande.
Förslaget att Centrala studiestödsnämnden inte längre skall tillåtas ha direktåtkomst till Migrationsverkets STAMM-bas kan möjligen medföra något ökade kostnader för nämnden och för Migrationsverket på grund av minskad effektivitet i uppgiftsflödet.
Några andra konsekvenser av förslagen som bör redovisas i betänkandet finns inte.
Den verksamhet som förslagen avser – behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen – omfattas redan av personuppgiftslagens bestämmelser samt till övervägande del av utlänningsdataförordningens kompletterande särreglering. I förarbetena till personuppgiftslagen uttalade regeringen att det vid lagens införande inte fanns grund för att anta att genomförandet av dataskyddsdirektivet skulle leda till ökade utgifter av sådan omfattning att de inte kunde finansieras inom ramen för befintliga medel (prop. 1997/98:44 s. 114 f.) De ekonomiska konsekvenserna av personuppgiftslagens införande för verksamhet enligt utlännings- och medborgarskapslagstiftningens vidkommande är, enligt utredningens uppfattning, knappast möjliga att beräkna. Kostnaderna för den informationsskyldighet som enligt dataskyddsdirektivet och personuppgiftslagen åligger de personuppgiftsansvariga torde t.ex. vara svåra att redan nu uppskatta. Under alla förhållanden kan sådana kostnader inte anses vara en följd av utredningens förslag, som i huvudsak endast innebär vissa preciseringar och undantag i förhållande till personuppgiftslagen.
Dessa undantag och preciseringar möjliggör en minst lika effektiv informationshantering som för närvarande sker inom och
mellan de aktuella myndigheterna. Enligt utredningens bedömning kräver förslagen ingen förändring av myndigheternas befintliga datorsystem. Utlänningsdatalagens uppbyggnad med generella och teknikoberoende bestämmelser öppnar i stället för förändringar i eller utbyte av dessa datorsystem som på sikt torde medföra kostnadsbesparingar för myndigheterna. Initialt kan vissa utbildningsinsatser krävas på grund av utredningens förslag. Utredningen bedömer dock att kostnaderna härför kan täckas av ordinarie utbildningsanslag.
Det är möjligt att en viss merkostnad kan uppstå på grund av förslaget att Centrala studiestödsnämnden inte längre skall tillåtas ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket. Båda myndigheterna kan påverkas av detta i och med att mindre effektiva rutiner möjligen måste användas då Migrationsverket uppfyller sin uppgiftsskyldighet i nämndens ärenden om hemutrustningslån. Enligt uppgift från Migrationsverket kan denna eventuella merkostnad för verkets del sannolikt uppvägas av den kostnadsbesparing för tekniska säkerhetsanordningar m.m. som direktåtkomst annars fortlöpande medför. Under alla förhållanden bör eventuella kostnadsökningar kunna
rymmas inom myndigheternas ordinarie anslag.
De framlagda förslagen får, enligt utredningens uppfattning, inte någon sådan inverkan på den kommunala självstyrelsen eller andra i 15 § kommittéförordningen (1998:1474) angivna områden som motiverar en särskild konsekvensredovisning.
9. Författningskommentar
9.1. Förslaget till utlänningsdatalag
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i Regeringskansliet, Migrationsverket, Utlänningsnämnden, Integrationsverket,
Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i verksamhet som gäller
1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. mottagande av asylsökande och andra utlänningar,
3. bistånd och bidrag till utlänningar,
4. svenskt medborgarskap,
5. statlig ersättning för kostnader för utlänningar, eller
6. bosättning av utlänningar.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier
.
Paragrafen anger – med de begränsningar som följer av 2 § – lagens tillämpningsområde. Bestämmelsen har motiverats utförligt i avsnitt 6.2.
I första stycket regleras till en början vilka myndigheters behandling av personuppgifter som omfattas av utlänningsdatalagens bestämmelser. Personuppgiftsbehandling som utförs av annan myndighet än någon av de i paragrafen nämnda faller utanför lagens tilllämpningsområde. Detsamma gäller behandling som utförs av enskilda. Med begreppen behandling och personuppgifter avses detsamma som i personuppgiftslagen (1998:204). Behandling av uppgifter om avlidna, ännu inte födda eller juridiska personer regleras
alltså inte av lagen. Inget hindrar emellertid att personuppgiftslagen och utlänningsdatalagen i och för sig tillämpas vid behandling också av sådana uppgifter. Skillnaden är att det för dessa uppgifter inte finns någon skyldighet att göra det.
I första stycket punkterna 1-6 regleras vidare vilken verksamhet behandlingen skall falla inom för att omfattas av lagens bestämmelser. Verksamheten har beskrivits översiktligt i avsnitt 3. Uppräkningen är uttömmande och kommenteras punktvis i det följande.
Med punkten 1 avses i första hand verksamhet enligt utlänningslagen (1989:529) samt utlänningsförordningen (1989:547) som bedrivs av Regeringskansliet, Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna.
Förutom i utlänningslagen finns regler om utvisning av utlänningar i lagen (1991:572) om särskild utlänningskontroll. Polisens behandling av personuppgifter i verksamhet enligt den lagen omfattas inte av utlänningsdatalagens bestämmelser utan av regleringen i polisdatalagen (1998:622), se kommentaren nedan till 2 §. Däremot omfattas enligt punkten 1 Regeringskansliets, Migrationsverkets och Utlänningsnämndens behandling av personuppgifter i dessa ärenden av utlänningsdatalagen.
Punkten 1 innefattar även utlandsmyndigheters verksamhet för andra Schengenländers räkning som gäller viseringar till dessa länder. Som beskrivits i avsnitt 6.2.3.1 representerar svenska utlandsmyndigheter ibland också annan stat och beviljar i den rollen viseringar till de aktuella staterna. Däremot gäller inte utlänningsdatalagens bestämmelser för utlandsmyndigheternas behandling av personuppgifter vid handläggning av ärenden enligt lagen (1989:532) om tillstånd för anställning på fartyg. Den behandlingen regleras av personuppgiftslagen.
Integrationsverket bedriver ingen verksamhet enligt punkten 1.
