SOU 2015:73

Personuppgiftsbehandling på utlännings- och medborgarskapsområdet

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 28 maj 2014 att ge en särskild utredare i uppdrag att utarbeta ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen m.m. (dir. 2014:76). Samma dag förordnades f.d. lagmannen Sigurd Heuman som särskild utredare.

Hovrättsassessorn Magdalena Petersson anställdes som sekreterare från och med den 25 augusti 2014 (tjänstledig från januari 2015). Hovrättsassessorn Sara Leyde anställdes som sekreterare från och med den 1 januari 2015.

Utredningen har antagit namnet 2014 års utlänningsdatautredning (Ju 2014:11).

Som experter i utredningen förordnades från och med den 28 augusti 2014 advokaten Petter Aasheim, kammarrättsrådet Johan Axelsson, hovrättsassessorn Sara Leyde, juristen Emelie Lindvall, rättssakkunniga Louise Molin Alfredsson, verksjuristen Christer Pettersson, rådmannen Anna Tansjö och juristen Elisabeth Wallin. Genom beslut den 20 oktober 2014 entledigades Petter Aasheim från uppdraget från och med samma dag, och i hans ställe förordnades från och med samma dag advokaten Tomas Fridh som expert. Genom beslut den 5 december 2014 entledigades Louise Molin Alfredsson från uppdraget från och med den 1 januari 2015, och i hennes ställe förordnades från och med samma dag kanslirådet Susanna Pohl Söderman som expert.

Härmed överlämnar utredningen sitt betänkande Personuppgifts-

behandling på utlännings- och medborgarskapsområdet (SOU 2015:73).

Uppdraget är därmed slutfört.

Stockholm i juli 2015

Sigurd Heuman

/Sara Leyde

Förkortningar

AFIS automatiserat fingeravtrycksidentifieringssystem CUD centrala utlänningsdatabasen Dnr diarienummer Ds Departementsserien EU Europeiska unionen EES Europeiska ekonomiska samarbetsområdet HBTQ homosexuella, bisexuella, transpersoner och queer JO Riksdagens ombudsmän OSL offentlighets- och sekretesslagen (2009:400) PDF polisdataförordningen (2010:1155) PDL polisdatalagen (2010:361) prop. regeringens proposition PUF personuppgiftsförordningen (1998:1191) PUL personuppgiftslagen (1998:204) RF regeringsformen SOU Statens offentliga utredningar TF tryckfrihetsförordningen UtlF utlänningsförordning (2006:97) UtlL utlänningslagen (2005:716)

Sammanfattning

Inledning

I detta betänkande redovisar utredningen sitt uppdrag att utarbeta förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (dir. 2014:76). Härvid redovisas även dels en kartläggning av behandlingen av personuppgifter inom denna verksamhet, dels en analys av om den behandling som förekommer är nödvändig och om ytterligare behov av personuppgiftsbehandling finns för att skapa förutsättningar för en effektiv verksamhet.

Utredningen redovisar också i betänkandet några ytterligare frågeställningar som utredningen har fått i uppdrag att analysera särskilt.

En ny lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Lagens syfte, utformning, m.m.

Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska regleras i en lag, som utformats med beaktande av bland annat skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen (RF), personuppgiftslagen (1998:204, PUL) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Däremot har det inte varit möjligt att anpassa förslagen till det pågående reformarbetet av EU:s regler om skydd

för personuppgifter, eftersom detta arbete ännu inte (juni 2015) är klart.

Lagen, som föreslås heta utlänningsdatalag, samt en föreslagen anslutande förordning ska ersätta den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Lagens övergripande syften föreslås vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen har utformats som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten finns i lagen. Kompletterande bestämmelser finns i författningar på lägre nivå.

Lagförslaget, som gjorts teknikoberoende, syftar till att göra det möjligt för berörda myndigheter att använda moderna och ändamålsenliga it-system för att verksamheten ska kunna bedrivas så effektivt som möjligt.

Lagens tillämpningsområde

Utlänningsdatalagen föreslås vara tillämplig vid behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarlagstiftningen som utförs av Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna.

Vari denna verksamhet består preciseras närmare och uttömmande i lagen. Vad gäller Migrationsverkets och utlandsmyndigheternas verksamhet föreslås att lagen ska tillämpas vid behandling av personuppgifter som rör:

1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska

unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2. statusförklaring,

3. mottagande av asylsökande och andra utlänningar,

4. bistånd och stöd till utlänningar,

5. svenskt medborgarskap,

6. statlig ersättning för kostnader för utlänningar eller

7. bosättning av utlänningar.

Vad gäller Polismyndighetens och Säkerhetspolisens verksamhet föreslås lagen tillämpas vid behandling av personuppgifter som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

Viss personuppgiftsbehandling hos de aktuella myndigheterna föreslås dock falla utanför lagens tillämpningsområde trots att lagen i och för sig hade kunnat vara tillämplig. Det gäller bland annat personuppgiftsbehandling enligt lagen (2000:344) om Schengens informationssystem samt enligt de EU-förordningar som brukar benämnas VIS-förordningen, Viseringskodexen och Eurodacförordningen. Den nya lagen ska inte heller tillämpas då personuppgifter behandlas med stöd av polisdatalagen (2010:361).

I likhet med personuppgiftslagen föreslås lagen gälla då personuppgiftsbehandlingen är helt eller delvis automatiserad samt då personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det föreslagna tillämpningsområdet har alltså i viss mån utvidgats jämfört med vad som gäller enligt nuvarande utlänningsdataförordning, som i första hand gäller personuppgiftsbehandling i olika verksamhetsregister.

Förhållandet till personuppgiftslagen

Bestämmelserna i den nya lagen föreslås som huvudregel ha företräde framför personuppgiftslagens bestämmelser. Vissa bestämmelser i personuppgiftslagen ska dock vara tillämpliga i verksamheten enligt utlännings- och medborgarskapslagstiftningen. I den nya lagen pekas dessa bestämmelser särskilt ut. Det gäller bland annat personuppgiftslagens bestämmelser om förhållandet till offentlighetsprincipen (8 §), grundläggande krav på behandlingen av personuppgifter (9 §), behandling av uppgifter om personnummer (22 §), överföring av personuppgifter till tredjeland (33–35 §§) och skadestånd (48 §).

Personuppgiftsansvar

Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behandlingen. Ett undantag från denna huvudregel föreslås i det att Migrationsverket ska vara personuppgiftsansvarig för utlandsmyndigheternas automatiserade personuppgiftsbehandling.

Migrationsverket, Polismyndigheten och Säkerhetspolisen föreslås vidare vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.

Ändamål m.m.

Personuppgifter föreslås endast få behandlas med stöd av utlänningsdatalagen om det är nödvändigt för vissa särskilt angivna ändamål.

Ändamålen, både primära och sekundära, framgår av lagen. De primära ändamålen för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling föreslås vara följande:

1. handläggning av ärenden eller en myndighets biträde i sådana ären-

den i verksamhet inom lagens tillämpningsområde (se ovan),

2. kontroll av utlänning i samband med inresa och utresa samt kon-

troll under vistelsen i Sverige,

3. utförande av arbetsuppgifter som gäller mottagande och bosätt-

ning av asylsökande och andra utlänningar,

4. tillsyn, kontroll, uppföljning, planering av verksamheten, fram-

ställning av statistik samt testverksamhet eller

5. fullgörande av en rättslig skyldighet att registrera eller på annat

sätt dokumentera en personuppgift.

Migrationsverket föreslås därutöver få behandla personuppgifter om det är nödvändigt för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information rörande förhållanden i andra länder.

Vidare föreslås att personuppgifter som behandlas enligt ovan nämnda primära ändamål även ska få behandlas enligt nedan följande

sekundära ändamål om det är nödvändigt för att tillhandahålla in-

formation:

1. till en annan myndighet eller enskild, om utlämnandet sker med

stöd av lag eller förordning eller

2. till en utländsk myndighet, ett EU-organ eller en mellanfolklig

organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

Personuppgifter ska i ett enskilt fall även få behandlas för att tillhandahålla information för något annat ändamål än som nu angetts under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för (finalitetsprincipen).

För Migrationsverkets register över fingeravtryck och fotografier föreslås en särreglering med mer begränsade ändamålsbestämmelser.

Känsliga personuppgifter

Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter måste i stor utsträckning behandlas på utlännings- och medborgarskapsområdet. Utredningen föreslår att känsliga personuppgifter ska få behandlas för i princip alla de ändamål för vilka behandling är tillåtna. En förutsättning är dock, om inte den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna, att uppgifterna är absolut nödvändiga för syftet med behandlingen. Med att uppgifterna ska vara absolut nödvändiga markeras att behandlingen av dem bör ske med försiktighet och aldrig slentrianmässigt.

Tillgången till personuppgifter

Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i enskildas personliga integritet. Som ett led i att stärka

integritetsskyddet föreslås en bestämmelse i lagen om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Migrationsverket, Polismyndigheten, Säkerhetspolisen föreslås vidare få möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Enligt utredningens förslag bör Migrationsverket även få meddela föreskrifter av aktuellt slag när det gäller uppgifter som behandlas automatiserat hos utlandsmyndigheterna.

Sökbegränsningar

Som ytterligare en åtgärd för att stärka integritetsskyddet föreslås begränsningar avseende vilka sökbegrepp som får användas vid sökningar av uppgifter för vissa ändamål i vissa fall.

Känsliga personuppgifter föreslås endast få användas som sökbegrepp för behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet samt för återsökning i vissa fall. Migrationsverket behöver kunna använda känsliga personuppgifter som sökbegrepp för exempelvis framställning av viss statistik och för att förbereda verksamheten med anledning av förväntade flyktingströmmar.

Personuppgifter om lagöverträdelser föreslås med vissa undantag inte få användas som sökbegrepp.

Elektroniskt utlämnande av personuppgifter

Även om ett elektroniskt utlämnande av personuppgifter medför vissa integritetsrisker anser utredningen, med undantag för utlämnande genom direktåtkomst, att det inte finns något behov av att införa en särskild reglering om när elektroniskt utlämnande får förekomma. Några sådana bestämmelser föreslås därför inte.

Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket föreslås för vissa särskilda ändamål få medges direktåtkomst till vissa personuppgifter som behandlas automatiserat hos Migrationsverket. Direktåtkomsten föreslås regleras uttömmande.

Reglerna om direktåtkomst har utformats med tanke på de särskilda risker som direktåtkomsten innebär för enskildas integritet. Det innebär bland annat att mottagarmyndigheterna ska ha ett verkligt behov av uppgifterna och att uppgifterna som får göras tillgängliga är så preciserat angivna som möjligt i författning. Vidare ska Migrationsverket innan direktåtkomst medges förvissa sig om att mottagarmyndigheten uppfyller kraven på behörighet och säkerhet. Ytterligare krav som föreslås är att tillgången till uppgifterna hos mottagarmyndigheterna begränsas till vad den enskilde tjänstemannen behöver för att kunna fullgöra sina uppgifter.

Utredningen föreslår några sekretessbrytande bestämmelser med anledning av direktåtkomsten.

Överföring av personuppgifter till tredjeland

Enligt utredningen finns det i vissa fall behov av att föra över personuppgifter till tredjeland oavsett om samtycke från den enskilde till detta föreligger. En bestämmelse om ytterligare undantag från förbudet mot överföring av personuppgifter till tredjeland i 33 § PUL föreslås därför för dessa fall.

Undantaget föreslås innebära att överföring av personuppgifter till tredjeland får ske om det är absolut nödvändigt för 1) handläggning av ärenden eller biträde i sådana ärenden, 2) kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige samt för 3) sådan behandling som sker för ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig information.

Bevarande och gallring samt avskiljande

Automatiserat behandlade personuppgifter i allmänna handlingar i verksamheten bör enligt utredningen, i likhet med hur det är i dag, som huvudregel bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Vad som talar för bevarande är enligt utredningen allmänhetens intresse av insyn i verksamheten. Inte minst finns ett intresse från forskare och journalister. Det är inte heller självklart enligt utredningen att integritetsintresset bäst tillgodoses

genom att personuppgifter förstörs. I verksamheten är det också ofta nödvändigt att ta fram uppgifter från tidigare ärenden.

Utredningen anser dock att det i vissa fall bör göras undantag från denna huvudregel. Undantag från arkivlagens bestämmelser föreslås således gälla 1) för Migrationsverkets fingeravtrycks- och fotografiregister där uppgifter förslås gallras enligt nuvarande ordning, 2) för känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som föreslås gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen och 3) för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag som föreslås gallras efter kort tid.

För att stärka de enskildas personliga integritet föreslår utredningen att tillgången till uppgifter som inte längre behövs för de i lagen angivna ändamålen ska begränsas genom en bestämmelse om

avskiljande av sådana uppgifter. Genom bestämmelsen föreslås att

personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter föreslås vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Ytterligare föreskrifter

Den nya lagen föreslås vara en ramlag som endast innehåller de grundläggande bestämmelserna om skydd för enskildas personliga integritet. I lagförslaget ges möjlighet till föreskrifter på lägre nivå. Sådana föreskrifter kan meddelas när det gäller Migrationsverkets fingeravtrycks- och fotografiregister, tillgången till personuppgifter, direktåtkomst, överföring av personuppgifter till tredjeland, avskiljande, gallring och säkerhetsåtgärder.

Ikraftträdande och övergångsbestämmelser

Utlänningsdatalagen och den nya utlänningsdataförordningen föreslås träda i kraft den 1 januari 2016.

Några särskilda frågor

Registrering av kvalitetsomdömen

Utredningens förslag innebär att Migrationsverket kan registrera identitetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, översättare och språkanalytiker. Med avvikelser avses i huvudsak uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag. Registreringen av aktuella uppgifter syftar till att stärka rättssäkerheten för enskilda i asylprocessen. Av integritetsskäl föreslås dock att uppgifter om avvikelser ska gallras efter kort tid.

Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd

Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Migrationsverket har redan i dag tillgång till de flesta uppgifterna. Det nya är alltså att verket nu föreslås få direktåtkomst till uppgifterna. Utredningen har särskilt analyserat Migrationsverkets behov av direktåtkomst till uppgifterna samt behovet av regler som ger enskilda ett bra skydd för den personliga integriteten vid direktåtkomsten. Sistnämnda regler föreskriver ett ansvar för såväl de utlämnande myndigheterna som mottagarmyndigheten.

Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister

Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716, UtlL). Enligt den sistnämnda paragrafen får

Migrationsverket i vissa fall ta fingeravtryck på en utlänning. Det gäller bland annat om utlänningen inte kan styrka sin identitet. Bakgrunden till utredningens förslag är att kontroller mot Polismyndighetens fingeravtrycksregister förbättrar möjligheterna att fastställa en korrekt identitet på utlänningen. Sammantaget menar utredningen att detta intresse väger tyngre än de eventuella integritetsrisker som kan förknippas med en sådan möjlighet.

Skadeståndsskyldighet efter kontroller av Schengenviseringar

Bestämmelserna i 9 kap. 8 c § UtlL innebär att en utlänning är skyldig att låta en polisman, en särskild förordnat passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av Schengenviseringens äkthet genom sökning i informationssystemet för visering (VIS). Motsvarande skyldighet gäller även för en utlänning som vid en in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras mot VIS i identifieringssyfte. När en kontroll har genomförts ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits i samband med kontrollen.

Utredningen föreslår en klargörande regel om att det är den myndighet som har utfört kontrollen som är ansvarig för att uppgifterna förstörs och att skadestånd kan utgå om förstöringsskyldigheten försummas.

Summary

Introduction

In this report, the Inquiry gives an account of its remit to draw up a proposal for an act on the processing of personal data in activities under the aliens and citizenship legislation (Terms of Reference 2014:76). In connection with this, we also present a survey of the processing of personal data in these activities and an analysis of whether the processing that is done is necessary and whether additional personal data processing is needed to promote effectiveness and efficiency.

The Inquiry also reports on several other issues that it has been specifically instructed to analyse.

A new act on the processing of personal data in activities under the aliens and citizenship legislation

The purpose and design of the act

Under the Inquiry’s proposals, the processing of personal data in activities under the aliens and citizenship legislation will be regulated by an act designed to take account of the protection of personal privacy provided by Chapter 2, Article 6, second paragraph of the Instrument of Government, the Personal Data Act (1998:204) and Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (the ‘Data Protection Directive’). However, it has not been possible to adapt the proposals to the ongoing reform of the EU regulations on protection of personal data, as the work on this reform has not yet been concluded (June 2015).