Punkten 2 omfattar Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning (1994:361) om mottagande av asylsökande m.fl., som inte gäller ekonomiskt bistånd och bidrag till utlänningar. Verksamhet rörande sådant bistånd och bidrag omfattas av punkten 3.
Migrationsverkets verksamhet avseende överföring till Sverige av kvotflyktingar omfattas också av punkten 2.
Med punkten 3 avses sådant ekonomiskt bistånd och särskilt bidrag som Migrationsverket utger till utlänningar enligt lagen om mottagande av asylsökande m.fl. I avsnitt 3.3 har närmare beskri-
vits vilka bistånd och bidrag som lämnas enligt lagen. Även bidrag enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land samt förordningen (1984:936) om bidrag till flyktingar kostnader för anhörigas resor till Sverige avses i denna punkt.
Punkten 4 omfattar Regeringskansliets, Migrationsverkets, Utlänningsnämndens och utlandsmyndigheternas verksamhet enligt lagen (2001:82) om svenskt medborgarskap och medborgarskapsförordningen (2001:218). Verksamheten har beskrivits i avsnitt 3.2.
Punkten 5 omfattar Migrationsverkets verksamhet enligt förordningen (2002:1118) om statlig ersättning för asylsökande m.fl respektive Integrationsverkets verksamhet enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m.
Även Migrationsverkets verksamhet enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande samt enligt förordningen (2000:415) om statlig ersättning till kommuner och landsting för kostnader för vissa utlänningar med tidsbegränsade uppehållstillstånd omfattas av punkten 5.
Punkten 6 avser Integrationsverkets verksamhet med att träffa överenskommelser med kommuner om mottagande av skyddsbehövande och vissa andra utlänningar samt medverkan vid deras bosättning, se 1 § förordningen om statlig ersättning för flyktingmottagande m.m. och 2 § förordningen (1998:201) med instruktion för
Integrationsverket.
Av uppräkningen i det föregående framgår bl.a. att behandling av personuppgifter i myndigheternas interna administration faller utanför lagens tillämpningsområde. Detsamma gäller verksamhet som rör den europeiska flyktingfonden samt statsbidrag till organisationer som främjar integration, se avsnitt 6.2.3.2. För denna behandling gäller enbart personuppgiftslagen.
Av andra stycket framgår att utlänningsdatalagen skall tillämpas såväl vid helt eller delvis automatiserad behandling av personuppgifter som vid manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register. Utlänningsdatalagen har alltså i detta avseende samma tillämpningsområde som personuppgiftslagen.
2 § Lagen tillämpas inte då personuppgifter behandlas med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december
2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen.
Bestämmelsen – som motiverats i avsnitt 6.2.2 och 6.2.3.2 – anger vissa undantag för när utlänningsdatalagen inte är tillämplig trots att behandlingen i och för sig träffas av den beskrivning av tillämpningsområdet som ges i 1 §. De nämnda lagarna reglerar behandling av personuppgifter som utförs av Rikspolisstyrelsen eller polismyndigheterna. Behandling av personuppgifter enligt Eurodacsystemet kommer att utföras såväl av polisen som av Migrationsverket. Det bör noteras att all verksamhet enligt Schengenkonventionen inte regleras av lagen om Schengens informationssystem. Det innebär t.ex. att behandling av personuppgifter vid de s.k. Visionkonsultationerna, se avsnitt 4.1.3, regleras av utlänningsdatalagen.
Lagens förhållande till personuppgiftslagen
3 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i verksamhet enligt 1 § första stycket, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.
Bestämmelsen har behandlats i avsnitt 6.3.
I paragrafen anges förhållandet mellan personuppgiftslagen och utlänningsdatalagen på så sätt att personuppgiftslagen gäller om inget annat sägs i utlänningsdatalagen eller i föreskrifter meddelade med stöd av lagen eller annars enligt 2 § personuppgiftslagen.
Utlänningsdatalagen har utformats så att den endast gör vissa undantag från personuppgiftslagen och i övrigt preciserar vissa för personuppgiftsbehandlingen viktiga förhållanden. Exempelvis gäller personuppgiftslagens definitioner som anges i 3 § samt grundläggande krav på behandlingen enligt 9 § också vid tillämpning av utlänningsdatalagen. Likaså gäller bl.a. personuppgiftslagens bestämmelser om information, säkerhetsåtgärder och Datainspektionens befogenheter, se avsnitt 6.11 och 6.12.
Hänvisningen till 2 § personuppgiftslagen innebär att från personuppgiftslagen avvikande bestämmelser i lag och förordning är tillämpliga även vid behandling av personuppgifter enligt utlänningsdatalagen.
Personuppgiftsansvar
4 § Migrationsverket är personuppgiftsansvarigt för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter för ändamål som anges i 5 § första stycket 1. I övrigt är den myndighet som anges i 1 § personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.
Bestämmelsen har behandlats i avsnitt 6.4.
I paragrafen regleras vem som skall vara personuppgiftsansvarig. Innebörden av personuppgiftsansvaret framgår av personuppgiftslagen. Enligt bestämmelsen skall Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen samt polismyndigheterna vara personuppgiftsansvariga för den behandling som myndigheten utför eller som det åligger myndigheten att utföra.
Migrationsverket är dessutom personuppgiftsansvarigt för utlandsmyndigheternas behandling av personuppgifter som enligt 1 § omfattas av utlänningsdatalagens tillämpningsområde. När det gäller Integrationsverket är Migrationsverket personuppgiftsansvarigt för Integrationsverkets behandling av personuppgifter som har samband med verkets handläggning av ärenden enligt förordningen om statlig ersättning för flyktingmottagande m.m., dvs. verksamhet enligt 1 § första stycket 5. I övrigt är Integrationsverket personuppgiftsansvarigt för behandlingen av personuppgifter inom den egna myndigheten.
När behandling av personuppgifter är tillåten
5 § Personuppgifter får behandlas om det är nödvändigt för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. uppgiftsutlämnande som sker med stöd av lag eller förordning, följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation,
5. återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden,
6. tillsyn, kontroll, uppföljning och planering, eller
7. framställning av statistik.
Personuppgifter som behandlas enligt lagen skall anses insamlade för samtliga ändamål som anges i första stycket, om inte annat angetts vid insamlingen.
I bestämmelsens första stycke, som ersätter 9 § första stycket c) och 10 § personuppgiftslagen, anges för vilka ändamål personuppgifter får behandlas i verksamhet som anges i 1 § första stycket. Bestämmelsen har motiverats utförligt i avsnitt 6.5 där det också närmare utvecklats vad som avses med varje angivet ändamål.
Lagen innehåller inga särskilda bestämmelser om vilka uppgifter som får behandlas för ett visst ändamål. De angivna ändamålen utgör ramen för vilka uppgifter som får behandlas. Av 19 § framgår att regeringen, eller i vissa fall den myndighet regeringen bestämmer, får meddela föreskrifter som begränsar såväl ändamålen som de uppgifter som får behandlas för ett visst ändamål. Enligt lagen gäller dock att behandlingen alltid måste vara nödvändig för det eller de ändamål som behandlingen utförs för. Det sagda innebär att varje insamling och varje efterkommande behandling av en personuppgift måste vara nödvändig för det ändamål som just den behandlingen avser. I fråga om känsliga personuppgifter gäller särskilda begränsningar, se 6 §.
Av andra stycket framgår att personuppgifterna skall anses insamlade för samtliga ändamål, om inte annat anges vid insamlingen. En personuppgift som samlas in som informationsunderlag i ärendehandläggning kan därmed senare användas för ett annat i paragrafen angivet ändamål. Dock krävs, som påtalats i det föregående, att den senare behandlingen är nödvändig för det andra ändamålet. Uppgifterna kan också behandlas för annat ändamål än som anges i första stycket under förutsättning att detta ändamål är förenligt med det för vilket uppgifterna samlades in eller, om inte ändamålen inskränkts vid insamlingen, med i vart fall något av de i första stycket nämnda ändamålen. Detta följer av 9 § första stycket
d) personuppgiftslagen som gäller även vid personuppgiftsbehandling enligt utlänningsdatalagen.
6 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om uppgifterna är oundgängligen nödvändiga för syftet med behandlingen.
Bestämmelsen har behandlats i avsnitt 6.6.
Personuppgiftslagen innehåller ett förbud mot behandling av känsliga personuppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Paragrafen gör undantag från förbudet genom att tillåta behandling av känsliga personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen såsom verksamheten definieras i 1 § första stycket. Känsliga personuppgifter får behandlas för alla de ändamål som anges i 5 § första stycket. Dock krävs att uppgifterna är oundgängligen nödvändiga för syftet med behandlingen. Vad som avses med detta krav har preciserats i avsnitt 6.6.
7 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
Enligt dataskyddsdirektivet kan enskilda i vissa fall motsätta sig behandling av personuppgifter som rör honom eller henne, om det inte görs undantag i nationell lagstiftning. Av paragrafen framgår att enligt lagen tillåten behandling får utföras även om den registrerade motsätter sig den.
8 § Migrationsverket får föra ett automatiserat register över fingeravtryck och fotografier (fingeravtrycksregister) som tas med stöd av 5 kap. 5 § utlänningslagen (1989:529). Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas samt i ärenden om avvisning och utvisning. Närmare föreskrifter om registret meddelas av regeringen.
I paragrafen anges att Migrationsverket får behandla personuppgifter i ett automatiserat register över de fingeravtryck och fotografier som tas med stöd av 5 kap. 5 § utlänningslagen.
Bestämmelsen är inte nödvändig för att möjliggöra registerföringen, eftersom denna är tillåten redan enligt 1 § och 5 §. Såsom angetts i avsnitt 6.7 är bestämmelsen i stället en inskränkning i förhållande till 5 § första stycket 1 i det att ett mer inskränkt ändamål
för registret anges, nämligen att det får användas endast vid prövning av vissa ansökningar om uppehållstillstånd och i ärenden om avvisning eller utvisning.
Ytterligare bestämmelser om registret meddelas av regeringen. I utredningens förslag till en förordning som utfärdas i anslutning till lagen finns dessa bestämmelser i 10 och 11 §§.
Sökbegrepp
9 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 5 § första stycket 1-4. Vid behandling för ändamål som anges i 5 § första stycket 6 eller 7 får inga andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller rör hälsa användas som sökbegrepp.
Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.
Paragrafen begränsar användningen av sökbegrepp vid behandling av personuppgifter som omfattas av utlänningsdatalagens bestämmelser. Bestämmelsen har behandlats i avsnitt 6.8.
Känsliga personuppgifter får användas som sökbegrepp vid behandling som utförs för ändamålet att ge rättslig och annan information som anges i 5 § första stycket 5. Uppgifter som avslöjar etniskt ursprung eller rör hälsa får vidare behandlas för ändamålen tillsyn, kontroll, uppföljning och planering, 5 § första stycket 6, eller framställning av statistik, 5 § första stycket 7. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.
Inte heller får personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen får dock användas som sökbegrepp.
Enligt 19 § får regeringen meddela föreskrifter om ytterligare begränsningar i fråga om sökbegrepp.
Sökbegränsningarna i bestämmelsen gäller naturligtvis inte vid sökning efter uppgifter i det dokument eller den handling med löpande text som för användaren är omedelbart tillgänglig via en dator.
Begränsningar i fråga om utlämnande av personuppgifter på medium för automatiserad behandling
10 § Personuppgifter får lämnas ut på medium för automatiserad behandling till en institution inrättad av Europeiska unionen eller en utländsk myndighet i en stat som ingår i Europeiska unionen eller som är ansluten till Europeiska ekonomiska samarbetsområdet endast om det är nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.
Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Personuppgiftslagen innehåller inga bestämmelser som reglerar på vilket sätt personuppgifter får lämnas ut. I paragrafen finns emellertid vissa begränsningar i fråga om automatiserat utlämnande av personuppgifter. Begränsningarna har behandlats i avsnitt 6.9.