The act – which it is proposed will be called the ‘Aliens Data Act’ – and a proposed associated ordinance will replace the current Ordinance on the Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).

The proposed overall purpose of the act is to enable relevant authorities to process personal data effectively in their activities under the aliens and citizenship legislation and to protect people from violations of their personal privacy in connection with such processing. The act has been drawn up as a framework law. The basic provisions for the purpose of protecting the data subject against infringements of personal privacy are given in the act. Supplementary provisions are given in subordinate statutes.

The proposed act, which has been made technology-neutral, aims to make it possible for the authorities concerned to use modern and appropriate IT systems to enable the activities to be conducted as effectively as possible.

Scope of the act

Under the proposal, the Aliens Data Act will be applicable to the processing of personal data in activities under the aliens and citizenship legislation conducted by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad.

The act specifies more exactly and exhaustively what these activities consist of. With regard to the activities of the Swedish Migration Agency and Swedish missions abroad, the proposed application of the act will concern personal data processing relating to:

1. the entry of aliens into Sweden or some other state that belongs

to the European Union or the European Economic Area, residence or work in Sweden, and exit from Sweden;

2. status declarations;

3. the reception of asylum seekers and other aliens;

4. financial assistance and allowances paid to aliens;

5. Swedish citizenship;

6. compensation from central government for costs relating to

aliens; and

7. the settlement of aliens.

With regard to the activities of the Swedish Police Authority and the Swedish Security Service, the proposed application of the act will concern personal data processing relating to aliens’ entry into, exit from, residence in or removal from Sweden.

However, under the proposal, certain personal data processing by the authorities concerned will fall outside the scope of the act even though, in and of itself, the act could have applied. This concerns, for example, the processing of personal data under the Schengen Information System Act (2000:344) and the EU regulations generally referred to as the VIS Regulation, the Visa Code and the Eurodac Regulation. Moreover, the act will not be applicable when personal data is processed pursuant to the Police Data Act (2010:361).

Like the Personal Data Act, it is proposed that the act apply when the processing of personal data is wholly or partly automated, and when the personal data is included in, or is intended to form part of, a structured compilation of searchable personal data or a compilation according to particular criteria. The proposed scope has therefore been widened somewhat compared with what applies under the current Aliens Data Ordinance, which primarily concerns the processing of personal data in various records of activities.

Relationship to the Personal Data Act

Under the proposal, the provisions in the new act will generally take precedence over the provisions of the Personal Data Act. However, certain provisions in the Personal Data Act will be applicable to activities under the aliens and citizenship legislation. These provisions are specifically indicated in the new act. They include the provisions of the Personal Data Act on the relationship to the principle of public access to official documents (Section 8), fundamental requirements concerning the processing of personal data (Section 9), the processing of data concerning personal identity numbers (Section 22),

the transfer of personal data to third countries (Sections 33–35) and damages (Section 48).

Control of personal data

It is proposed that the authority undertaking processing or responsible for doing so should be the controller of personal data in the process. As an exception to this general rule, it is proposed that the Swedish Migration Agency should be the controller of personal data for automated processing of personal data by Swedish missions abroad.

In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service should be obliged to appoint one or more personal data representatives for the processing of personal data that they undertake or are responsible for undertaking.

Purposes etc.

Under the proposal, the processing of personal data pursuant to the Aliens Data Act will only be permitted if necessary for certain specifically stated purposes.

The purposes, which may be primary or secondary, will be clarified by the act.

The proposed primary purposes of personal data processing by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad are as follows:

1. processing of matters or assistance by an authority in such matters

in activities within the scope of the act (see above);

2. controls of aliens in connection with entry and exit and controls

during residence in Sweden;

3. performance of working duties relating to the reception and

settlement of asylum seekers and other aliens;

4. supervision, control, monitoring, planning of activities, pro-

duction of statistics and pilot activities; or

5. fulfilment of a legal obligation to register or otherwise document

personal data.

Furthermore, it is proposed that the Swedish Migration Agency be permitted to process personal data if this is necessary to retrieve decisions, judicial investigations and other legal information or information relating to conditions in other countries.

In addition, it is proposed that personal data processed in accordance with the above-listed primary purposes should also be permitted to be processed in accordance with the secondary purposes listed below if this is necessary to make information available:

1. to another public authority or individual, if the data is disclosed

pursuant to an act or ordinance; or

2. to a foreign authority, an EU body or an international organi-

sation, if the disclosure of data follows from Sweden’s membership of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag.

In an individual case, personal data processing will also be permitted to make information available for a purpose other than those now mentioned, provided that the purpose is not incompatible with the purpose for which the data was obtained (the ‘principle of finality’).

Separate regulations with more limited provisions on purposes are proposed for the records of fingerprints and photographs kept by the Swedish Migration Agency.

Sensitive personal data

The term ‘sensitive personal data’ refers to data that reveals a person’s race or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership and data relating to health and sex life. Such data has to be processed extensively in the aliens and citizenship area. The Inquiry proposes that sensitive personal data should be permitted to be processed, in principle, for all the purposes for which processing is permitted. However, one condition, if the data subject has not given explicit consent to processing or

made the data public in some obvious way, is that the data is absolutely essential for the purpose of the processing. The condition that the data must be absolutely essential underlines that it should be processed with caution, never as a matter of routine.

Access to personal data

Generally speaking, large collections of information stored in a manner that makes them easily searchable by electronic means entail an increased risk of violations of individuals’ privacy. As a step in strengthening the protection of privacy, a provision is proposed in the act to the effect that access to personal data will be limited to what each official needs in order to carry out their duties. In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service be able to issue more detailed regulations on access to personal data for persons working in that authority. Under the Inquiry’s proposals, the Swedish Migration Agency should also be able to issue relevant regulations regarding data processed by automated means at Swedish missions abroad.

Restrictions on searches

As an additional measure to strengthen the protection of privacy, restrictions are proposed on the search terms that may be used when searching personal data for certain purposes in certain cases.

It is proposed that the use of sensitive personal data as search terms will be restricted to processing for the purpose of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, and for data retrieval in certain cases. The Swedish Migration Agency needs to be able to use sensitive personal data as search terms for the production of certain statistics, for example, and in preparing activities in response to expected refugee flows.

With certain exceptions, it is proposed that personal data on violations of the law should not be permitted to be used as search terms.

Electronic disclosure of personal data

Even if electronic disclosure of personal data involves certain risks to privacy, the Inquiry considers that, with the exception of disclosure via direct access, there is no need to introduce special regulations on when electronic disclosure may occur. Consequently, no such provisions are proposed.

It is proposed that for certain special purposes, the Swedish Police Authority, the Swedish Security Service, Swedish missions abroad, the Swedish Social Insurance Agency, the Swedish Pensions Agency and the Swedish Tax Agency be allowed direct access to certain personal data processed by automated means by the Swedish Migration Agency. Exhaustive regulation of direct access is proposed.

The regulations on direct access have been designed bearing in mind the special risks that direct access entails for individuals’ privacy. Among other things, the receiving authorities must have a real need for the data and the data that may be made available is specified by statute as precisely as possible. In addition, before direct access is permitted, the Swedish Migration Agency must make sure that the receiving authority meets the authorisation and security requirements. Further requirements proposed are that access to the data at the receiving authorities be restricted to what the individual official needs to be able to fulfil his or her duties.

The Inquiry proposes some provisions overriding secrecy in consequence of direct access.

Transfer of personal data to third countries

The Inquiry has found that in certain cases personal data needs to be transferred to third countries irrespective of whether the individual has consented to this. A provision on further exceptions to the prohibition against transferring personal data to third countries enacted in Section 33 of the Personal Data Act is therefore proposed for these cases.

The proposed exception will mean that personal data may be transferred to a third country if this is absolutely essential for (1) the processing of a matter or assistance in such a matter; (2) controls of an alien in connection with entry or exit or controls during the alien’s stay in Sweden; or (3) processing undertaken for the

purpose of retrieving decisions, judicial investigations and other legal information.

Retention, deletion and detachment

In the Inquiry’s opinion, personal data processed by automated means in public documents in the activities concerned should in general be retained or deleted as directed by the provisions of the Archives Act (1990:782), as is currently the case. As the Inquiry sees it, the argument in favour of retention is the public interest in the transparency of the activities. This interest is particularly manifested by researchers and journalists. Furthermore, the Inquiry considers it far from obvious that the interests of privacy are best served by destroying personal data. Moreover, in these activities it is often necessary to retrieve data from previous matters.

However, the Inquiry considers that exceptions should be made to this general rule in certain cases. Accordingly, exceptions to the provisions of the Archives Act are proposed for (1) the Swedish Migration Agency’s fingerprint and photograph records, where it is proposed that data be deleted in accordance with the current arrangements; (2) sensitive personal data processed for the purposes of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, where it is proposed that this data be deleted immediately the processing is no longer necessary for any of the purposes stated; and (3) personal data processed by automated means by the Swedish Migration Agency because a public counsel, an interpreter, a translator or a language analyst may be unsuitable for future commissions, where it is proposed that this data be deleted after a short time.

To strengthen individual privacy, the Inquiry proposes that access to data that is no longer needed for the purposes stated in the act be limited by means of a provision on the detachment of such data. The proposed provision will direct that personal data in automated data compilations that are used in the authorities’ day-today activities shall be detached when it is no longer needed for these activities. It is proposed that access to detached data be limited to persons who are in absolute need of the data in order to carry out their duties.

Additional regulations

Under the proposal, the new act will be a framework law containing only the basic provisions on protection of individuals’ personal privacy. The proposed act allows the possibility of regulations at a lower level. Such regulations may be issued with regard to the Swedish Migration Agency’s fingerprint and photograph records, access to personal data, direct access, transfer of personal data to third countries, detachment of data, deletion and security measures.

Entry into force and transitional provisions

The proposed date for entry into force of the new Aliens Data Act and Aliens Data Ordinance is 1 January 2016.

Specific issues

Registration of quality assessments

The Inquiry’s proposal means that the Swedish Migration Agency will be able to register data on the identity, special expertise and defects relating to public counsels other than members of the Swedish Bar Association and legal associates, interpreters, translators and language analysts. The term ‘defects’ refers chiefly to data on negligence, inadequacy and incompetence, but also data showing that a contractor has committed an offence or been declared bankrupt. Such defects can mean that a contractor is unsuitable for commissions. The registration of these types of data is intended to enhance the legal security of individuals in the asylum process. However, for reasons of integrity, it is proposed that data on defects be deleted after a short time.

More efficient information exchange in the processing of residence permits for purposes of employment and work permits

The Inquiry proposes that the Swedish Migration Agency should be allowed direct access to certain personal data in the Swedish Tax Agency’s taxation database, the Swedish Enforcement Authority’s

enforcement and collection database and the Swedish Social Insurance Agency’s and Swedish Pensions Agency’s social insurance database. The Swedish Migration Agency already has access to most of this data. What is new is the proposal that the Agency should now be given direct access to the data. The Inquiry has made a special analysis of the Swedish Migration Agency’s need for direct access to the data and the need for rules that give the individual good privacy protection in the event of direct access. These rules entail a responsibility for both the disclosing authority and the receiving authority.

The right of the Swedish Migration Agency to access data in the Swedish Police Authority’s fingerprint records

The Inquiry proposes that the Swedish Migration Agency should have the right to access data from the Swedish Police Authority’s fingerprint records (the A file in the automated fingerprint identification system, AFIS) when checking fingerprints taken pursuant to Chapter 9, Section 8 of the Aliens Act (2005:716). This section of the Act allows the Swedish Migration Agency to take an alien’s fingerprints in certain cases. This is allowed, for example, if the alien is unable to provide proof of identity. The thinking behind the Inquiry’s proposal is that checking against the Swedish Police Authority’s fingerprint records improves the prospects of establishing the correct identity of the alien. On balance, the Inquiry considers that this interest outweighs the possible integrity risks that may be associated with this possibility.

Liability for damages after controls of Schengen visas

Under the provisions of Chapter 9, Section 8c of the Aliens Act, an alien is obliged to allow a policeman, a specially appointed passport official or an official at the Swedish Customs, the Swedish Coast Guard or the Swedish Migration Agency to take his or her fingerprints in order to check the alien’s identity and the genuineness of the Schengen visa by searching in the Visa Information System (VIS). A corresponding obligation also applies to an alien who is unable to prove his or her identity during entry or exit controls and who may

be checked against the VIS for identification purposes. After a control has been carried out, the fingerprints taken for control purposes must be destroyed immediately. This also applies to biometric data taken in connection with the control.

The Inquiry proposes a regulation clarifying that it is the authority that has carried out the control that is responsible for the data being destroyed and that damages may be payable if the obligation to destroy the data is neglected.

1. Författningsförslag

1.1. Förslag till utlänningsdatalag

Härigenom förskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:

1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2. statusförklaring,

3. mottagande av asylsökande och andra utlänningar,

4. bistånd och stöd till utlänningar,

5. svenskt medborgarskap,

6. statlig ersättning för kostnader för utlänningar eller

7. bosättning av utlänningar.

3 § Denna lag gäller också vid behandling av personuppgifter i

Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då personuppgifter behandlas med stöd av

1. lagen (2000:344) om Schengens informationssystem,

2. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),

3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),

4. polisdatalagen (2010:361) eller

5. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förordningen.

Den registrerades inställning

6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.

Förhållandet till personuppgiftslagen

7 § Om inte annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204) eller föreskrifter som har meddelats i anslutning till den lagen.

8 § Följande bestämmelser i personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § om grundläggande krav på behandling av personuppgifter,

4. 22 § om behandling av personnummer,

5. 23 och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse m.m.,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd och 13. 51 §, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Personuppgiftsansvar

9 § Med undantag för vad som föreskrivs i andra stycket är den myndighet som anges i 2 och 3 §§ personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger den myndigheten att utföra.

Migrationsverket är även personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.

10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Ändamål

11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får behandla personuppgifter om det är nödvändigt för

1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,

2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,

3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,

4. tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet eller

5. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.

12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av

1. avgöranden, rättsutredningar och annan rättslig information eller

2. information rörande förhållanden i andra länder.

13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas om det är nödvändigt för att tillhandahålla information

1. till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller

2. till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Migrationsverkets fingeravtrycks- och fotografiregister

14 § Migrationsverket får föra automatiserade register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap.12 a §§utlänningslagen åberopas, i ärenden om avvisning och utvisning samt i testverksamhet.

Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet fotografi.

Uppgift om fingeravtryck får även behandlas när det är nödvändigt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycksregister som Polismyndigheten för enligt 4 kap.1117 §§polisdatalagen (2010:361).

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.

Behandling av känsliga personuppgifter

15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Därutöver får känsliga personuppgifter behandlas endast

1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller

2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

Sökning

17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 11 § 1−3 och 5 samt 13 §.

Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.

Direktåtkomst

18 § Direktåtkomst till personuppgifter som behandlas automatiserat hos Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.

Direktåtkomst till personuppgifter som Migrationsverket behandlar får medges

1. Polismyndigheten för ändamål som anges i 11 § 1–3 och 14 §,

2. Säkerhetspolisen för ändamål som anges i 11 § 1–3 samt

3. utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket för ändamål som anges i 11 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Överföring av personuppgifter till tredjeland

19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.

Avskiljande

20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § ska avskiljas från automatiserad behandling i myndighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.

Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter

om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Gallring

21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga biträden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag.

Säkerhetsåtgärder

22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Denna lag träder i kraft den 1 januari 2016.

1.2. Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

Härigenom föreskrivs att det i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet ska införas en ny paragraf, 2 kap. 8 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

8 b §

Migrationsverket får medges direktåtkomst till uppgifter som avses i 3 § 1–5 och 11 om uppgifterna behövs vid

1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,

2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

1.3. Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att det i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska införas en ny paragraf, 2 kap. 27 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

27 a §

Migrationsverket får medges direktåtkomst till uppgifter som avses i 5 § första stycket 3 om uppgifterna behövs vid

1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,

2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

1.4. Förslag till lag om ändring av utlänningslagen (2005:716)

Härigenom föreskrivs i fråga om utlänningslagen (2005:716)

dels att 9 kap. 8 c § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 17 kap. 4 §, av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

8 c §

Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), i den ursprungliga lydelsen.

Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.

När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.

Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör fingeravtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.

17 kap.