Enligt paragrafen får personuppgifter lämnas ut automatiserat till en EU-institution eller en myndighet inom EU eller EES endast om det sker för vissa ändamål, nämligen ärendehandläggning, utlänningskontroll enligt 5 kap. utlänningslagen, uppgiftsutlämnande och informationsåtersökning såsom dessa ändamål närmare definieras i 5 § första stycket 1, 2, 4 och 5.
Någon motsvarande begränsning gäller inte för automatiserat utlämnande av personuppgifter till en svensk myndighet. Är övriga förutsättningar för uppgiftsutlämnande uppfyllda, kan utlämnandet ske på det sätt som den utlämnande myndigheten finner lämpligt.
Enligt bestämmelsen i andra stycket är det möjligt att automatiserat lämna ut personuppgifter till enskild endast om regeringen har föreskrivit detta.
Direktåtkomst m.m.
11 § För ändamål som anges i 5 § första stycket 1 får Regeringskansliet,
Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst gäller även för ändamål som anges i 5 § första stycket 2.
Direktåtkomsten får inte avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras.
I 11 och 12 §§ regleras uttömmande i vilken utsträckning annan myndighet får ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket. Bestämmelserna har behandlats i avsnitt 6.10, där det också redovisas vad som avses med direktåtkomst.
I 11 § första stycket regleras dels till vilka myndigheter Migrationsverket får lämna ut personuppgifter genom direktåtkomst, dels för vilka ändamål detta får ske. Samtliga myndigheter får ges direktåtkomst för ändamålet handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen eller biträde vid sådan handläggning. Rikspolisstyrelsens och polismyndigheterna får också ges direktåtkomst till personuppgifter som polisen behöver för ändamålet utlänningskontroll enligt 5 kap. utlänningslagen. Direktåtkomst får enbart avse personuppgifter som Migrationsverket behandlar för ändamålet handläggning av ärende m.m. enligt 5 § första stycket 1.
I andra stycket görs den begränsningen att direktåtkomsten inte får avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras. Dessa arbetsuppgifter skall omfattas av de angivna ändamålen och avse verksamhet enligt utlännings- och medborgarskapslagstiftningen såsom denna närmare preciserats i 1 § första stycket.
Regeringen får enligt 19 § meddela föreskrifter som begränsar eller preciserar omfattningen av den tillåtna direktåtkomsten.
12 § För ändamål som anges i 5 § första stycket 5 får Utlänningsnämnden och utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål.
Bestämmelsen har behandlats i avsnitt 6.10. Se även kommentaren till 11 §.
Enligt paragrafen får Migrationsverket till Utlänningsnämnden och utlandsmyndigheter genom direktåtkomst lämna ut personuppgifter som Migrationsverket behandlar för ändamålet återsökning av avgöranden, rättsutredningar, annan rättslig information samt av information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
13 § Behörighet för åtkomst till personuppgifter som behandlas automatiserat får endast ges till de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.
Bestämmelsen har behandlats i avsnitt 6.10.
I denna paragraf regleras i vad mån befattningshavare inom en myndighet får ges åtkomst dels till personuppgifter som behandlas av den egna myndigheten, dels till personuppgifter som annan myndighet, dvs. Migrationsverket, behandlar men till vilka den egna myndigheten har direktåtkomst. En befattningshavares åtkomst skall alltid vara begränsad till vad denne behöver för att kunna utföra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är den personuppgiftsansvariga myndigheten som tilldelar behörighet.
Sekretess
14 § I sekretesslagen (1980:100) finns begränsningar i fråga om utlämnande av personuppgifter som behandlas i verksamhet som anges i 1 § första stycket.
Frågor om sekretess har behandlats i avsnitt 7.
I paragrafen erinras om de sekretessbestämmelser som kan gälla för utlämnande av personuppgifter som behandlas enligt lagen.
Överföring av personuppgifter till tredje land
15 § Personuppgifter får föras över till en stat som inte ingår i Europeiska unionen och heller inte är ansluten till Europeiska ekonomiska samarbetsområdet (tredje land), om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.
I paragrafen görs undantag från personuppgiftslagens grundläggande förbud mot överföring av personuppgifter till tredje land. Bestämmelsen har behandlats i avsnitt 6.13 och ersätter regleringen i 34 § första stycket personuppgiftslagen om sådan överföring.
Enligt bestämmelsen får personuppgifter som behandlas med stöd av utlänningsdatalagen överföras till tredje land, om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för den överförande myndighetens handläggning eller biträde
vid handläggning av ärenden, utlänningskontroll enligt 5 kap. utlänningslagen, uppgiftsutlämnande som avses i 5 § första stycket 4 eller informationsåtersökning som avses i 5 § första stycket 5.
Någon begränsning i fråga om på vilket sätt uppgifterna får överföras är inte föreskriven. Är förutsättningarna för överföring uppfyllda, kan den således ske elektroniskt likväl som på pappersutskrift.
Regeringen, eller i vissa fall den myndighet regeringen bestämmer, får enligt 19 § meddela föreskrifter som innebär begränsningar i förhållande till 15 §.
Avskiljande
16 §
Personuppgifter som behandlas automatiserat för ändamål som
anges i 5 § första stycket 1-3 skall avskiljas från register, ärendehanteringssystem eller andra automatiserat behandlade uppgiftssamlingar, som används i löpande verksamhet, då uppgifterna inte längre är nödvändiga för denna verksamhet.
Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om avskiljande av personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsver-
kets personuppgiftsansvar.
Bestämmelsen har behandlats i avsnitt 6.15.3.2.
Enligt paragrafens första stycke åläggs personuppgiftsansvarig myndighet en skyldighet att plocka bort, avskilja, personuppgifter från automatiserade uppgiftssamlingar som används i löpande verksamhet – som gäller ärendehandläggning, utlänningskontroll enligt 5 kap. utlänningslagen samt mottagnings- och bosättningsverksamhet – då uppgifterna inte längre behövs för denna löpande verksamhet. På vilket sätt detta skall ske kan personuppgiftsansvariga myndigheter själva avgöra, dock att åtgärden inte får innebära att uppgifterna gallras i strid mot arkivlagens (1990:782) bestämmelser eller föreskrifter som har meddelat med stöd av den lagen.
Åtkomst till de avskilda uppgifterna skall vara starkt begränsad i enlighet med vad som anges i andra stycket. Av att uppgifterna är avskilda på grund av sin inaktualitet följer att avskilda personuppgifter inte får omfattas av sådan direktåtkomst som avses i 11 §.
I tredje stycket ges regeringen rätt att bemyndiga annan myndighet, i praktiken Migrationsverket, att meddela föreskrifter om avskiljande såvitt avser personuppgifter som behandlas av annan myndighet men för vars behandling verket är personuppgiftsansvarig.
Rättelse och skadestånd
17 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller författningar som har meddelats i anslutning till denna lag.
Bestämmelsen har behandlats i avsnitt 6.16.
Personuppgiftslagens bestämmelse om rättelse och skadestånd gäller enbart vid överträdelser av den lagen. Genom 17 § görs bestämmelserna tillämpliga även då uppgifter behandlas i strid mot utlänningsdatalagen.
Överklagande
18 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Bestämmelsen har behandlats i avsnitt 6.17.
Ytterligare föreskrifter
19 § Regeringen meddelar föreskrifter som innebär begränsningar, utöver vad som följer av denna lag, av de ändamål för vilka personuppgifter får behandlas, av vilka slags personuppgifter som får behandlas, av de sökbegrepp som får användas, av vilken direktåtkomst som får förekomma och av i vilken utsträckning personuppgifter får överföras till tredje land.
Regeringen får överlåta åt annan myndighet att för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar meddela föreskrifter om sådana begränsningar som avses i första stycket och som gäller ändamål, personuppgiftsslag eller överföring till tredje land.
Bestämmelsen har behandlats i avsnitt 6.18. Se också kommentarerna till 5, 9, 11 och 15 §§.
Av denna paragraf och av 20 § framgår i vilka fall regeringen – eller i vissa fall den myndighet regeringen bestämmer – får meddela föreskrifter utöver vad som angetts i respektive paragraf i lagen.
20 § Regeringen meddelar närmare föreskrifter om säkerhetsåtgärder
till skydd för personuppgifter som behandlas.
Regeringen får överlåta åt annan myndighet att meddela sådana föreskrifter för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Bestämmelsen har behandlats i avsnitt 6.18.
I paragrafen anges att regeringen, eller i vissa fall den myndighet regeringen bestämmer, meddelar närmare föreskrifter om avskiljande och skyddsåtgärder. _______________
1. Denna lag träder i kraft den .…
2. Med undantag för bestämmelsen i 15 § skall lagens bestämmelser inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.
Frågor om ikraftträdande och övergångsbestämmelser har behandlats i avsnitt 8.1.
9.2. Förslaget till lag om ändring i sekretesslagen (1980:100)
7 kap 14 § Sekretess gäller för uppgift som rör utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar.
Utöver vad som följer av första stycket gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. I verksamhet för kontroll över utlänningar gäller sekretess också för anmälan eller annan utsaga av enskild, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon närstående till honom eller henne utsätts för våld eller annat allvarligt men om uppgiften röjs Beträffande beslut i ärende som avses i detta stycke gäller sekretessen dock endast för uppgifter i skälen.
Utöver vad som följer av första stycket gäller sekretess hos Integrationsverket
1. i ärende om statlig ersättning för kostnader för mottagande av flyktingar och andra skyddsbehövande som beviljats uppehållstillstånd och av personer som beviljats uppehållstillstånd på grund av anknytning till sådana utlänningar och
2. i verksamhet som avser medverkan till bosättning för personer som omfattas av 1, för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.
Utöver vad som följer av första stycket gäller sekretess hos Totalförsvarets pliktverk och Migrationsverket i verksamhet som avser mottagande och vidarebefordran av upplysningar m.m. om krigsfångar och andra skyddade personer som avses i Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter och tilläggsprotokollen till konventionerna, för uppgift om enskilds vistelseort, hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Sekretess gäller för uppgifter som avses i första och andra styckena och som en myndighet fått enligt rådets förordning (EG) nr 343/2003 av
den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat. Föreskrifterna i 14 kap. 1-3 §§ får i fråga om denna sekretess inte tillämpas i strid med förordningen.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.
Utan hinder av sekretess enligt första eller fjärde stycket eller enligt 2 kap. 1 eller 2 § får uppgifter som avses i fjärde stycket lämnas till den nationella upplysningsbyrån enligt vad som föreskrivs i 8 kap. 13 § lagen (1994:1720) om civilt försvar och förordningen (1996:1475) om skyldighet att lämna uppgifter m.m. om krigsfångar och andra skyddade personer.
Utan hinder av sekretess enligt andra stycket får Migrationsverket lämna uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset i angelägenhet som gäller sådan verksamhet för återförening av splittrade familjer som avses i artikel 74 i tilläggsprotokoll I till Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter eller som gäller efterforskning i fredstid av personer som har förlorat kontakten med närstående på grund av krig, väpnad konflikt eller naturkatastrof.
-----
Denna lag träder i kraft den… Äldre bestämmelse gäller fortfarande i fråga om uppgifter som avses i paragrafens första och andra stycke och som en myndighet fått enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
Frågor om sekretess har behandlats i avsnitt 7.
I paragrafen har ett stycke ändrats samt ett nytt stycke införts. Bestämmelsen i fjärde stycket är en anpassning till den nya EGförordning som ersatt Dublinkonventionen. Anpassningen har skett genom att bestämmelsen uttryckligen hänvisar till EGförordningen. Enligt bestämmelsen gäller absolut sekretess för uppgifter som en svensk myndighet tar emot från utländsk myndighet på grund av EG-förordningens föreskrift om informationsutbyte. Härigenom säkerställs att uppgifter som Sverige tagit emot enligt artikel 21 i förordningen endast lämnas vidare till de myndigheter och domstolar som har till uppgift att a) avgöra vilken
medlemsstat som har ansvaret för att pröva asylansökan, b) pröva asylansökan eller c) uppfylla alla skyldigheter enligt EGförordningen (artikel 21.7 i förordningen), dvs. för Sveriges del Regeringen, Migrationsverket och Utlänningsnämnden. Utlämnande av mottagna personuppgifter torde inte kunna ske annat än mellan de nämnda myndigheterna. Genom en övergångsbestämmelse gäller bestämmelsen i dess äldre lydelse för uppgifter som tas emot enligt Dublinkonventionen.