4 §

Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att ta del av sådana uppgifter som myndigheterna får medges direktåtkomst till enligt utlänningsdatalagen (0000:00) .

Denna lag träder i kraft den 1 januari 2016.

1.5. Förslag till lag om ändring i socialförsäkringsbalken (2010:110)

Härigenom föreskrivs i fråga om socialförsäkringsbalken (2010:110)

dels att 114 kap. 1 och 17 §§ ska ha följande lydelse,

dels att en ny paragraf, 114 kap. 23 a §, ska införas av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

114 kap.

1 §

I detta kapitel finns allmänna bestämmelser i 2−5 §§. Vidare finns bestämmelser om – personuppgiftslagen och personuppgiftsansvar i 6 §, – ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

– tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 §§, – direktåtkomst i 18–23 a §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§, – överföring av personuppgifter till tredjeland i 29 §, – information i 30 §, – gallring i 31 §, – avgifter i 32 §, – rättelse och skadestånd i 33 §, – kontrollverksamhet i 34 §, – tystnadsplikt i 35 §, och – överklagande i 36 §

17 §

Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en sär-

Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en sär-

skild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.

Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.

skild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.

Behörighet för åtkomst till socialförsäkringsdatabasen och till

personuppgifter hos Migrationsverket ska begränsas till vad som

behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.

23 a §

Migrationsverket får medges direktåtkomst till uppgifter i socialförsäkringsdatabasen om uppgifterna behövs vid

1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,

2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Denna lag träder i kraft den 1 januari 2016.

1.6. Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att 2 kap. 8 § och 18 §polisdatalagen (2010:361) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

8 §

Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,

4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller

6. en myndighets verksamhet

a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,

6. verksamhet hos Migrationsverket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11– 17 §§ eller

7. en myndighets verksamhet

a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

18 §

Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11– 17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11– 17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Motsvarande gäller för

Migrationsverket avseende personuppgifter som behandlas i fingeravtrycksregister enligt första stycket,

om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.

Denna lag träder i kraft den 1 januari 2016.

1.7. Förslag till utlänningsdataförordning

Härigenom föreskrivs följande.

Allmän bestämmelse

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen (0000:00). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

Migrationsverkets fingeravtrycks- och fotografiregister

2 § Registren får endast innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.

3 § En uppgift i registren ska gallras när den registrerade blir svensk medborgare. I andra fall ska gallring ske senast tio år efter det att uppgiften registrerades.

Tillgången till personuppgifter

4 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive myndigheter. Migrationsverket får även meddela sådana föreskrifter såvitt avser den automatiserade behandlingen av personuppgifter hos utlandsmyndigheterna.

För tilldelning av behörighet för åtkomst till personuppgifter ska särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

5 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ansvarar för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

Migrationsverket ansvarar också för att det finns sådana rutiner hos utlandsmyndigheterna såvitt avser den automatiserade behandlingen av personuppgifter.

Direktåtkomst

6 § Migrationsverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 18 § utlänningsdatalagen (0000:00).

Direktåtkomst till uppgifterna får inte medges innan Migrationsverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

7 § Polismyndighetens och Säkerhetspolisens direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) får inte avse andra uppgifter än sådana som är absolut nödvändiga för att myndigheterna ska kunna utföra de arbetsuppgifter som ankommer på dem.

8 § Försäkringskassans och Pensionsmyndigheten direktåtkomst enligt 18 § utlänningsdatalagen (0000:000) ska begränsas till uppgifter som behövs inom Försäkringskassans och Pensionsmyndighetens verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd.

Direktåtkomsten får endast avse uppgift om

1. namn, personnummer och i förekommande fall samordningsnummer,

2. bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,

3. dag för beslut om uppehållstillstånd, arbetstillstånd eller utfärdande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehållskort har utfärdats,

4. inresedatum,

5. datum för ansökan om uppehållstillstånd, arbetstillstånd eller uppehållskort,

6. särskilt bevis enligt 5 kap. 4 § tredje stycket utlänningsförordningen (2006:97),

7. att uppehållstillstånd har beviljats den enskilde som flykting enligt 4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § utlänningslagen (2005:716) eller motsvarande äldre bestämmelser,

8. att statusförklaring har beviljats enligt 4 kap. 3 c § utlänningslagen eller motsvarande äldre bestämmelser,

9. att uppehållstillstånd har beviljats den enskilde för studier eller som familjemedlem till en sådan person och

10. beslut om återkallelse av uppehållstillstånd eller arbetstillstånd, uppgift om från och med vilket datum uppehållstillstånd eller arbetstillstånd har återkallats och uppgift om vilket datum beslut om återkallelse av uppehållstillstånd eller arbetstillstånd har vunnit laga kraft.

9 § Skatteverkets direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige.

Direktåtkomsten får endast avse uppgift om

1. namn och personnummer,

2. längd,

3. fotografi,

4. underskrift,

5. typ av resehandling, resehandlingens nummer och giltighetstid samt

6. bevis om uppehållstillstånd.

Överföring av personuppgifter till tredjeland

10 § Personuppgifter som behandlas för ändamål som anges i 12 § 1 utlänningsdatalagen (0000:00) får föras över till tredjeland endast om uppgifterna inte direkt pekar ut den registrerade.

Avskiljande

11 § Migrationsverket får meddela föreskrifter om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Gallring

12 § Känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet ska genast gallras när behandlingen inte längre är nödvändig för något av de angivna ändamålen.

13 § Personuppgifter som Migrationsverket behandlar automatiserat därför att offentliga biträden, tolkar, översättare eller språkanalytiker kan vara olämpliga för framtida uppdrag ska gallras senast två år efter det att uppgifterna registrerades.

Säkerhetsåtgärder

14 § Migrationsverket får meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Denna förordning träder i kraft den 1 januari 2016, då förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska upphöra att gälla.

1.8. Förslag till förordning om ändring i folkbokföringsförordning (1991:749)

Härigenom föreskrivs att 5 a § folkbokföringsförordningen (1991:749) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 a §

Samordningsnummer får tilldelas en person om det inte råder osäkerhet om hans eller hennes identitet.

Även om det råder osäkerhet om en persons identitet, får samordningsnummer tilldelas för

1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2010:362) om polisens allmänna spaningsregister och polisdatalagen (2010:361),

2. annan behandling av uppgifter enligt polisdatalagen, eller i övrigt inom rättsväsendets informationssystem,

3. registrering i Migrations-

verkets verksamhetsregister enligt förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen när det

gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller

Samordningsnummer får tilldelas en person om det inte råder osäkerhet om hans eller hennes identitet.

Även om det råder osäkerhet om en persons identitet, får samordningsnummer tilldelas för

1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2010:362) om polisens allmänna spaningsregister och polisdatalagen (2010:361),

2. annan behandling av uppgifter enligt polisdatalagen, eller i övrigt inom rättsväsendets informationssystem,

3. Migrationsverkets behandling

av uppgifter med stöd av utlänningsdatalagen (0000:00)när det

gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller

4. registrering i beskattningsdatabasen.

4. registrering i beskattningsdatabasen.

Denna förordning träder i kraft den 1 januari 2016.

1.9. Förslag till förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

Härigenom föreskrivs i fråga om förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet

dels att det ska införas två nya paragrafer, 7 e § och 17 a §, av

följande lydelse,

dels att rubriken närmast före 17 a § ska lyda ”Direktåtkomst för

myndigheter”.

Nuvarande lydelse Föreslagen lydelse

7 e §

Migrationsverket har rätt att ta del av personuppgifter som avses i 2 kap. 3 § 1–5 och 11 lagen ( 2001:181 ) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, om uppgifterna behövs vid

1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,

2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .

17 a §

Migrationsverket får vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen ( 2001:181 ) om behandling av

uppgifter i Skatteverkets beskattningsverksamhet endast medges rätt att ta del av

1. uppgift om förvärvsinkomst, fastställd och preliminär,

2. uppgift om underlag som lämnats av arbetsgivare avseende person som erhållit förvärvsinkomst,

4. uppgift om skatter och avgifter som överlämnats till Kronofogdemyndigheten för indrivningsåtgärder,

5. beslutade arbetsgivaravgifter,

6. skatteform och

7. återkallelse av godkännande för F-skatt.

Skatteverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.

Direktåtkomst till uppgifterna får inte medges innan Skatteverket har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säkerhet.

Denna förordning träder i kraft den 1 januari 2016.

1.10. Förslag till förordning om ändring i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att det i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska införas två nya paragrafer, 8 a § och 10 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

8 a §

Migrationsverket har rätt att ta del av personuppgifter som avses i 2 kap. 5 § första stycket 3 lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, om uppgifterna behövs vid

1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,

2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .

10 a §

Migrationsverket får vid direktåtkomst enligt 2 kap. 27 a § lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet endast medges rätt att ta del av

1. uppgift om fysiska personers skulder i allmänna och enskilda mål och

2. uppgift om att konkursförfarande inletts.

Kronofogdemyndigheten får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.

Direktåtkomst till uppgifterna får inte medges innan Kronofogdemyndigheten har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säkerhet.

Denna förordning träder i kraft den 1 januari 2016.

1.11. Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Härigenom föreskrivs i fråga om förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

dels att 2 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 3 d § och 5 b §, av

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

Utöver de fall som anges i 114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt uppgifter om

1. kön,

2. civilstånd,

3. medborgarskap,

4. födelseort,

5. studiemedel och andra ekonomiska förhållanden,

6. värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter,

Utöver de fall som anges i 114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt uppgifter om

1. kön,

2. civilstånd,

3. medborgarskap,

4. födelseort,

5. studiemedel och andra ekonomiska förhållanden,

6. värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter,

7. arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8. preliminärskatt, inkomstbeskattning och fastighetstaxering,

9. hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10. uppgifter i och formerna för ansökningar eller anmälningar,

11. förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser,

13. åtgärdskoder enligt förordningen (2008:193) om statligt tandvårdsstöd,

15. patientavgifter och tandvårdsersättningar,

16. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

17. nedsatt arbetsförmåga, 18. förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19. förmåns- eller ersättningsrelaterad information i rehabiliteringsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner,

20. arten av, kostnaderna och tidpunkterna för föreslagna, planerade och vidtagna rehabilite-

7. arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8. preliminärskatt, inkomstbeskattning och fastighetstaxering,

9. hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10. uppgifter i och formerna för ansökningar eller anmälningar,

11. förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser,

13. åtgärdskoder enligt förordningen (2008:193) om statligt tandvårdsstöd,

15. patientavgifter och tandvårdsersättningar,

16. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

17. nedsatt arbetsförmåga, 18. förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19. förmåns- eller ersättningsrelaterad information i rehabiliteringsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner,

20. arten av, kostnaderna och tidpunkterna för föreslagna, planerade och vidtagna rehabilite-

ringsåtgärder,

21. leverantörer av produkter och tjänster inom rehabiliteringsområdet,

22. vårdgivare, 23. remisser, 24. läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning,

25. diagnoser, 26. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken,

27. bevakningsanledningar, 28. frågor om återbetalningsskyldighet har uppkommit,

29. anledningen till att ett ärende har avslutats,

30. avgöranden av domstol, Försäkringskassan eller Pensionsmyndigheten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgörandet har överklagats,

31. beslut i ärenden, 32. att den registrerade får aktivitetsstöd eller utvecklingsersättning enligt förordningen (1996:1100) om aktivitetsstöd,

33. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,

34. registrerade som får eller har fått vård eller försörjning helt

ringsåtgärder,

21. leverantörer av produkter och tjänster inom rehabiliteringsområdet,

22. vårdgivare, 23. remisser, 24. läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning,

25. diagnoser, 26. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken,

27. bevakningsanledningar, 28. frågor om återbetalningsskyldighet har uppkommit,

29. anledningen till att ett ärende har avslutats,

30. avgöranden av domstol, Försäkringskassan eller Pensionsmyndigheten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgörandet har överklagats,

31. beslut i ärenden, 32. att den registrerade får aktivitetsstöd eller utvecklingsersättning enligt förordningen (1996:1100) om aktivitetsstöd,

33. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,

34. registrerade som får eller har fått vård eller försörjning helt

eller delvis på det allmännas bekostnad,

35. den registrerade från utsöknings- och indrivningsdatabasen,

36. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

37. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,

38. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

39. vilken personkrets enligt 52 kap.1013 §§socialförsäkringsbalken som den registrerade hör till,

40. att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

41. den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,

42. den registrerade i verk-

samhetsregister som förs av Migrationsverket enligt förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, och

43. att den registrerade eller dennes make eller sambo får

eller delvis på det allmännas bekostnad,

35. den registrerade från utsöknings- och indrivningsdatabasen,

36. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

37. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,

38. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

39. vilken personkrets enligt 52 kap.1013 §§socialförsäkringsbalken som den registrerade hör till,

40. att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

41. den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,

42. den registrerade i ärenden

hos Migrationsverket som behandlas med stöd av utlänningsdatalagen (0000:00)och

43. att den registrerade eller dennes make eller sambo får

vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag.

vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag.

3 d §

Migrationsverket får vid direktåtkomst till socialförsäkringsdatabasen enligt 114 kap. 23 a § socialförsäkringsbalken (2010:110) endast medges rätt att ta del av

1. uppgift om inlämnad ansökan om föräldraledighet till Försäkringskassan och utbetald föräldrapenning från Försäkringskassan,

2. uppgift om omfattning av sjukfrånvaro och av Försäkringskassan utbetald sjukpenning och

3. uppgift om beviljade assistanstimmar.

Försäkringskassan får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.

Direktåtkomst till uppgifterna får inte medges innan Försäkringskassan har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säkerhet.

5 b §

Migrationsverket har rätt att ta del av personuppgifter till sådana uppgifter i socialförsäkringsdatabasen som avses i 2 § 16, om uppgifterna behövs vid

1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,

2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller

3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .

Denna förordning träder i kraft den 1 januari 2016.

1.12. Förslag till förordning om ändring i förordningen (2009:284) om identitetskort för folkbokförda i Sverige

Härigenom föreskrivs att 3 a § och 16 a § i förordningen (2009:284) om identitetskort för folkbokförda i Sverige ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 a §

Om sökanden har uppehållstillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet när det gäller sådana uppgifter som avses i 6 b §

andra stycket förordningen ( 2001:720 ) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.

Om sökanden har uppehållstillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet när det gäller sådana uppgifter som avses i 9 §

utlänningsdataförordningen (0000:00) .

Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.

16 a §

Migrationsverket ska på begäran av Skatteverket lämna de uppgifter som anges i 6 b § för-

ordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och som

Migrationsverket ska på begäran av Skatteverket lämna de uppgifter som anges i 9 § utlän-

ningsdataförordningen (0000:00)

och som behövs för handläggning av ansökan om identitetskort.

behövs för handläggning av ansökan om identitetskort.

Tillgången till uppgifter som avses i första stycket ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Denna förordning träder i kraft den 1 januari 2016.

2. Utredningens uppdrag och arbete

2.1. Uppdraget

Utredningens huvudsakliga uppdrag har varit att utarbeta ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att anpassa författningsregleringen på området till nationella bestämmelser och internationella åtaganden. I uppdraget har också ingått att analysera förutsättningarna för att ge Migrationsverket en möjlighet att registrera vissa uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker, att analysera behovet av och förutsättningarna för ett effektivare informationsutbyte mellan Migrationsverket och vissa andra myndigheter, att analysera skadeståndsskyldighet efter kontroll vid Schengenviseringar samt att vid behov utforma nödvändiga författningsregleringar, se närmare utredningens direktiv bilaga 1.

Härutöver har utredningen fått i uppdrag av Justitiedepartementet att inom ramen för utredningen behandla frågan om Migrationsverkets rätt att i vissa fall jämföra fotografier (se Migrationsverkets framställan till Justitiedepartementet inkommen den 9 juni 2014, dnr 1.1.2-2014-23927) och Migrationsverkets rätt att ta del av fingeravtryck från polisens fingeravtrycksregister (se dåvarande Rikspolisstyrelsen framställan till Justitiedepartementet daterad den 3 oktober 2014, dnr A377.954/2014).

2.2. Utredningens arbete

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden. Utredningen har sammanträtt med de förordnade experterna vid sammanlagt sex tillfällen, varav ett i form av ett tvådagars internatsammanträde. Arbetet har även i övrigt bedrivits i nära samråd med experterna.