Åttonde stycket är nytt. Bestämmelsen utgör en sekretessbrytande regel som innebär att sekretess enligt andra stycket inte hindrar att
Migrationsverket lämnar ut uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset. Regeln är endast tillämplig vid utlämnande som syftar till att ge Svenska röda korset information i föreningens verksamhet med familjeåterförening och efterforskning av försvunna anhöriga; en verksamhet som har sin grund i Genèvekonventionerna med tilläggsprotokoll samt omfattas av ett avtal med staten om statligt ekonomiskt stöd.
9.3. Förslaget till lag om ändring i utlänningslagen (1989:529)
11 kap 6 a § Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna skall till varandra lämna uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.
Första stycket gäller även utlandsmyndighet som efter bemyndigande av Migrationsverket handlägger ärenden om viseringar, uppehållstillstånd och arbetstillstånd.
Paragrafen, som är ny, har behandlats i avsnitt 7.4.3.
Bestämmelsen syftar till att möjliggöra sådant nödvändigt utbyte av sekretessbelagda uppgifter mellan de myndigheter som samarbetar i verksamhet för kontroll över utlänningar enligt utlänningslagen. Genom bestämmelsen om uppgiftsskyldighet följer av 14 kap. 1 § sekretesslagen att uppgifter som omfattas av utlänningssekretess utan hinder av sekretessen kan utbytas mellan de nämnda myndigheterna. Det krävs dock att uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. Det är den utlämnande myndigheten som har att pröva i vad mån
uppgiften är nödvändig för den mottagande myndighetens verksamhet.
Av paragrafens andra stycke framgår att bestämmelsen även gäller för utlandsmyndighet som efter bemyndigande av Migrationsverket handlägger utlänningsärenden.
9.4. Förslaget till lag om ändring i lagen (2001:82) om svenskt medborgarskap
29 § Migrationsverket och Utlänningsnämnden skall till varandra lämna uppgifter som rör utlännings eller enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.
Första stycket gäller även utlandsmyndighet som utreder ärenden
om svenskt medborgarskap.
Paragrafen, som är ny, har behandlats i avsnitt 7.4.3.
Bestämmelsen innehåller en sekretessbrytande uppgiftsskyldighet mellan de myndigheter som handlägger ärenden om svenskt medborgarskap. Bestämmelsen omfattar även de utlandsmyndigheter som enligt 7 § medborgarskapsförordningen (2001:218) gör den utredning som behövs för ärendets prövning.
Se vidare kommentaren till 11 kap. 6 a § i förslaget till lag om ändring i utlänningslagen (avsnitt 9.3).
BILAGOR BILAGOR BILAGOR BILAGOR
Kommittédirektiv
Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarlagstiftning
Dir. 2001:108
Beslut vid regeringssammanträde den 20 december 2001.
Sammanfattning av uppdraget
En särskild utredare skall kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren skall utifrån ett helhetsperspektiv granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204). Utredaren skall särskilt beakta behovet av en rättslig reglering som inte är beroende av att vissa tekniska lösningar används och som ger myndigheterna möjlighet att hantera information på ett bra sätt. Samtidigt skall utredaren väga in rättssäkerhetsaspekter, främst enskildas behov av skydd för sin personliga integritet.
Gällande bestämmelser
Internationella regler om dataskydd
Den 24 oktober 1995 beslutade Europaparlamentet och rådet om direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 3 1995L0046), det s.k. dataskyddsdirektivet. Internationella riktlinjer för automatisk databehandling av personuppgifter finns bl.a. även i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, antagen den 28 januari 1981 (CE-ETS-108/81).
Datalagen och personuppgiftslagen
När personuppgiftslagen (1998:204) trädde i kraft i oktober 1998 ersatte den datalagen (1973:289). Genom övergångsbestämmelserna till personuppgiftslagen gavs ytterligare tid för att anpassa den då gällande lagstiftningen på olika rättsområden. Enligt övergångsbestämmelserna skulle datalagen fortsätta att tillämpas till och med den 30 september 2001 i fråga om bl.a. sådan behandling av personuppgifter som påbörjats före den 24 oktober 1998. Från den 1 oktober 2001 tillämpas således personuppgiftslagen fullt ut på all automatiserad behandling av personuppgifter om inte annat framgår av författning.
Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen. Lagens bestämmelser innehåller därför motsvarande bestämmelser och följer samma struktur som finns i direktivet. Syftet med dataskyddsdirektivet och personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Innehållet i personuppgiftslagen bygger på att själva hanteringen av personuppgifter regleras. Regleringsmodellen innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är förbjuden. Enligt 2 § i lagen gäller särreglering i annan författning före personuppgiftslagen. En förutsättning är dock att författningen är förenlig med dataskyddsdirektivet på de områden där det direktivet är tillämpligt. Personuppgiftslagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad (5 § första stycket). Lagen gäller också för manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § andra stycket). I övrigt innehåller personuppgiftslagen bl.a. definitioner av centrala begrepp, förutsättningar för behandling av personuppgifter, bestämmelser om information, rättelse, skadestånd och säkerhet vid behandlingen.
I lagens 13 § finns ett principiellt förbud mot att behandla känsliga personuppgifter. Det finns dock möjlighet att göra undantag från förbudet, t.ex. får känsliga uppgifter behandlas om den registrerade har lämnat ett uttryckligt samtycke till behandlingen eller om behandlingen är nödvändig på grund av vissa särskilt angivna förhållanden. Vidare får det föreskrivas generella föreskrifter
om undantag, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).
Utlännings- och medborgarskapslagstiftningen
De myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen är främst Migrationsverket och Utlänningsnämnden. Även Integrationsverket, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna bedriver sådan verksamhet. Samtliga dessa myndigheters behandling av personuppgifter påbörjades före den 24 oktober 1998. Det innebär att före den 1 oktober 2001 krävdes Datainspektionens tillstånd för behandlingen. Sedan den 1 oktober 2001 gäller dock personuppgiftslagens bestämmelser för all automatiserad behandling av personuppgifter.
Utöver personuppgiftslagens allmänt gällande bestämmelser om behandling av personuppgifter finns specifika regler för utlännings- och medborgarskapsområdet i en särskild förordning som trädde i kraft den 1 oktober 2001, förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förutom bestämmelser om tillämpningsområde och personuppgiftsansvar, finns det i den nämnda förordningen en närmare reglering av automatiserad behandling av personuppgifter i verksamhetsregister, rättsfallsregister, fingeravtrycksregister och landinformationsregister. Under dessa huvudkategorier finns närmare regler om de ändamål för vilka uppgifterna får behandlas i registren, vad registren får innehålla, under vilka förutsättningar känsliga personuppgifter får behandlas, myndigheters direktåtkomst till register och användningen av sökbegrepp.
Utredningsbehovet
Enligt 1 kap. 2 § tredje stycket regeringsformen (RF) skall det allmänna värna den enskildes privatliv och familjeliv. Vidare skall enligt 2 kap. 3 § RF varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att den personliga integriteten kränks genom registrering av uppgifter med hjälp av automatisk databehandling. Utlänningar som är i Sverige har i detta hänseende samma skydd som svenska medborgare (2 kap. 22 § första stycket 2
RF). Detta skydd för den personliga integriteten kommer främst till uttryck i personuppgiftslagen.
Bestämmelser om rätten till respekt för privat- och familjelivet finns vidare i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (artikel 8). Europakonventionen gäller sedan den 1 januari 1995 som lag i Sverige.
Riksdagen har i skilda sammanhang påpekat att myndighetsregister som innehåller ett stort antal registrerade personer och som har ett särskilt känsligt innehåll skall regleras i lag (se bet. 1990/91:KU11 s. 11, jfr prop. 1997/98:44 s. 41). Myndigheter som Migrationsverket och Utlänningsnämnden har en verksamhet som i sig innebär att de ofta hanterar stora mängder av känsliga uppgifter. Regeringens uppfattning är, mot denna bakgrund, att mer specifika bestämmelser om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall regleras särskilt i lag. Sedan den 1 oktober 2001 gäller förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förordningen är dock avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.
I en skrivelse till regeringen den 22 juni 2000 begärde Statens invandrarverk (numera Migrationsverket) och Utlänningsnämnden bl.a. att en utredning skulle tillsättas för att utreda behovet av en författningsreglering av en central databas för registrering av uppgifter om utlänningars rätt att vistas i Sverige. Den centrala databasen hos Migrationsverket, STAMM (System för Tillstånd, Asyl, Mottagning och Medborgarskap), innehåller uppgifter om utlänningar och flera myndigheter planeras få tillgång till STAMM.
Datainspektionen har vidare överlämnat ett beslut till regeringen från den 23 november 2000 (diarienummer 124-2000). Beslutet gällde ändring av Migrationsverkets tillstånd för STAMM. I beslutet skriver Datainspektionen att STAMM innehåller delvis mycket känsliga uppgifter och att personuppgiftslagen i princip innebär förbud mot behandling av känsliga uppgifter. Datainspektionen anser i beslutet att överväganden om författningsstöd behövs för den behandling av känsliga uppgifter som sker i STAMM.
Utredningsuppdraget
Lagrådet har i sitt yttrande i propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33) kritiserat användandet av en mer självbärande författningsteknik i förhållande till personuppgiftslagen. Enligt regeringens mening bör särlagstiftning i förhållande till personuppgiftslagen begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen, i detta fall utlännings- och medborgarskapslagstiftningen. Det kan handla om situationer då personuppgiftslagens mer allmänt hållna bestämmelser ger upphov till tolkningsproblem i förhållande till annan lagstiftning. Det kan också vara fråga om att det finns anledning att vara särskilt tydlig med att ange de undantag och preciseringar som är motiverade, exempelvis i fråga om behandlingen av känsliga personuppgifter.
Utgångspunkten för utredarens uppdrag bör vara att kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Även frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål bör uppmärksammas.
Utredaren bör anlägga ett helhetsperspektiv och inrikta sig på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen skall passa väl in i personuppgiftslagens regelsystem. Ett mål för utredningsuppdraget är att skapa enkla, tydliga och moderna regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller de krav i dataskyddshänseende som ställs i nationell och internationell rätt. Utredaren skall undvika att föreslagna författningsändringar, satta i relation till gällande rätt, leder till överlappande lagstiftning och att flera olika regler är tillämpliga beträffande samma behandling av personuppgifter i en myndighets verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Samtidigt bör den rättsliga analysen utgå från att myndigheterna skall kunna arbeta minst lika effektivt som idag. Det skall också finnas utrymme för flexibilitet inför framtiden. Verksamhet av det slag som Migrationsverket bedriver är till sin karaktär sådan att det är en förutsättning för ett rationellt arbetssätt att även större mängder känsliga personuppgifter kan hanteras smidigt.
Behandlingen av personuppgifter inom rättsområdet är vidare till betydande del av internationell karaktär. Överförande av uppgifter
till andra EU-länder eller till tredje land är vanligt förekommande inom ramen för olika former av samarbete, såsom utbyte av information inom ramen för Sveriges medlemskap i Schengensamarbetet och i det konsulära samarbetet i viseringsfrågor. Det är således betydelsefullt att regelverket ger möjligheter att utveckla datasystem som underlättar utbytet av information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.
Myndigheternas behandling av personuppgifter handlar inte enbart om att föra datoriserade register utan kan även avse t.ex. behandling av personuppgifter i en dator som sker uteslutande med hjälp av ord- och textbehandlingsprogram. Det är vidare viktigt att myndigheterna kan ge stöd för handläggningen av ärenden genom att de kan ha system för bakgrundsinformation, t.ex. landinformationssystem.