Den särskilda utredaren och utredningens sekreterare har besökt Migrationsverkets huvudkontor i Norrköping. Syftet med besöket var framför allt att få information om den behandling av personuppgifter som för närvarande pågår eller planeras i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Härutöver har utredningens sekreterare besökt Polismyndigheten (gränspolisenheten) i Malmö.

Vid utförandet av uppdraget har utredningen löpande haft samråd med Migrationsverket, Polismyndigheten och Datainspektionen. Utredningen har även haft samråd med Säkerhetspolisen, Försäkringskassan, Pensionsmyndigheten, Skatteverket, Kronofogdemyndigheten och Informationshanteringsutredningen (Ju 2011:11) i vissa frågeställningar.

2.3. Betänkandets disposition

Betänkandet består i huvudsak av två delar, en del som behandlar frågan om en ny utlänningsdatalag (kapitel 3−7) och en del som tar upp särskilda frågeställningar (kap. 8−11).

I kapitel 3 redogör utredningen för gällande rätt och internationella överenskommelser. I kapitel 4 och 5 redovisas verksamhet enligt utlännings- och medborgarskapslagstiftningen och behandling av personuppgifter inom verksamhetsområdet. I kapitel 6 presenterar utredningen allmänna utgångspunkter vid utformandet av en utlänningsdatalag och i kapitel 7 redovisar utredningen sina närmare överväganden om hur en ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen bör utformas.

I kapitel 8 behandlas frågan om registrering av kvalitetsomdöme av vissa aktörer som har uppdrag i asylprocessen. I kapitel 9 analyserar och lämnar utredningen förslag till ett effektivare informations-

utbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd. I kapitel 10 föreslår utredningen regler som gör det möjligt för Migrationsverket att ta del av uppgifter från Polismyndighetens fingeravtrycksregister. I kapitel 11 behandlar och föreslår utredningen regler om skadestånd efter kontroller av Schengenviseringar.

De avslutande kapitlen, kapitel 12 och 13, innehåller en konsekvensutredning och en författningskommentar.

EN NY UTLÄNNINGSDATALAG

3. Gällande rätt och internationella överenskommelser

3.1. Inledning

För att myndigheter ska kunna fullgöra sina uppgifter på ett effektivt sätt är det viktigt att de kan utnyttja modern informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Samtidigt medför möjligheten att samla en stor mängd information om enskilda att uppgifter kan sökas och sammanställas på ett enklare sätt. Därmed kan också risken för intrång i enskildas personliga integritet öka.

Vikten av ett effektivt myndighetsarbete måste således vägas mot en ökad risk för integritetsintrång. Både i internationella sammanhang och i nationell lagstiftning har det antagits regler för behandling av personuppgifter, som syftar till att balansera intressena och skydda den personliga integriteten vid sådan behandling.

Följande avsnitt innehåller en beskrivning av gällande rätt och internationella åtaganden på dataskyddsområdet samt en redogörelse för nuvarande reglering av personuppgiftsbehandlingen i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

3.2. Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten.

Enligt målsättningsstadgandet i 1 kap. 2 § första stycket RF ska den offentliga makten utövas med respekt bland annat för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. Bestämmelsen anger några av de viktigaste målen för samhällets verk-

samhet, men har inte någon bindande verkan för det allmänna. Den kan därför inte ligga till grund för några individuella rättigheter (se prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173).

I 2 kap. 4 och 5 §§ RF finns bestämmelser om förbud mot allvarliga fysiska integritetsintrång (bland annat dödsstraff och kroppsstraff) och enligt 2 kap. 6 § RF är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. För andra än svenska medborgare här i riket får särskilda begränsningar göras genom lag (se 2 kap. 25 § första stycket 3 RF).

Grundlagsändringen innebär att regler om behandling av information om enskildas personliga förhållanden som sker från det allmännas sida utan den enskildes samtycke och som innebär ett betydande intrång i den personliga integriteten i vissa fall måste anges i lag.

Bestämmelsen och motiven till denna behandlas vidare i avsnitt 6.2.

3.3. Internationella konventioner m.m.

3.3.1. FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och medborgerliga rättigheter men även sociala, ekonomiska och kulturella rättigheter. Den allmänna förklaringen är inte bindande för medlemsstaterna, men ses numera som ett uttryck för sedvanerättsliga regler.

Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.

Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om medborgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen.

I artikel 17 i konventionen upprepas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kontroller införts, bland annat rapporteringsskyldighet för medlemsstaterna. Kommittén för mänskliga rättigheter (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter (Guidelines concerning computerized personal data files).

Riktlinjerna anger tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta är för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.

3.3.2. Europakonventionen

De rättigheter som anges i FN:s allmänna förklaring om de mänskliga rättigheterna har utvecklats vidare i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Konventionen inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.

Av 2 kap. 19 § RF framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förbyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.). Bestämmelsen medför en skyldighet för medlemsstaterna att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyldighet för myndigheter att agera i enskilda fall.

En inskränkning i en konventionsskyddad rättighet ska ha stöd i inhemsk lag. Med det följer också krav på att lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Intrånget ska vidare vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.

3.3.3. Europarådets dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i Europeiska unionen (EU) har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden. Rekommendationerna är inte bindande.

Dataskyddskonventionen innehåller principer för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning.

Konventionen har enligt artikel 1 till syfte att säkerställa respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionens tillämpningsområde är enligt artikel 2 automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet.

Den centrala delen av konventionen är kapitel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter som undergår automatisk databehandling ska hämtas in och behandlas på ett korrekt och lagligt sätt för särskilt angivna ändamål. Uppgifterna ska vara relevanta för dessa ändamål och får inte senare användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna får inte bevaras längre tid än vad som är nödvändigt med avseende på ändamålet. Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd. Konventionen innehåller också bestämmelser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel vid brott mot en konventionsskyddad rättighet. Konventionens bestämmelser kan ses som en precisering av skyddet för enskilda vid användning av automatisk databehandling enligt artikel 8 i Europakonventionen.

Det grundläggande skyddet vid automatiserad behandling av personuppgifter inom EU regleras i dag främst genom dataskyddsdirektivet (se avsnitt 3.4). Direktivet gäller dock inte vid behandling

av personuppgifter på områden som faller utanför EU:s kompetensområde, till exempel allmän säkerhet, försvar och statens säkerhet. På sådana områden är dataskyddskonventionen således fortfarande relevant.

3.3.4. OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integritetsskyddet och flödet av personuppgifter över gränserna (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data).

Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs en rekommendation till medlemsländernas regeringar att beakta riktlinjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna.

Riktlinjerna, som är att uppfatta som minimiregler, motsvarar i princip de bestämmelser som finns i dataskyddskonventionen. De är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras automatiskt och uppgifter som förs manuellt. Riktlinjerna innehåller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

3.3.5. Europeiska unionens stadga om de grundläggande rättigheterna

Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlemsstater Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Lissabonfördraget, som trädde i kraft 2009, innebär att EU-stadgan numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler. Genom stadgan

kodifierades de grundläggande fri- och rättigheterna som EU redan hade erkänt.

I stadgan anges de grundläggande rättigheterna under sex huvudrubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och den ger ett skydd för människans rätt till frihet och säkerhet och rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, till exempel personuppgiftsskydd.

När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (artikel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för personuppgifter som rör honom eller henne (artikel 8).

I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. I artikeln stadgas också att en oberoende myndighet ska kontrollera att reglerna efterlevs.

Stadgan är enligt artikel 51 tillämplig i verksamhet som utförs av unionens institutioner, organ och byråer samt av medlemsstaterna när dessa tillämpar unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

Av artikel 52 följer att varje begränsning av stadgans fri- och rättigheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och begränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. I de fall stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd.

3.4. Dataskyddsdirektivet

Inom EU regleras behandling av personuppgifter i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Syftet med direktivet är enligt artikel 1.1 att skydda fysiska personers grundläggande fri- och rättigheter (särskilt rätten till privatliv) i samband med behandling av personuppgifter. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma, men de inhemska reglerna får inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automatisk behandling av personuppgifter om de ingår eller är avsedda att ingå i ett register. Med register avses i sammanhanget varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område eller register för privat bruk. Även behandling av personuppgifter för uteslutande journalistiska, konstnärliga och litterära ändamål undantas.

Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Personuppgifter får behandlas när den enskilde lämnat sitt samtycke. Därutöver får personuppgifter behandlas endast 1) när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, 2) när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, 3) när det är nödvändigt för att skydda den enskildes grundläggande intressen, 4) när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller 5) om det i övrigt

skett en intresseavvägning som resulterat i att behandling av personuppgifter ska få ske.

Medlemsstaterna ska förbjuda behandling av känsliga personuppgifter, dvs. uppgifter som avslöjar ras, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration.

Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.

När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon information i de fall den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den registrerade har också rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller vidare regler om säkerhet vid behandlingen.

All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten.

Den registrerade ska ha rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och av domstol. Tillsynsmyndigheten ska vara ett oberoende organ. Den ska ha befogenhet att undersöka och ingripa effektivt mot otillåten behandling av personuppgifter.

Överföring av personuppgifter till ett tredjeland, dvs. ett land utanför EU, får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.

Reformarbete

Europeiska kommissionen presenterade i november 2010 meddelandet Ett samlat grepp på skyddet av personuppgifter i Europeiska

unionen (KOM/2010/0609) som innehöll en strategi för att stärka

EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I början av år 2012 lade kommissionen fram ett förslag till reform av EU:s regler om skydd för personuppgifter. Syftet var att modernisera reglerna i dataskyddsdirektivet och få till stånd en mer enhetlig tillämpning inom EU. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en uppgiftsskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även nationell lagstiftning. För Sveriges del berörs bland annat personuppgiftslagen (1998:204).

I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Ett förslag till betänkande lades fram i december 2012 och i oktober 2013 röstade LIBE-utskottet fram ett förslag.

Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för förslaget till uppgiftsskyddsförordning. I resolutionen beträffande uppgiftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg.

Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande (juni 2015). Hittills har emellertid tre delöverenskommelser uppnåtts och det synes föreligga en relativt stor enighet inom rådet om bland annat att det finns behov av att skapa ytterligare flexibilitet för den offentliga sektorn.

Den fortsatta processen med uppgiftsskyddsförordningen är beroende av att förhandlingarna inom rådet kan slutföras. Ambitionen synes vara att RIF-rådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Europeiska rådet

(stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under år 2015.

Ett införande av förordningen har bedömts viktigt för att förverkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för år 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om införande av förordningen inom en inte alltför avlägsen tid. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.

3.5. Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204, PUL) och personuppgiftsförordningen (1998:1191, PUF). Personuppgiftslagen följer i princip dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, skadestånd och straff. Syftet med lagen är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som avviker från personuppgiftslagen, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i särskilda registerförfattningar som reglerar behandling av personuppgifter hos vissa myndigheter eller inom viss verksamhet på det offentliga området.

3.5.1. Några viktiga begrepp

I 3 § PUL finns definitioner av vissa grundläggande begrepp. Be-

handling (av personuppgifter) avser varje åtgärd eller serie av åtgär-

der som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i bestämmelsen insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter,

sammanställning eller samkörning, blockering, utplåning eller förstöring.

Så snart personuppgifter på något sätt hanteras är det enligt förarbetena fråga om en behandling som faller inom personuppgiftslagens tillämpningsområde, oavsett om behandlingen är automatisk eller avser ett manuellt personregister (se SOU 1997:39 s. 332). Avsikten är att alla former av hantering ska omfattas.

Mottagare definieras som den till vilken personuppgifter lämnas

ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Som exempel på personuppgifter kan nämnas personnummer, registreringsnummer för fordon och kundnummer. Definitionen av personuppgifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena till personuppgiftslagen anförs att en uppgift om en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer, eftersom denna uppgift i kombination med andra uppgifter kan ge upplysning om den personens föräldrar och avkomma (se SOU 1997:39 s. 338). Enligt förarbetena omfattas även krypterade personuppgifter av lagen om uppgifterna kan göras läsbara och därmed identifiera individer. Även sådana uppgifter som i sig är anonyma, men som möjliggör identifikation genom s.k. bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifieringen möjlig.

Personuppgiftsansvarig är den som ensam eller tillsammans med

andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av personuppgifter i lagens mening finns det en eller flera personuppgiftsansvariga för den behandlingen. Den personuppgiftsansvarige har ansvar för att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Om behandling sker i strid med lagen kan den personuppgiftsansvarige bli skadeståndsskyldig. Som huvudregel kan

därför bara fysiska och juridiska personer, utländska filialer och myndigheter betraktas som personuppgiftsansvariga.

Personuppgiftsbiträde är den som behandlar personuppgifter för

den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträden. Den personuppgiftsansvarige har skadeståndsansvar gentemot de registrerade för personuppgiftsbiträdets behandling av personuppgifter. Personuppgiftsbiträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.

Ett personuppgiftsombud är en fysisk person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Den registrerade är den som en personuppgift avser. Av defini-

tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.

Med samtycke avses enligt definitionen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I personuppgiftslagen finns inte några särskilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade (se SOU 1997:39 s. 342) Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen, kan lämna ett rättsligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv. Frågan om när någon har sådan mognad att han eller hon förstår vad samtycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.

Tillsynsmyndigheten är den myndighet som regeringen utser för

att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyndighet.

Tredjeland är en stat som inte ingår i EU eller är ansluten till

Europeiska ekonomiska samarbetsområdet (EES).

3.5.2. Det territoriella tillämpningsområdet

Det följer av 4 § PUL att bestämmelserna gäller för sådana personuppgiftsansvariga som är etablerade i Sverige. Lagen ska som huvudregel också tillämpas när den personuppgiftsansvarige är etablerad i en stat som inte ingår i EU eller är ansluten till EES, men som för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.

3.5.3. Behandling av uppgifter som omfattas av lagen

I 5 § PUL slås det fast att lagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binärform), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som automatiserad behandling (se SOU 1997:39 s. 344). Så snart en personuppgift har kommit in i en dator eller motsvarande maskin är det att betrakta som sådan automatiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bilduppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller avses att ingå i ett register.

Även delvis automatiserad behandling av personuppgifter omfattas av lagen. Exempel på sådan användning är att personuppgifter samlas in manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat.

Av andra stycket 5 § PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automatiserad. Den behandling som avses är manuellt behandlade personuppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett register, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Ett register är enligt förarbetena en samling av personuppgifter som innehåller uppgifter om fler än en person (se SOU 1997:39 s. 339). För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. De kan till exempel inte röra sig om en hög med lösa papper på ett skrivbord, även om pappren för tillfället är sorterade i bokstavsordning efter efternamn. Uppgiftssamlingen måste också vara strukturerad. Det innebär att uppgifterna ska vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkterna 15 och 27 i ingressen till dataskyddsdirektivet framgår att kriterierna ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter, men som inte är sökbart med hjälp av någon personuppgift (till exempel namn eller personnummer) omfattas således inte.

3.5.4. Undantag från personuppgiftslagen

Undantag för behandling av personuppgifter i ostrukturerat material

Enligt 5 a § PUL behöver vissa i bestämmelsen angivna regler i lagen inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, s.k. ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behandling emellertid inte får utföras om den innebär en kränkning av den registrerades personliga integritet.

Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. I det undantagna området ingår till exempel löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem (se SOU 2004:6 s. 12

och prop. 2005/06:173 s. 21). Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.

Undantag för privat behandling av personuppgifter

Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

Förhållandet till tryck- och yttrandefriheten

Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).

Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av personuppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel i en tryckt skrift eller ett radioprogram.

Bestämmelsen innebär vidare undantag för den grundlagsskyddade rätten att sprida yttranden, meddelarfriheten och anskaffarfriheten.

Enligt bestämmelsens andra stycke ska vissa bestämmelser i personuppgiftslagen inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behandling.

Förhållandet till offentlighetsprincipen

Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelserna om offentlighetsprincipen i 2 kap. TF att lämna ut personuppgifter.

Offentlighetsprincipen innebär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar i den utsträckning handlingarna inte innehåller uppgifter som är sekretessbelagda. Av betydelse för principen är också myndigheternas skyldighet enligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym.

Offentlighetsprincipen innebär således en skyldighet för myndigheter att bevara ett stort antal uppgifter under en icke förutbestämd tid samt att som huvudregel lämna ut sådana uppgifter utan att veta för vilket ändamål de ska behandlas. Det är tydligt att förhållandet mellan dataskyddsdirektivet och offentlighetsprincipen inte är helt klart och frågan behandlades bland annat under lagstiftningsarbetet inför införandet av personuppgiftslagen (se prop. 1997/98:44 s. 43 f.). Bland annat invände Lagrådet mot tolkningen att direktivet gick att förena med offentlighetsprincipen.

Förhållandet till arkivlagstiftningen

Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Utgångspunkten i arkivlagstiftningen är att myndigheter ska bevara uppgifter och inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Även i detta sammanhang har fråga uppkommit om hur de olika regelverken förhåller sig till varandra. Hur arkivlagstiftningens krav på bevarande ska tillämpas i förhållande till personuppgiftslagens krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras diskuteras bland annat i förarbetena till personuppgiftslagen (se prop. 1997/98:44 s. 47 f.).

Regeringens möjlighet att meddela föreskrifter om undantag

Av 8 a § PUL följer att regeringen får meddela föreskrifter om undantag från flera bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.

3.5.5. Krav på behandlingen av personuppgifter

9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt och att de alltid behandlas på ett korrekt sätt och i enlighet med god sed (punkten a och b). Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). Bestämmelsen innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen, men det finns inte något krav på att ändamålsangivelsen ska nedtecknas.

Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkten d). Denna s.k. finalitetsprincipen är av central betydelse vid behandling av personuppgifter. Den innebär att det, när behandling för nya ändamål ska ske, måste göras en prövning av om dessa ändamål är oförenliga med de ursprungligen angivna ändamålen. Den som utlämnar personuppgifterna måste beakta vad mottagaren ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen.

Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen (punkten e). Den personuppgiftsansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (punkterna f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (punkten h). Slutligen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (punkten i). Bestämmelsen innebär att uppgifterna därefter måste avidentifieras eller förstöras. Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras.

För personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler. Behandling av sådana uppgifter ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter

kan användas för till exempel vetenskaplig forskning oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Vidare får sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Det är som anges ovan den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen.

3.5.6. Tillåten behandling av personuppgifter

I 9 § PUL anges de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av personuppgifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL föreligga. Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Vid behandling av känsliga personuppgifter, uppgifter om lagöverträdelser m.m. samt personnummer eller samordningsnummer krävs det dessutom att behandlingen är tillåten enligt de bestämmelser som gäller för behandling av sådana uppgifter (13–22 §§ PUL).

Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som avses med samtycke framgår av definitionen i 3 § PUL. Om den registrerade återkallar sitt samtycke får ytterligare personuppgifter om den registrerade inte behandlas därefter (12 § första stycket PUL).

Personuppgifter får under vissa förutsättningar behandlas även om den enskilde inte lämnat sitt samtycke. I sådana fall krävs det att behandlingen är nödvändig för ett i lagen angivet syfte. Vad som avses med att behandlingen är nödvändig är inte helt klart. Som anförs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mer och tar betydligt längre tid än att behandla personuppgifterna automatiserat (se SOU 1997:39 s. 359). I senare förarbeten

har det konstaterats att nödvändighetskravet inte rimligen kan innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg.

Om nödvändighetskravet är uppfyllt får personuppgifter behandlas utan den enskildes samtycke i följande fall.

a) Ett avtal med den registrerade ska kunna fullgöras eller åtgärder

som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b) den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl-

dighet,

c) vitala intressen för den registrerade ska kunna skyddas,

d) en arbetsuppgift av allmänt intresse ska kunna utföras,

e) om det är nödvändigt för att den personuppgiftsansvarige eller

en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning och

f) ett ändamål som rör ett berättigat intresse hos den personupp-

giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

3.5.7. Förbud mot behandling av känsliga personuppgifter

Enligt 13 § PUL är det förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga personuppgifter.

3.5.8. Undantag från förbudet mot behandling av känsliga personuppgifter

Det följer av 14 § PUL att det trots förbudet i 13 § är tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§. Så kan till exempel ske om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna, se 15 § PUL.

Om den enskilde inte lämnat sitt samtycke får känsliga personuppgifter behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, se 16 § PUL. Personuppgifter får dock i sådana fall lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet. Förbudet mot behandling av känsliga personuppgifter gäller vidare inte om den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, se 16 § PUL.

Enligt 17 § PUL får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Det följer av 18 § PUL att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Slutligen gäller att känsliga personuppgifter under vissa förhållanden får behandlas för forsknings- och statistikändamål, se 19 § PUL.

Regeringen eller den myndighet som regeringen bestämmer, i det här fallet Datainspektionen, får meddela föreskrifter om ytterligare undantag från förbudet i 13 § PUL, om det behövs med hänsyn till ett viktigt allmänt intresse, se 20 § PUL.

3.5.9. Särskilt om begreppet ras

Användningen av begreppet ras har diskuterats i olika sammahang under senare år. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och från biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor (se bet. 1997/98:KU 29 s. 7). Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det i princip uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EU-direktiv. I propositionen En reformerad grundlag föreslog regeringen att begreppet ras skulle utmönstras ur regeringsformen (se prop. 2009/10:80 s. 152). Riksdagen antog förslaget och i regeringsformen används i dag i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (se 2 kap. 12 och 24 §§ RF). I förarbetena till kustbevakningsdatalagen konstateras att unionsrätten inte kräver att ett direktiv införlivas ordagrant i nationell rätt utan snarare att ändamålet med regleringen uppfylls. Det torde därmed i och för sig inte finnas något omedelbart hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med ett annat begrepp som har samma ändamål (se prop. 2011/12:45 s. 94). Det anses, enligt propositionen, emellertid inte lämpligt att endast i ett specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter. Det anförs att det dock är regeringens avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning.

Mot denna bakgrund använder utredningen begreppet ras i detta betänkande.

3.5.10. Behandling av personuppgifter om lagöverträdelser m.m.

I 21 § PUL regleras behandling av personuppgifter som rör lagöverträdelser m.m. Enligt bestämmelsen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling. Sådana uppgifter får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får enligt i 21 § tredje och fjärde stycket PUL meddela föreskrifter om undantag från förbudet och de får även besluta om undantag i enskilda fall.

3.5.11. Behandling av uppgifter om personnummer

Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får däremot fritt besluta hur de materiella reglerna ska utformas.

Behandling av personnummer och samordningsnummer utan den enskildes samtycke regleras i 22 § PUL. Enligt bestämmelsen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

3.5.12. Rätt till information

Personuppgiftslagen medför vissa skyldigheter för den personuppgiftsansvarige. Den personuppgiftsansvarige ska, om personuppgiften samlas in från personen själv, självmant lämna den registrerade information om behandlingen av uppgifterna, se 23 § PUL. Om uppgifterna har samlats in från någon annan källa ska sådan information lämnas till den registrerade när uppgifterna registreras, se 24 § PUL. Är uppgifterna avsedda att lämnas ut till tredje man behöver informationen dock inte ges förrän uppgifterna lämnas ut första gången.

Informationskravet gäller inte om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade ska dock information lämnas senast i samband med att åtgärden vidtas.

Den information som lämnas till den registrerade ska innehålla all information som kan behövas för att den registrerade ska kunna ta tillvara sina rättigheter under behandlingen, till exempel uppgift om den personuppgiftsansvariges identitet och ändamålet med behandlingen, se 25 § PUL. Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per år gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte, se 26 § PUL. Behandlas sådana uppgifter ska information lämnas om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vem de lämnas ut. Sådan information behöver dock inte lämnas avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör en minnesanteckning eller liknande i vissa fall. Åsyftade situationer är om inte uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller om uppgifterna har behandlats under längre tid än ett år.

Av 27 § PUL följer att bestämmelserna om informationsplikt inte gäller om uppgifterna om sekretess eller tystnadsplikt är föreskriven för uppgifterna.

3.5.13. Rättelse

Den personuppgiftsansvarige är på begäran av den registrerade skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som meddelats med stöd av lagen, se 28 § PUL. Med

blockering avses enligt definitionen i 3 § PUL en åtgärd som vidtas

för att personuppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och för att

personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF.

Om felaktiga uppgifter har lämnats ut till tredje man är den personuppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

3.5.14. Säkerhet vid behandling

För att säkerställa en hög säkerhetsnivå vid behandling av personuppgifter finns särskilda bestämmelser om detta i 30−32 §§ PUL. Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Behandlingen ska framgå av ett skriftligt avtal. Den personuppgiftsansvarige är vidare skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska garantera en säkerhetsnivå som är lämplig med hänsyn till de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Ett sådant beslut får förenas med vite.

3.5.15. Överföring av uppgifter till tredjeland

Det är enligt 33 § PUL förbjudet att föra över personuppgifter till tredjeland, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyddet av personuppgifterna.

Vid bedömningen om ett land har adekvat skyddsnivå ska hänsyn tas till samtliga omständigheter som har samband med överföringen. Av särskild betydelse är uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga

bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.

I 34 och 35 §§ PUL finns undantag från förbudet mot överföring till tredjeland, bland annat vid den enskildes samtycke. Överföring till tredjeland får också ske om överföringen bedöms nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas eller ett avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras. Undantag gäller vidare om överföring krävs för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen.

Regeringen får meddela föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen och, i de fall regeringen förordnat om det, Datainspektionen, får vidare meddela föreskrifter om undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller Datainspektionen får också under vissa förutsättningar i enskilda fall besluta om undantag från förbudet.

3.5.16. Anmälan till datainspektionen

Den personuppgiftsansvarige ska göra en skriftlig anmälan till Datainspektionen innan en behandling av personuppgifter som är helt eller delvis automatiserad påbörjas, se 36 § PUL. Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till inspektionen behöver sådan anmälan emellertid inte göras, se 37 §. Personuppgiftsombudet ska dock föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.

Vidare får regeringen eller, om regeringen bestämmer det, Datainspektionen, meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte

kommer att leda till otillbörligt intrång i den personliga integriteten. Regeringen får också meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhandskontroll till Datainspektionen. I sådana fall måste anmälan göras även om det finns ett personuppgiftsombud.

Den personuppgiftsansvarige är skyldig att till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om behandling av personuppgifter som inte har anmälts till Datainspektionen, se 42 § PUL. Skyldighet föreligger dock inte om uppgifterna är belagda med sekretess eller tystnadsplikt.

3.5.17. Personuppgiftsombud

Som framgår ovan har en personuppgiftsansvarig möjlighet att utse ett personuppgiftsombud och anmäla det till Datainspektionen.

Personuppgiftsombudets uppgift är att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att påpeka eventuella brister för honom eller henne, se 38 §.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse efter påpekande, ska personuppgiftsombudet anmäla förhållandet till Datainspektionen. Personuppgiftsombudet ska vidare samråda med Datainspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas. I personuppgiftsombudets uppgifter ingår också att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

3.5.18. Datainspektionens befogenheter

Tillsynsmyndigheten har för det första rätt att utöva tillsyn. Myndigheten har således rätt att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av

personuppgifter, se 43 § PUL. Om dessa åtgärder inte är tillräckliga får Datainspektionen vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, se 44 § PUL.

I de fall Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt ska myndigheten i första hand genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Sker inte rättelse eller är saken brådskande får Datainspektionen under vissa omständigheter vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem, se 46 § PUL. Inspektionen får också ansöka hos förvaltningsrätten om att personuppgifter som behandlats på ett olagligt sätt ska utplånas, se 47 §.

3.5.19. Skadestånd och straff

Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock jämkas, om det är skäligt och om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

I 49 § PUL finns bestämmelser om straff vid överträdelse av vissa bestämmelser i lagen. Straffskalan är böter eller fängelse i högst sex månader eller, vid grovt brott, högst två år. I ringa fall ska dock inte dömas till ansvar.

3.6. Särskilda registerförfattningar

Personuppgiftslagen är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde, se 2 § PUL. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetas en stor mängd specialförfattningar med bestämmelser som rör behandling av personuppgifter, s.k. särskilda registerförfattningar. Exempel på sådana är förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, patientdatalagen

(2008:355), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145). Syftet med de särskilda registerförfattningarna är att anpassa lagstiftningen efter de särskilda behov som finns inom olika verksamhetsområden i den offentliga sektorn. Ibland kan det finnas behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger. Det kan till exempel röra sig om en typ av behandling som inte är tillåten enligt personuppgiftslagen eller att det finns ett behov av att precisera den reglering som finns i personuppgiftslagen. I sådana fall kan en registerförfattning ge ett anpassat integritetsskydd vid en myndighets hantering av personuppgifter. Det bör i sammanhanget noteras att det länge har varit ett uttalat mål från riksdagen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41).

Här ska dock nämnas att det i olika sammanhang har framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och fragmenterat rättsområde. Det är mot den bakgrunden som man ska se Informationshanteringsutredningens betänkande Myndig-

hetsdatalag, SOU 2015:39.

3.7. Utlänningsdataförordningen

3.7.1. Tillämpningsområde

Personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapsområdet regleras i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen).

Enligt 1 § utlänningsdataförordningen gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. Med sådan verksamhet avses i förordningen följande.

1. Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,

2. verksamhet som gäller utlänningars rätt att arbeta i landet,

3. mottagande av asylsökande och vissa andra utlänningar,

4. verksamhet som rör bistånd och stöd till utlänningar som enligt

lag eller annan författning handläggs av Migrationsverket,

5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt

medborgarskap och

6. verksamhet som gäller ersättning för och bosättning av utlänningar

som enligt lag eller annan författning handläggs av Migrationsverket.

En registrerad har inte rätt att motsätta sig behandling av personuppgifter som sker i enlighet med förordningen.

I bestämmelsen finns också en erinran om att det i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) finns bestämmelser om behandling av personuppgifter i VIS för viseringsmyndigheter, myndigheter som ansvarar för kontroll av personers gränspassage, myndigheter som ansvarar för kontroll av utlänningars rätt att uppehålla sig i medlemsstaten samt för den centrala utlänningsmyndigheten, dvs. Migrationsverket (se vidare om VIS-förordningen i avsnitten 4.3.3 och 7.4.1).

3.7.2. Personuppgiftsansvar

Migrationsverket, Polismyndigheten och Säkerhetspolisen är personuppgiftsansvariga för den personuppgiftsbehandling som respektive myndighet utför, se 2 § utlänningsdataförordningen. Migrationsverket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför.

3.7.3. Verksamhetsregister

Enligt 3 § utlänningsdataförordningen får automatiserade register föras i ärenden som handläggs av respektive myndighet (s.k. verksamhetsregister). I ett verksamhetsregister får personuppgifter behandlas för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning eller fullgörande av

underrättelseskyldighet som följer av lag eller annan författning. Personuppgifter får också behandlas för tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik.

Personuppgifter får endast behandlas om det är nödvändigt för det ändamål för vilket behandlingen utförs, se 4 § utlänningsdataförordningen.

De uppgifter som får behandlas i ett verksamhetsregister delas in i sex kategorier. Till identitetsuppgifter hör bland annat namn, person- eller samordningsnummer, födelsetid, kön, vårdnadshavare och civilstånd. Med uppgifter som behövs för handläggningen av ären-

den avses till exempel uppgifter som rör utlänningens resa och an-

komst till Sverige och uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet och hälsotillstånd om uppgifterna är oundgängligen nödvändiga för de ändamål som anges i 3 § utlänningsdataförordningen. Till kategorin uppgifter som behövs för mottagandet av

asylsökande m.fl. hör uppgifter om inskrivning vid boendeenhet och

om utbildning, yrke och anställning. Under uppgifter som behövs för

förvar och andra tvångsåtgärder enligt utlänningslagen (2005:716)

anges uppgifter om inskrivning vid förvarsenhet och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för förvarstagandet. Även uppgifter som

behövs för verkställighet enligt 12 kap. utlänningslagenfår behandlas.

Dit hör uppgifter om utresan och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för verkställigheten. Slutligen får också uppgifter om beslut registreras, exempelvis beslut i frågor om uppehålls- och arbetstillstånd, återreseförbud eller visering.

Känsliga personuppgifter får enligt 5 § utlänningsdataförordningen behandlas endast om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning och fullgörande av underrättelseskyldighet som följer av lag eller annan författning.

3.7.4. Direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst (när det gäller begreppet, se SOU 2012:90 s. 198, SOU 2015:39 s. 136 f. och s. 389 f. och nedan nämnda förarbeten). Med direktåtkomst avses

vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bland annat prop. 2009/10:85 s.168). I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se bland annat prop. 2004/05:164 s. 83 och prop. 2022/12:45 s. 133).

Enligt 6 § utlänningsdataförordningen får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåtkomst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Även Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § utlänningsdataförordningen. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda. I bestämmelsen anges också vilka kategorier av uppgifter Försäkringskassan och Pensionsmyndigheten får ges tillgång till.

Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, 6 b § utlänningsdataförordningen. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige. Direktåtkomsten får endast avse uppgift om namn och personnummer, längd, fotografi, underskrift, typ av resehandling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd.

3.7.5. Sökbegrepp

Vid sökning i myndigheternas datasamlingar får känsliga personuppgifter inte användas som sökbegrepp.

3.7.6. Rättsfallsregister

Migrationsverket får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information, s.k. rättsfallsregister, se 8 § utlänningsdataförordningen. Ett rättsfallsregister får inte innehålla personuppgifter som direkt pekar ut den registrerade.

De personuppgifter som finns i ett rättsfallsregister får föras över till en stat som inte ingår i EU och heller inte är ansluten till EES.

3.7.7. Fingeravtrycksregister

I 9 § utlänningsdataförordningen anges att Migrationsverket får föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Enligt bestämmelsen får Migrationsverket eller polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.

Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats samt i ärenden om avvisning och utvisning. Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.

En uppgift i registret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.

3.7.8. Landinformationsregister

Migrationsverket får föra ett s.k. landinformationsregister för återsökning av information som lämnats rörande förhållanden i andra länder, se 12 § utlänningsdataförordningen och Lifos informationssystem i avsnitt 5.2.10. Känsliga personuppgifter får endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp. Viss information i Lifos är allmänt tillgänglig, medan annan information omfattas av sekretess.

3.7.9. Rättelse och skadestånd

Bestämmelserna i 28 och 48 §§ PUL om rättelse och om skadestånd tillämpas vid behandling av personuppgifter enligt utlänningsdataförordningen. Bestämmelserna gäller också vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.

3.7.10. Överklagande

Migrationsverkets, Rikspolisstyrelsens eller en polismyndighets beslut om att inte meddela rättelse eller om att inte lämna information som ska lämnas efter ansökan får överklagas hos allmän förvaltningsdomstol.

4. Verksamhet enligt utlännings- och medborgarskapslagstiftningen

4.1. Inledning

I utredningens uppdrag ingår att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Som anges i kommittédirektiven bedrivs verksamhet enligt utlännings- och medborgarskapslagstiftningen främst av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. Någon närmare beskrivning av vilken verksamhet som avses ges inte i kommittédirektivet. Det kan dock antas att handläggning av utlänningsärenden enligt utlänningslagen (2005:716, UtlL) och handläggning av ärenden enligt lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen) hör till sådan verksamhet. Vägledning kan också hämtas från förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen) när det gäller en definition av verksamhet enligt utlännings- och medborgarskapslagstiftningen. Därutöver finns viss verksamhet som har nära koppling till sådan verksamhet som anges ovan.

4.2. Generellt om de handläggande myndigheterna

Enligt 1 § förordningen (2007:996) med instruktion för Migrationsverket är Migrationsverket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asylsökande, återvändande, medborgarskap och återvandring. Migrationsverket ska fullgöra de uppgifter som myndigheten har enligt

utlännings- och medborgarskapslagstiftningen, lagstiftningen om mottagande av asylsökande m.fl. samt andra författningar.

Migrationsverket är också kontaktmyndighet eller ansvarig myndighet inom EU-samarbetet, se 3 § förordningen med instruktion för Migrationsverket. Migrationsverket är till exempel kontaktmyndighet i frågor som rör databasen för identifiering av fingeravtryck, Eurodac, ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden samt kontaktmyndighet i frågor som rör massflyktssituationer enligt 21 kap. UtlL. Vidare är Migrationsverket registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i VIS (se avsnitt 4.3.3). I ansvaret ingår att föra register över all behandling av personuppgifter i VIS och över de personer som är behöriga att föra in eller använda uppgifter i VIS samt vara den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.

Migrationsdomstolarna blir aktuella när någon överklagar Migrationsverkets eller någon annan myndighets beslut som kan överklagas dit. Allmän domstol kan besluta om utvisning på grund av brott.

Polismyndigheten genomför personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Polismyndigheten får i vissa fall besluta om avvisning och verkställer egna beslut om avvisning. Myndigheten verkställer även allmän domstols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning. Polismyndigheten verkställer vidare utlämningar och överlämnanden med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375)om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden. Myndigheten kan föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i ett sådant säkerhetsärende får överklagas av Säkerhetspolisen. Säkerhetspolisen får vidare enligt 2 § lagen (1991:572) om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket och är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande.

Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller utvisning i säkerhetsärenden enligt lagen om särskild utlänningskontroll.

När det gäller utlandmyndigheterna följer det av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepresentationen att beskickningar och konsulat ska handlägga migrationsärenden enligt EU:s förordningar och utlänningslagstiftningen samt biträda Migrationsverket, Polismyndigheten och Säkerhetspolisen i ärenden enligt utlänningslagstiftningen. Utlandsmyndigheternas främsta uppgift är att utfärda Schengenviseringar. Biträdet till andra myndigheter enligt ovan nämnda förordning kan till exempel innebära att hjälpa Migrationsverket att kontrollera att de uppgifter en asylsökande har lämnat i sin ansökan är korrekta eller om en handling som en utlänning åberopar är äkta. Utlandsmyndigheterna tar också emot ansökningar om uppehållstillstånd och medborgarskap och genomför utredningar i de fall sökanden inte är folkbokförd i Sverige. Även i andra medborgarskapsärenden ska utlandsmyndigheterna medverka i enskilda ärenden på begäran av Migrationsverket.

En närmare beskrivning av myndigheternas verksamhet följer nedan i anslutning till respektive lagstiftning.

4.3. Verksamhet enligt utlänningslagen

4.3.1. Bakgrund

Utlänningars vistelse i Sverige har varit reglerat sedan början av 1900-talet. År 1914 infördes en lag som gjorde det möjligt att avvisa eller utvisa en utlänning som inte ansågs önskvärd. Under och efter första världskriget utfärdades med stöd av lagen en rad författningar som reglerade utlänningars rätt att resa in i och vistas i Sverige. Genom 1917 års passkungörelse infördes till exempel passtvång och krav på visering, dvs. tillstånd till inresa och vistelse under viss tid. Genom 1926 års övervakningskungörelse infördes också krav på att en utlänning som kom hit för att arbeta var tvungen att ha ett arbetstillstånd vid inresan.

Sverige fick sin första utlänningslag år 1928. Lagen innehöll bestämmelser om pass, visering, uppehålls- och arbetstillstånd samt anmälningsskyldighet och bestämmelser om avvisning, utvisning och förpassning. Bestämmelserna på utlänningsområdet har varit under

ständig förändring och efter 1928 har ytterligare fem nya utlänningslagar antagits (1937, 1945, 1954, 1980 och 1989) fram till den nu gällande utlänningslagen (2005:716).

Med 2005 års utlänningslag infördes en ny instans- och processordning i utlännings- och medborgarskapsärenden. Den s.k. Utlänningsnämnden upphörde och överprövningen av Migrationsverkets beslut överfördes till migrationsdomstolarna (dåvarande länsrätterna i Stockholm, Göteborg och Malmö) och en migrationsöverdomstol (Kammarrätten i Stockholm).

Utlänningslagstiftningen har på många sätt påverkats av den internationella utvecklingen på området samt genom EES- och EU-samarbetet. Nedan följer därför en kortfattad beskrivning av några av de internationella åtaganden och överenskommelser som har inflytande över den nationella lagstiftningen samt framväxten av EESsamarbetet och unionsrätten.

4.3.2. Internationella åtaganden och överenskommelser

UNHCR

Efter första världskriget växte behovet av internationellt samarbete för att lösa frågor som rörde flyktingar. Efter ett beslut i FN:s generalförsamling inrättades den 1 januari 1951 FN:s flyktingkommissariat, United Nations High Commissioner for Refugees (UNHCR).

UNHCR:s huvuduppgifter är verksamhet till skydd för flyktingar och biståndsverksamhet. FN:s generalförsamling väljer en flyktingkommissarie, vars uppgift är att bereda skydd åt flyktingar och att försöka hitta varaktiga lösningar i uppkomna flyktingsituationer. När ett frivilligt återvändande inte är möjligt försöker UNHCR lösa det genom att flyktingen ges möjlighet att stanna permanent i det land han eller hon har flytt till eller genom att andra stater tar emot honom eller henne. I Sverige sker sådan vidarebosättning inom ramen för den s.k. flyktingkvoten. UNHCR ger också bland annat ut en handbok om förfarande och kriterier vid fastställande av flyktingars rättsliga ställning, som är en vägledande tolkning av flyktingkonventionen (se nedan) och ett verktyg för alla de länder som ska tillämpa flyktingkonventionen.

Flyktingkonventionen

År 1949 tillsattes inom FN en expertkommitté med uppgift att lämna ett förslag på en flyktingkonvention. Med utgångspunkt i expertgruppens förslag utarbetades vid en diplomatisk konferens i Genève år 1951 en konvention angående flyktingars rättsliga ställning, den s.k. flyktingkonventionen eller Genèvekonventionen.

Genom ett tilläggsprotokoll från 1967 fastställdes att konventionen gäller alla flyktingar oavsett från vilket land de kommer och när i tiden flyktingskapet har uppstått. Konventionen definierar vem som är en flykting och i behov av internationellt skydd samt flyktingars rättigheter och konventionsländernas skyldigheter. I artikel 33 finns till exempel ett förbud mot avvisning eller utvisning till gränsen mot ett område där flyktingen riskerar politisk förföljelse (principen om non-refoulement).

Schengensamarbetet

År 1985 ingick Frankrike, Tyskland och Beneluxstaterna det s.k. Schengenavtalet. Avtalets syfte var att främja den fria rörligheten för personer genom att succesivt avveckla personkontrollerna vid de gemensamma gränserna och att stärka åtgärderna mot internationell kriminalitet och olaglig invandring genom att utveckla det polisiära och rättsliga samarbetet mellan staterna.

Schengensamarbetet innebär att personkontrollerna vid de inre gränserna har upphört. Detta kompenseras bland annat med att medlemsländerna noggrant kontrollerar sina yttre gränser. Med inre

gräns avses medlemsländernas gemensamma landgränser, flygplatser

och hamnar med förbindelser till och från medlemsländerna. Med

yttre gräns menas medlemsländernas övriga landgränser, flygplatser

och hamnar.

År 1990 undertecknade avtalsländerna en tillämpningskonvention, den s.k. Schengenkonventionen. Konventionen innehåller bestämmelser om praktiska åtgärder för att genomföra avvecklingen av personkontrollerna vid de inre gränserna och andra samarbetsåtgärder. Konventionen trädde i kraft 1995. Sverige anslöt sig 1996 och deltar sedan 2001 fullt ut i samarbetet. För närvarande deltar 22 av EU:s 28 länder i Schengensamarbetet, vissa dock endast i begränsad

omfattning. Även Norge, Island, Schweiz och Liechtenstein har anslutit sig till samarbetet.

Dublinkonventionen

Dublinkonventionen var ursprungligen ett folkrättsligt avtal mellan tolv av den Europeiska gemenskapens medlemsstater.

Konventionen tillkom år 1990 och innehåller regler för vilken stat som ska behandla en asylansökan som inlämnats i en medlemsstat. Syftet är att garantera att den asylsökande får sin ansökan prövad i ett land, men också att undvika att ansökan görs och prövas i flera länder samtidigt.

Dublinkonventionen trädde i kraft 1997 och Sverige tillträdde konventionen samma år. Konventionen ersatte då reglerna i Schengenkonventionen om hanteringen av asylansökningar.

Dublinkonventionen har ersatts av Dublinförordningarna, se nedan.

4.3.3. EES och EU

Maastrichtfördraget

Principen om personers fria rörlighet har funnits länge inom EUsamarbetet. Den innebar ursprungligen en fri arbetsmarknad och en fri etableringsrätt för medborgare i EG:s medlemsländer. Genom EU-fördraget, det s.k. Maastrichtfördraget, som trädde i kraft 1993, fördjupades dock samarbetet och bestämmelser om mellanstatligt samarbete om avvecklande av gränskontroller mellan medlemsstater, asylpolitiken, kontrollen vid passage av medlemsstaternas yttergränser och invandringspolitiken gentemot tredjelandsmedborgare infördes.

EES-avtalet

EES-avtalet är ett frihandelsavtal mellan de europeiska länder som i dag utgör EU samt Island, Liechtenstein och Norge.

Sverige anslöt sig till avtalet den 1 januari 1994 och antog därigenom bland annat regler om den inre marknaden med fri rörlighet för varor, tjänster, personer och kapital. Genom att ansluta sig till

avtalet antog Sverige de bestämmelser i Romfördraget som överförts till EES-avtalet och gällande förordningar och direktiv på rättsområdet. Ändringarna avsåg främst rätt till bosättning, anställning, etablering som företagare och studier. De nya bestämmelserna infördes i svensk rätt genom vissa nya lagar och ändringar i utlänningslagen och dess förordning.

Sveriges medlemskap i EU

Sveriges medlemskap i EU den 1 januari 1995 innebar inte några större sakliga förändringar på området för den fria rörligheten. De förordningar som inkorporerats i svensk rätt genom lagstiftning upphävdes och blev i stället direkt tillämpliga. EU-anslutningen innebar också att Sverige förbands av EES-avtalet i egenskap av EU-medlem. Det innebär att Sverige ska tillämpa EES-avtalets regler om fri rörlighet för personer gentemot de EFTA-stater som är medlemmar i EES.

Amsterdamfördraget

Amsterdamfördraget innebar en avgörande förändring avseende personers fria rörlighet inom EU. Fördraget trädde i kraft den 1 maj 1999. Genom fördraget fördes ett antal samarbetsområden över från det mellanstatliga samarbetet i rättsliga och inrikes frågor till gemenskapssamarbetet, bland annat samarbete inom områdena yttre gränskontroller, fri rörlighet för personer, asyl- och invandringspolitik. Amsterdamfördraget innebar också att Schengensamarbetet och Dublinkonventionen införlivades EU:s regelverk.

Utveckling inom området för fri rörlighet

År 2004 ersattes nio olika direktiv som reglerade rätten för EU-medborgare att vistas och arbeta inom unionen med det s.k. rörlighets-

direktivet (Europaparlamentets och Rådets direktiv 2004/38/EG av

den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och

om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG).

Direktivet var avsett att förenkla det tidigare regelverket och kodifiera EU-domstolens praxis på området. Det innehåller samtliga bestämmelser kring unionsmedborgares rättigheter till inresa och vistelse i alla Europeiska unionens medlemsstater. Huvudregeln är att unionsmedborgare ska kunna röra sig fritt mellan medlemsstaterna på samma sätt som vid flyttning inom det egna landet. Med direktivet förenklades kraven för att unionsmedborgare och deras familjer ska kunna få uppehållstillstånd.

Utöver unionens medlemsstater har även Island, Liechtenstein och Norge implementerat rörlighetsdirektivet genom EES-samarbetet. Även Schweiz har implementerat motsvarande, dock något begränsade, bestämmelser genom bilaterala avtal med EU.

Direktivet har genomförts gentemot EES-medborgare genom särskilda bestämmelser i 3 a kap. UtlL. Genom bestämmelserna avskaffades regler om uppehålls- och arbetstillstånd för EES-medborgare och deras anhöriga och en rätt för dessa personer att vistas i Sverige i mer än tre månader utan uppehållstillstånd.

Dublinförordningarna

Dublinkonventionen har ersatts av Rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har gett in i någon medlemsstat, den s.k. Dublin II-förordningen.

Förordningen omarbetades och trädde i kraft i ny form den 1 januari 2014 genom Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat, Dublin III-

förordningen. I förordningen fastställs kriterier för när en stat är

ansvarig för asylprövningen. Kriterierna ska tillämpas i den ordning som de anges i förordningen och är kopplade till bland annat om den asylsökande har beviljats visum eller uppehållstillstånd av ett

annat land som omfattas av Dublinförordningen, om personen rest in utan tillstånd eller om han eller hon redan har ansökt om asyl i ett annat land.

För att förbättra kontrollen av om en asylprocess redan har påbörjats eller avslutats i en annan medlemsstat infördes Eurodac (ett europeiskt automatiserat system för jämförelser av asylsökandes fingeravtryck) år 2003. Systemet regleras i dag i Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Utbyggnad av Schengensamarbetet

Som ovan nämns innebar Amsterdamfördraget att Schengenregelverket införlivades med EU-rätten.