Andra arbetsområden där det kan förekomma personuppgifter är interninformation till anställda eller publicering av avidentifierade avgöranden på internet. En del av myndigheternas behandling av personuppgifter finns också inom området för intern administration, t.ex. ekonomi- och personaladministration. Även i den här typen av behandling kan det finnas känsliga personuppgifter, t.ex. om ledamöters politiska åskådning eller tolkars etnicitet.
Sedan ett par år pågår, med Migrationsverket som processansvarig myndighet, det s.k. WILMA-projektet om IT-stöd för ärendehanteringen av ansökningar om visering samt uppehålls- och arbetstillstånd som lämnas in vid svenska utlandsmyndigheter. Målet är att ansökningar om exempelvis uppehållstillstånd skall kunna registreras i systemet av utlandsmyndigheter i samband med att ansökningen görs och att vissa angivna myndigheter skall ha direktåtkomst till uppgifterna elektroniskt. En utgångspunkt för utredningen bör vara att det är viktigt att utbytet av information mellan t.ex. ambassader och Migrationsverket kan fungera smidigt och i enlighet med de lösningar som tas fram i projekt av det nu angivna slaget.
När det gäller Utlänningsnämnden har den s.k. NIPU-kommittén i betänkandet “Ökad rättssäkerhet i asylärenden” (SOU 1999:16) föreslagit att de ärenden som idag prövas av nämnden i framtiden skall prövas av allmänna förvaltningsdomstolar. En interdepartemental arbetsgrupp har vidare i promemorian “En specialdomstol för utlänningsärenden” (Ds 2000:45) utrett hur en specialdomstol skulle kunna fungera som överinstans.
Regeringens avsikt är att i enlighet med Socialförsäkringsutskottets tillkännagivande i betänkandet över budgetpropositionen (bet. 2001/02:SfU2) under år 2002 kunna presentera ett förslag till ny instans- och processordning i utlännings- och medborgarskapsärenden. Utredaren skall följa reformarbetet och se till att eventuella förslag till författningsändringar eller andra åtgärder är anpassade till den framtida nya instans- och processordningen.
Regeringen beslutade den 29 november 2000 (UD 2000:05, dir. 2000:82) att tillkalla en särskild utredare med uppgift att bl.a. överväga sekretess hos utlandsmyndigheterna, författningsreglering av en central databas hos Migrationsverket samt behandlingen av utlänningar i förvar. Utredaren skall redovisa sitt uppdrag senast den 31 december 2001 (UD 2000:05). Med anledning av de nya direktiv som nu beslutas anser regeringen att det är naturligt att till den nya utredningen föra frågorna om författningsreglering och eventuella andra åtgärder för en modifierad central databas hos Migrationsverket, frågor som således tidigare ingått i uppdraget till Utredningen om sekretess hos utlandsmyndigheterna m.m. Regeringen har därför denna dag även beslutat om att genom tilläggsdirektiv begränsa den sistnämnda utredningens uppdrag i enlighet med detta.
Det är naturligt att sekretessfrågor kommer upp i sammanhang som rör överföring av känsliga uppgifter mellan olika myndigheter oavsett om behandlingen av uppgifterna i sin helhet sker i Sverige eller i vissa delar vid svenska utlandsmyndigheter. Den grundläggande bestämmelsen om utlänningssekretess finns i 7 kap. 14 § sekretesslagen (1980:100). I det helhetsperspektiv som utredaren skall anlägga ingår även att beakta vad Utredningen om sekretess hos utlandsmyndigheterna m.m. kommer fram till i frågor om sekretess och överföring av uppgifter och vid behov föreslå kompletterande författningsändringar eller andra åtgärder.
Uppdraget skall redovisas senast den 31 december 2002.
(Utrikesdepartementet)
Bilaga 2
2001-11-05
Utrikesdepartementet Att: Dep råd Peter Springfeldt Enheten för migrations och asylpolitik 103 39 STOCKHOLM
Frågor gällande personuppgiftslagen , PUL
Käre Peter Springfeldt,
För att efterforska anhöriga i Sverige på uppdrag av andra rödakorsföreningar i världen samt av ICRC krävs många gånger att Svenska Röda Korset får tillgång till utdrag från Migrationsverkets adressregister. Migrationsverket har sedan införandet av personuppgiftslagen endast rätt att lämna ut dessa uppgifter till annan myndighet, ej till organisationer såsom Svenska Röda Korset. Detta gör Röda Korsets verksamhet svår att utföra både i freds- och i en förhoppningsvis aldrig uppkommande krigssituation.
Att handlägga enskilda ärenden innebär att Svenska Röda Korset kommer i kontakt med personuppgifter och ibland känsliga uppgifter gällande de som söker Röda Korsets assistans. För att registrera uppgifter krävs samtycke enligt personuppgiftslagen. Det finns också en skyldighet att informera om registreringen.
Då regeringen, genom avtal som baseras på de konventioner Sverige undertecknat, givit Svenska Röda Korset förtroendet att arbeta med frågor gällande efterforskning och familjeåterförening bör denna fråga även vara av intresse för utrikesdepartementet att lösa på bästa sätt. Vi anhåller därför om att Svenska Röda Korset
undantas från gällande bestämmelser i just denna sekretessfråga och därmed få rätten att få ut viss sekretessbelagd information när det gäller efterforsknings- och familjeåterföreningsärenden, främst gällande adressuppgifter och födelsedata. Vi skulle uppskatta att snarast möjligt få till stånd en dialog med Er i denna fråga samt om hur vi ska hantera frågan om känsliga uppgifter och samtycke.
Det finns ännu en gemensam fråga att diskutera som gäller den ansökan om extra medel som Svenska Röda Korset inlämnade till UD 2001-06-13. Vi har ännu inte erhållit något svar från Er gällande detta.
Jag skulle uppskatta om Ni hör av Er till mig eller till Lena Aronsson, samordnare Efterforskning och Familjeåterförening, och föreslår en tid för ett sammanträffande.
Med vänlig hälsning SVENSKA RÖDA KORSET Huvudkontoret Folkrätt & Flykting
Brita Sydhoff Chef Folkrätt & Flykting