Inom Schengensamarbetet fanns tidigare en gemensam handbok för personers passage av de yttre gränserna. Eftersom det rådde tveksamhet kring handbokens rättsliga status fick kommissionen i uppdrag att lämna ett förslag till omarbetning av handboken. Omarbetningen resulterade i ett förslag till en gränskodex som omfattade bestämmelser om all gränspassage för personer över yttre och inre gränser. Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) trädde i kraft den 13 oktober 2006.

Bestämmelserna i kodex om Schengengränserna och dess bilagor består till stora delar av omarbetade bestämmelser från den gemensamma handboken och från delar av Schengenkonventionen. Genom kodexen om Schengengränserna infördes ett gemensamt regelverk för passage av EU:s yttre gränser. I kodexen slås också fast att det

inte ska förekomma någon gränskontroll av personer vid de inre gränserna mellan EU:s medlemsstater.

På viseringsområdet inrättandes år 2004 ett gemensamt europeiskt system för utbyte av viseringsinformation genom rådets beslut 2004/512/EG av den 8 juni 2004 om inrättande av Informationssystemet för viseringar (VIS). Enligt beslutet ska systemet användas för utbyte av uppgifter om viseringar mellan medlemsstaterna och göra det möjligt för behöriga nationella myndigheter att föra in och uppdatera viseringsuppgifter och ha tillgång till dessa uppgifter på elektronisk väg. Informationssystemet ska bestå av ett centralt informationssystem (Centrala informationssystemet för viseringar, CS VIS) och ett system i varje medlemsstat (Nationella gränssnittet, NI VIS).

VIS regleras i dag genom Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) som trädde i kraft i september 2008. De övergripande målen med förordningen var att förbättra genomförandet av den gemensamma viseringspolitiken och förenkla samarbetet mellan de nationella viseringsmyndigheterna. Systemet ska bland annat underlätta handläggningen av viseringsansökningar, förebygga kringgåendet av reglerna för vilken medlemsstat som har ansvaret för att pröva en ansökan, underlätta kampen mot bedrägerier och kontrollen vid de yttre gränserna och inom medlemsstaternas territorium.

VIS-förordningen innehåller allmänna bestämmelser om syfte, tillämpningsområde och mål, definitioner, vilka uppgiftskategorier som ska registreras i VIS, åtkomst till uppgifterna för att föra in, ändra, radera eller inhämta uppgifter i systemet, andra viseringsmyndigheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna. Den fastställer också vilka rättigheter den registrerade har, regler för dataskydd och tillsyn, villkoren för viseringsmyndigheterna att använda uppgifterna i VIS och förfaranden för utbytet av uppgifter mellan medlemsstaterna för att underlätta prövningen av viseringsansökningar och beslut som fattas i anslutning till dessa. Förordningen innehåller vidare en s.k. broklausul, som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott.

I juli 2009 antogs Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemenskapskodex om viseringar (viseringskodex). Genom viseringskodexen samlades de bestämmelser som avser utfärdande av viseringar i en och samma förordning.

Enligt artikel 1 i kodexen är syftet med förordningen att inrätta förfaranden och villkor för utfärdande av viseringar för transitering genom medlemsstaternas territorium eller för planerade vistelser på medlemsstaternas territorium som inte varar längre än tre månader under en sexmånadersperiod. Bestämmelserna ska tillämpas på alla tredjelandsmedborgare som är skyldiga att inneha visering när de passerar medlemsstaternas yttre gränser. Förordningen innehåller bland annat bestämmelser om vilka myndigheter som är behöriga att pröva och besluta om viseringar och om vilken medlemsstat som är behörig att pröva och besluta om en ansökan. Det finns även bestämmelser om upptagande av biometriska kännetecken, exempelvis fingeravtryck och fotografi, i samband med en viseringsansökan.

Asylpolitiken utvecklas

I samband med Amsterdamfördraget enades EU-staterna om att unionens asylsystem skulle grundas på en tillämpning av FN:s flyktingkonvention och dess protokoll. Arbetet med att få till stånd ett gemensamt europeiskt asylsystem har intensifierats de senaste tio åren.

I direktivet 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta (massflyktsdirektivet) regleras under vilka förutsättningar som Europeiska unionens råd kan besluta att en massflyktssituation föreligger. I sådana fall kan medlemsländerna bevilja tillfälligt skydd åt personer som är i behov av skydd. Bestämmelser om tillfälligt skydd finns i 21 kap. UtlL.

År 2003 antog rådet direktivet 2003/86/EG av den 22 september 2003 om rätt till familjeåterförening (familjeåterföreningsdirektivet). Direktivet innehåller minimiregler för rätten till familjeåterförening. Bestämmelserna gäller tredjelandsmedborgare som har haft uppehållstillstånd i minst ett år i ett medlemsland och som har välgrundade

utsikter att få ett permanent uppehållstillstånd. En sådan person ska ha rätt att återförenas med sin make, maka eller minderåriga barn. Direktivet stadgar en skyldighet för medlemsstaterna att bevilja uppehållstillstånd till sådana familjemedlemmar.

Europaparlamentets och rådets direktiv 2013/33/EU av den 26 juni 2013 om normer för mottagande av personer som ansöker om internationellt skydd (mottagandedirektivet) är omförhandlat efter det ursprungliga direktivet från 2003. Det innehåller miniminormer för hur asylsökande ska tas emot och även vissa rättigheter som exempelvis rätten till information, barns rätt till skolgång och asylsökandes rätt till nödvändig hälso- och sjukvård.

Som ett led i strävandet efter en gemensam asylpolitik med flyktingkonventionen som grund antog Europeiska rådet direktiv 2004/83/EG den 29 april 2004 om miniminormer för när tredjelandsmedborgare eller statslösa personer ska betraktas som flyktingar eller som personer som av andra skäl behöver internationellt skydd samt om dessa personers rättsliga ställning och om innehållet i det beviljade skyddet (skyddsgrundsdirektivet). Direktivet har ersatts av Europaparlamentets och rådets direktiv 2011/95/EU av den 13 december 2011 om normer för när tredjelandsmedborgare eller statslösa personer ska berättigas till internationellt skydd (det om-

arbetade skyddsgrundsdirektivet). Direktivet innehåller regler för en

enhetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande, och för innehållet i det beviljade skyddet. I direktivet fastslås på vilka grunder en person som söker asyl ska anses berättigad till internationellt skydd. Definitionen av begreppet flykting motsvarar den som finns i flyktingkonventionen, med undantag för att definitionen i direktivet enbart omfattar tredjelandsmedborgare och statslösa. Utöver flyktingkonventionens definition av vem som är en flykting omfattas också alternativt skyddsbehövande. Direktivet inför också en enhetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande; flyktingsstatusförklaring respektive alternativ skyddsstatusförklaring, och för innehållet i det beviljade skyddet. Det omfattar bland annat bestämmelser om skydd mot avvisning, sammanhållning av familjer, uppehållstillstånd som ska beviljas snarast möjligt efter beslutet om status, resedokument, tillträde till arbetsmarkanden och till utbildning.

Bestämmelserna införlivades i svensk rätt genom ändringar i utlänningslagen år 2010.

År 2005 antogs Rådets direktiv 2005/85/EG av den 1 december 2005 om miniminormer för medlemsstaternas förfaranden för beviljande eller återkallande av flyktingstatus (asylprocedurdirektivet). Direktivet har upphävts och ersatts med Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (det

omarbetade asylprocedurdirektivet). Syftet med direktivet är att

fastställa gemensamma förfaranden för beviljande och återkallande av flyktingsstatus. Direktivet innehåller regler för hur en asylansökan ska prövas. Det finns bland annat bestämmelser om att det ska finnas en myndighet som ansvarar för en korrekt prövning av ansökningar enligt direktivet samt att myndigheten ska förses med de resurser som krävs för en korrekt prövning, exempelvis personal med ändamålsenligt utbildning. Direktivet innehåller vidare vissa rättigheter för den sökande, till exempel rätten att stanna kvar i medlemsstaten tills beslut i ärendet fattas, rätt till ett skriftligt beslut och, i förekommande fall, motiverat avslagsbeslut med överklagandehänvisningar.

Europaparlamentets och rådets direktiv 2008/115/EG av den 16 december 2008 om gemensamma normer och förfaranden för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna (återvändandedirektivet) innehåller gemensamma regler för vad som ska gälla när en person som har fått avslag på sin ansökan ska lämna landet. Bestämmelserna medför bland annat att personer som ska avvisas eller utvisas och som inte lämnar Sverige inom föreskriven tid får ett återreseförbud som gäller alla Schengenstater. Återreseförbudet får överstiga fem år om tredjelandsmedborgaren utgör ett allvarligt hot mot allmän ordning, allmän säkerhet eller nationell säkerhet. Direktivet innehåller också bestämmelser om förvar.

4.3.4. Utlänningslagen

Utlänningslagen innehåller nationella bestämmelser som rör utlänningars rätt att resa in i, vistas och arbeta i Sverige samt att söka asyl här. I lagen anges också under vilka förutsättningar som en utlänning kan avvisas eller utvisas ur landet. Med utlänning avses i utlänningslagen den som inte är svensk medborgare enligt medborgarskapslagen.

Utlänningslagens bestämmelser om rätt till inresa, vistelse och arbete utgör grunden för den s.k. kallade generella utlänningskontrollen. Utlänningslagen reglerar också förutsättningarna för s.k. individuell utlänningskontroll, dvs. möjligheten att hindra enskilda utlänningar som inte uppfyller lagens villkor att vistas i landet. En sådan utlänning kan avvisas eller utvisas enligt bestämmelser i 8 kap. UtlL.

4.3.5. Villkor för att en utlänning ska få resa in, vistas och arbeta i Sverige

Krav på pass

Bestämmelser om en utlännings inresa, vistelse och arbete i Sverige finns i 2 och 3 kap. UtlL.

En utlänning som reser in i eller vistas i Sverige ska ha pass, se 2 kap. 1 § UtlL. Möjlighet finns dock till utfärdande av främlingspass för den som inte har någon handling som gäller som pass och som saknar möjlighet att skaffa en sådan handling. Passkravet gäller inte för utlänning som är medborgare i en Schengenstat eller för en medborgare i Danmark, Finland, Island eller Norge. Med Schengen-

stat avses i utlänningslagen en stat som har tillträtt eller anslutit sig

till Schengenkonventionen samt Island, Norge, Schweiz och Liechtenstein. I 2 kap.12 §§utlänningsförordningen (2006:97, UtlF) finns ytterligare undantag från passkravet, bland annat för utlänningar som har permanent uppehållstillstånd eller som har beviljats uppehållstillstånd med tillfälligt skydd.

Visering

Visering är ett tillstånd att resa in i och vistas i Sverige upp till tre månader. Enligt 2 kap. 3 § UtlL ska en utlänning som reser in i Sverige ha Schengenvisering eller nationell visering.

Som anges ovan har Sveriges deltagande i Schengensamarbetet medfört gemensamma bestämmelser för visering för hela Schengenområdet. Schengenviseringen är numera den normala formen för visering. Enligt 3 kap. 1 § UtlL finns villkor för beviljande av Schengenvisering i viseringskodexen. Villkoren för utfärdande av en Schengenvisering regleras uttömmande i viseringskodexen, som även

hänvisar till de inresevillkor som uppställs i kodex om Schengengränserna. De viseringar som Schengenländerna utfärdar gäller i hela Schengenområdet. Med en Schengenvisering kan en tredjelandsmedborgare således resa in i ett Schengenland och sedan fritt resa omkring i hela Schengenområdet.

Om det finns särskilda skäl får nationell visering beviljas (3 kap. 4 § UtlL). En nationell visering gäller endast i Sverige och får endast beviljas för längre tid än tre månader.

Det finns en rad undantag från visumtvånget som ger möjlighet för vissa personer, till exempel EES-medborgare, att resa in i och uppehålla sig i Sverige i tre månader utan visering.

Uppehållstillstånd

En utlänning som vistas i Sverige mer än tre månader ska ha uppehållstillstånd, se 2 kap. 5 § UtlL. Ett uppehållstillstånd är ett tillstånd att vistas i Sverige under viss tid (tidsbegränsat uppehållstillstånd) eller utan tidsbegränsning (permanent uppehållstillstånd). Uppehållstillstånd kan beviljas av olika skäl, till exempel för att en utlänning är i behov av skydd eller på grund av arbete, studier, besök eller för att bedriva näringsverksamhet, se 5 kap. UtlL.

Från kravet på uppehållstillstånd gäller undantag för en utlänning som är medborgare i något av de nordiska länderna, som har uppehållsrätt eller som har visering för längre tid än tre månader. Med

uppehållsrätt avses en rätt för EES-medborgare och deras familje-

medlemmar att vistas i Sverige i mer än tre månader utan uppehållstillstånd. Förutsättningarna för uppehållsrätt regleras i 3 a kap. UtlL.

Flyktingar, alternativt skyddsbehövande och övriga skyddsbehövande som befinner sig i Sverige har rätt till uppehållstillstånd, se 5 kap. 1 § UtlL. Ett sådant uppehållstillstånd ska som huvudregel vara permanent eller gälla minst tre år. En flykting får dock vägras uppehållstillstånd om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säkerhet att låta honom eller henne stanna i Sverige. Detsamma gäller om utlänningen har bedrivit verksamhet som inneburit fara för rikets säkerhet och det finns anledning att anta att han eller hon skulle fortsätta verksamheten här.

Med asyl menas uppehållstillstånd som beviljas en utlänning för att han eller hon är flykting eller alternativt skyddsbehövande, se 1 kap. 3 § UtlL. I utlänningslagen definieras flykting som en utlänning som befinner sig utanför det land som han eller hon är medborgare i därför att han eller hon känner välgrundad fruktan för förföljelse på grund av ras, nationalitet, religiös eller politisk uppfattning eller på grund av kön, sexuell läggning eller annan tillhörighet till en viss samhällsgrupp och som inte kan, eller på grund av sin fruktan inte vill, begagna sig av detta lands skydd, se 4 kap. 1 § UtlL. Detta gäller oberoende av om förföljelsen utgår från landets myndigheter eller om myndigheterna inte kan antas bereda trygghet mot förföljelse från enskilda. Som flykting anses även en utlänning som är statslös och av samma skäl som anges ovan befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelseort och inte kan, eller på grund av sin fruktan inte vill, återvända dit.

I vissa fall kan en person som inte är flykting enligt lagens definition beviljas asyl som alternativt skyddsbehövande, se 4 kap. 2 § UtlL. Så är fallet om utlänningen befinner sig utanför det land som han eller hon är medborgare i för att det finns grundad anledning att anta att utlänningen vid ett återvändande till hemlandet skulle löpa risk att straffas med döden eller utsättas för kroppsstraff, tortyr eller annan omänsklig eller förnedrande behandling eller bestraffning eller som civilperson löper en allvarlig och personlig risk att skadas på grund av urskillningslöst våld med anledning av en yttre eller inre väpnad konflikt. Det förutsätts också att utlänningen inte kan, eller på grund av risken inte vill, begagna sig av hemlandets skydd. Det saknar även här betydelse om det är landets myndigheter som är ansvariga för att utlänningen löper denna risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Motsvarande regler gäller också för statslös utlänning som befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelseort.

En utlänning som inte uppfyller kraven för att anses som flykting eller alternativt skyddsbehövande kan beviljas uppehållstillstånd som övrig skyddsbehövande, se 4 kap. 2 a § UtlL. Det förutsätts då att utlänningen befinner sig utanför det land där han eller hon är medborgare för att han eller hon behöver skydd på grund av en yttre eller inre väpnad konflikt, eller på grund av andra svåra mot-

sättningar i hemlandet känner välgrundad fruktan för att utsättas för allvarliga övergrepp. Även detta gäller oberoende av om det är landets myndigheter som är ansvariga för att utlänningen löper en sådan risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Även den som inte kan återvända till sitt hemland på grund av en miljökatastrof betraktas som övrig skyddsbehövande.

En utlänning är utesluten från att anses som flykting om det finns synnerlig anledning att anta att han eller hon har gjort sig skyldig till brott mot freden, krigsförbrytelse eller brott mot mänskligheten, ett grovt icke-politiskt brott utanför Sverige innan han eller hon kom hit eller gärningar som strider mot FN:s syften och grundsatser enligt inledningen och artiklarna 1 och 2 i FN:s stadga, se 4 kap. 2 b § UtlL. Detsamma gäller den som har anstiftat eller på annat sätt deltagit i förövandet av sådana brott eller gärningar. Liknande regler gäller för alternativt skyddsbehövande och övrig skyddsbehövande enligt 4 kap. 2 c § UtlL.

En utlänning som med stöd av skyddsskäl ansökt om uppehållstillstånd ska förklaras vara flykting, alternativt skyddsbehövande eller övrigt skyddsbehövande om han eller hon omfattas av utlänningslagens definitioner enligt ovan. Detta kallas flyktingstatusförklaring, alternativ skyddsstatusförklaring eller övrig skyddsstatusförklaring, se 4 kap. 3 och 3 a §§ UtlL.

En utlänning får dock vägras sådan flyktingstatusförklaring om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säkerhet att låta honom eller henne stanna i Sverige eller har bedrivit verksamhet som inneburit fara för rikets säkerhet och det finns anledning att anta att han eller hon skulle fortsätta verksamheten här. Liknande regler gäller för alternativ eller övrig skyddsstatusförklaring.

Tillfälligt skydd

I 21 kap. UtlL finns bestämmelser om tillfälligt skydd enligt Rådets direktiv 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta.

En utlänning som omfattas av ett beslut om tillfälligt skydd enligt direktivet och som i enlighet därmed överförs till eller tas emot i Sverige ska ges ett tidsbegränsat uppehållstillstånd, ett s.k. uppehållstillstånd med tillfälligt skydd. Om ett uppehållstillstånd med tillfälligt skydd har getts till en person får ett sådant tillstånd också ges till en nära anhörig till en sådan person.

Uppehållstillstånd med tillfälligt skydd får vägras utlänningen endast om det föreligger sådana omständigheter som innebär att en utlänning är utesluten från att vara flykting eller en flykting får vägras uppehållstillstånd.

Tribunalvittnen

22 kap. UtlL innehåller bestämmelser om skydd för personer som vittnat eller kommer att vittna i förhandlingar inför en internationell domstol eller tribunal, med vilken Sverige har ingått avtal om sådant skydd samt för deras nära anhöriga. En internationell domstol eller tribunal kan göra en framställan om omplacering av vittne eller nära anhörig till vittne. Om framställan bedöms vara berättigad ska utlänningen meddelas ett tidsbegränsat uppehållstillstånd om minst ett år.

Arbetstillstånd

Arbetstillstånd är ett tillstånd att arbeta i Sverige, se 2 kap. 7 § UtlL. En utlänning som ska arbeta i Sverige på grund av anställning här eller utomlands ska ha arbetstillstånd. Det finns en mängd undantag från kravet på arbetstillstånd, till exempel för nordiska medborgare och EES-medborgare. I 6 a kap. UtlL finns särskilda bestämmelser om uppehålls- och arbetstillstånd för högkvalificerad anställning, s.k. EU-blåkort.

Avvisning och utvisning

I 8 kap. UtlL finns bestämmelser om avvisning och utvisning, dvs. åtgärder för att avlägsna en utlänning som saknar tillstånd att vistas i Sverige. Avvisning är ett avlägsnandebeslut som meddelas inom tre månader efter den första ansökan om uppehållstillstånd efter utlänningens ankomst till Sverige. En utlänning som inte är EES-medborgare får till exempel avvisas från Sverige om han eller hon saknar pass när ett sådant krävs för inresa. Utvisning innebär ett avlägsnandebeslut som meddelas efter tre månader efter ansökan. För utvisning på grund av brott finns särskilda regler i 8 a kap. UtlL.

Regler om avlägsnande i annan lagstiftning

Utlänningslagen reglerar inte uttömmande i vilka fall utlänningar får avlägsnas ur landet. Särskilda bestämmelser om utvisning finns i lagen (1991:572) om särskild utlänningskontroll. Enligt den lagen får regeringen utvisa en utlänning om det behövs med hänsyn till rikets säkerhet (s.k. politisk utvisning) eller det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott (s.k. presumtiv terrorist).

En utlänning får avlägsnas ur landet på annat sätt än genom avvisning eller utvisning. Av 23 kap. 2 § första stycket UtlL framgår att regeringen får meddela föreskrifter om att sända hem utlänningar som inte är flyktingar och som har tagits om hand enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Vidare finns i annan lagstiftning bestämmelser om utlämning för brott och om överförande till annat land för verkställighet. Det regleras i första hand i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

Kontroll av personer enligt kodexen om Schengengränserna

I 9 kap. UtlL finns bestämmelser om kontroll av personer enligt kodexen om Schengengränserna.

Av 9 kap. 2 § UtlL följer att en polisman i samband med inresekontroll enligt kodexen om Schengengränserna får kroppsvisitera en utlänning och undersöka hans eller hennes bagage, handresgods, handväskor och liknande, i den utsträckning som det är nödvändigt för att ta reda på utlänningens identitet. Av paragrafen följer vidare att sådana undersökningar också får göras för att ta reda på en utlännings resväg till Sverige, om den är av betydelse för bedömningen av rätten att resa in i och vistas här i landet. En polisman får i samband med inresekontrollen även undersöka bagageutrymmen och övriga slutna utrymmen i bilar och andra transportmedel i syfte att förhindra att en utlänning reser in i Sverige i strid med bestämmelserna i kodexen om Schengengränserna.

Av 9 kap. 8 § UtlL följer att Migrationsverket eller Polismyndigheten får fotografera en utlänning och, om utlänningen fyllt 14 år ta hans eller hennes fingeravtryck i vissa fall, bland annat om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.

Även den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta bland annat en polisman ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet, se 9 kap. 8 c § UtlL. Enligt samma paragraf gäller även sådan skyldighet för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.

Förvar och uppsikt

I 10 kap. UtlL finns bestämmelser om frihetsberövande i form av förvar. En utlänning som har fyllt 18 år får tas i förvar till exempel om det är nödvändigt för att en utredning om utlänningens rätt att stanna i Sverige ska kunna genomföras eller om det är av olika skäl är sannolikt att utlänningen kommer att avvisas eller utvisas. I stället

för att tas i förvar kan en utlänning enligt 10 kap. 6 § UtlL ställas under uppsikt. Uppsikt innebär att utlänningen är skyldig att på vissa tider anmäla sig hos Polismyndigheten eller hos Migrationsverket. Utlänningen kan också åläggas att lämna ifrån sig sitt pass eller annan legitimationshandling.

4.3.6. Handläggande myndigheter enligt utlänningslagen

Migrationsverket

Migrationsverket har huvudansvaret för den generella utlänningskontrollen. Som ovan nämnts är verket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asylsökande, återvändande, medborgarskap och återvandring. Nedan följer en översiktlig beskrivning av Migrationsverkets ansvarsområden enligt utlänningslagen och dess förordning.

Om en utlänning saknar pass och inte heller har möjlighet att skaffa något kan Migrationsverket utfärda främlingspass för honom eller henne, se 2 kap. 1 a § UtlL.

Schengenvisering handläggs och beslutas som huvudregel hos svensk ambassad eller konsulat i det land sökanden är bosatt eller av polismyndighet vid yttre gräns. Även Migrationsverket har dock enligt 3 kap. 5 § UtlL möjlighet att besluta om sådan visering. Utlandsmyndigheterna och Polismyndigheten vid yttre gräns är behöriga att återkalla och upphäva Schengenviseringar. Det följer dock av 7 kap. 8 § UtlL att även Migrationsverket har behörighet att återkalla och upphäva sådana viseringar.

Beslut om nationell visering får meddelas av Migrationsverket och Regeringskansliet, se 3 kap. 5 § UtlL. En återkallelse av en nationell visering beslutas av den myndighet som har beviljat viseringen eller av Migrationsverket, se 7 kap. 8 § UtlL. En visering som beviljats av Regeringskansliet får dock endast återkallas av Regeringskansliet.

Migrationsverket beslutar vidare i frågor om statusförklaring enligt 4 kap. UtlL och i ärenden om ställning som varaktigt bosatt i Sverige enligt 5 a kap. UtlL.

Det är Migrationsverket som beslutar om en ansökan om uppehållstillstånd ska beviljas eller avslås, se 5 kap. 20 § UtlL. Migrationsverket beslutar också om eventuell återkallelse av sådant tillstånd,

se 7 kap. 8 § UtlL. Beslut om uppehållstillstånd får också meddelas av Regeringskansliet. Ett sådant tillstånd får endast återkallas av Regeringskansliet.

Migrationsverket meddelar beslut om arbetstillstånd och återkallelse av sådant tillstånd, se 6 kap. 5 och 7 kap. 8 §§ UtlL. Verket prövar även frågor rörande s.k. EU-blåkort enligt 6 a kap. UtlL.

Det följer av 8 kap. 17 § UtlL att det är endast Migrationsverket som kan pröva frågan om avvisning i de fall en utlänning söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. De sistnämnda bestämmelserna avser avvisning eller utvisning av utlänning som har avvisats eller utvisats från en EU-stat eller från Island, Norge, Schweiz eller Liechtenstein på grund av allvarligt hot mot allmän ordning och inre säkerhet eller beslutet om avvisning eller utvisning har grundats på att utlänningen inte har följt gällande bestämmelser om en utlännings inresa eller vistelse i den staten eller när det framställts en begäran om avvisning från den centrala utlänningsmyndigheten i ett nordiskt land. I andra fall får både Migrationsverket och Polismyndigheten pröva frågan om avvisning. Om Polismyndigheten anser det tveksamt om en utlänning bör avvisas, ska ärendet lämnas över till Migrationsverket.

Migrationsverket ska pröva frågan om utvisning i de fall det rör sig om en utlänning som inte är EES-medborgare eller familjemedlem till en EES-medborgare och som uppehåller sig här men saknar pass eller de tillstånd som krävs för att få uppehålla sig i landet, se 8 kap. 18 § UtlL. Verket ska också handlägga frågan om utvisning när det gäller en EES-medborgare eller en familjemedlem till en EES-medborgare som har vistats i Sverige mer än tre månader och som inte har uppehållsrätt, men som uppehåller sig här och saknar de tillstånd som krävs för att få uppehålla sig i landet. Slutligen prövar verket frågan om utvisning av en EES-medborgare eller en familjemedlem till en EES-medborgare av hänsyn till allmän ordning och säkerhet.

När det gäller förvar eller uppsikt fattas beslut av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Migrationsverket är handläggande myndighet från det att verket tar emot ett ärende som verket ska pröva och till dess verket fattar beslut eller utlänningen har lämnat landet eller Polismyndigheten har tagit emot ärendet eller, om Migrationsverkets beslut överklagas, till dess ärendet tas emot av migrationsdomstolen. Verket är också hand-

läggande myndighet från det att verket tar emot ett beslut om avvisning eller utvisning för verkställighet och till dess att beslutet har verkställts eller ärendet lämnas över till polismyndigheten. I fråga om beslut som gäller omedelbart är, även om beslutet överklagas, Migrationsverket handläggande myndighet till dess domstolen meddelar beslut om inhibition.

Polismyndigheten

Polismyndigheten ansvarar för kontroll av personer enligt kodexen om Schengengränserna, se 9 kap. 1 § UtlL. Av samma paragraf följer att Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid en sådan kontroll och att Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid sådan kontroll. Kustbevakningen ska dessutom medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken. Vilka kontroller som en polisman och andra får vidta i samband med inresekontroll enligt kodexen om Schengengränserna följer av 9 kap. 2 § UtlL och har behandlas ovan.

Polismyndigheten är även ansvarig för inre utlänningskontroll. Enligt Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre utlänningskontroll alla handlingar som syftar till att kontrollera om en utlänning har rätt att uppehålla sig i landet. Enligt 9 kap. 9 § UtlL är till exempel en utlänning som vistas i Sverige skyldig att på begäran av en polisman överlämna pass eller andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige. Utlänningen är också skyldig att efter kallelse av Migrationsverket eller Polismyndigheten komma till verket eller myndigheten och lämna uppgifter om sin vistelse här i landet. Om utlänningen inte gör det, får han eller hon hämtas genom Polismyndighetens försorg.

Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. Om kontrollen utövas av Kustbevakningen ska pass eller andra handlingar överlämnas till tjänstemannen vid Kustbevakningen. Kontroller får dock endast vidtas om det finns grundad anledning att anta att utlänningen saknar rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll.

Som ovan anges får endast Migrationsverket pröva frågan om avvisning om utlänningen söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. I andra fall får både Migrationsverket och Polismyndigheten pröva frågan om avvisning.

Polismyndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvisning på grund av brott. Migrationsverket får överlämna till Polismyndigheten att verkställa en avvisning eller utvisning om den som ska avvisas eller utvisas håller sig undan och inte kan anträffas utan Polismyndighetens medverkan eller om det kan antas att tvång kommer att behövas för att verkställa beslutet.

I fråga om förvar och uppsikt fattas beslut, som ovan anges, av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Polismyndigheten är handläggande myndighet från det att en utlänning begär att få resa in i landet och till dess att ett ärende som ska prövas av Migrationsverket tas emot av verket eller utlänningen har lämnat landet. Polismyndigheten är vidare handläggande myndighet när den tar emot ett beslut om avvisning eller utvisning för verkställighet och till dess att verkställighet har skett, även om ärendet är föremål för prövning på grund av hinder mot verkställighet enligt 12 kap. 18–20 §§ UtlL. Det gäller emellertid inte under den tid då beslutet inte får verkställas på grund av ett beslut om inhibition eller ny prövning. Även om Polismyndigheten inte är handläggande myndighet får den fatta beslut om att ta en utlänning i förvar eller ställa honom eller henne under uppsikt, om det inte finns tid att avvakta den handläggande myndighetens beslut. Ett sådant beslut ska skyndsamt anmälas till den myndighet som handlägger ärendet och myndigheten ska omedelbart pröva om beslutet om förvar eller uppsikt ska fortsätta att gälla. Att en polisman i vissa fall får omhänderta en utlänning i avvaktan på Polismyndighetens beslut om förvar framgår av 11 § polislagen (1984:387).

I 3 kap. UtlL finns bestämmelser om visering. Efter viseringskodexens införande regleras frågan om vilka myndigheter som beslutar om Schengenvisering inte i utlänningslagen utan i viseringskodexen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Enligt artikel 4.2 får dock viseringsansökningar vid medlemsstaternas yttre gränser prövas och beslutas av de myndigheter som ansvarar för person-

kontroller. Det innebär att Polismyndigheten vid yttre gräns har behörighet att handlägga och besluta i viseringsärenden.

Säkerhetspolisen

Migrationsverkets beslut i fråga om avvisning, utvisning, uppehållstillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende får överklagas av Säkerhetspolisen, se 14 kap. 11 § UtlL. Med säkerhetsärenden avses enligt 1 kap. 7 § UtlL ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlännings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en utlänning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas. Vidare är ett ärende hos Migrationsverket om huruvida ny prövning ska beviljas enligt 12 kap. 19 eller 19 a § utlänningslagen ett säkerhetsärende om beslutet om avvisning eller utvisning har fattats i ett säkerhetsärende.

Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden enligt utlänningslagen, se 12 kap. 14 § UtlL. Säkerhetspolisen kan också som handläggande myndighet fatta beslut om förvar eller uppsikt, se 10 kap. 12 § första stycket och 10 kap. 13 § tredje stycket UtlL.

Utlandsmyndigheterna

Med utlandsmyndigheter avses beskickningar, delegationer vid internationella organisationer och karriärkonsulat, se 1 kap. 2 § förordningen (2014:115) med instruktion för utrikesrepresentationen. Utlandsmyndigheterna bildar tillsammans med Utrikesdepartementet utrikesförvaltningen. En beskickning är en ambassad eller legation. Sverige hade i mars 2014 89 ambassader. Vid internationella organisationer som till exempel EU i Bryssel och FN i New York har Sverige delegationer eller representationer. Deras huvudsakliga uppgift

är att företräda Sverige och bevaka Sveriges intressen inom organisationernas arbete och rapportera om verksamheten, varför de inte torde vara aktuella för denna utredning. Ett karriärkonsulat är ett konsulat som leds av en utsänd tjänsteman. På karriärkonsulaten arbetar utsänd personal från UD. Konsulatens huvuduppgift är bland annat att stödja svenska exportföretag, främja utländska investeringar i Sverige och hjälpa nödställda svenska medborgare, men de utfärdar också viseringar, uppehålls- och arbetstillstånd för utländska medborgare som vill besöka eller arbeta i Sverige. Sverige har sju karriärkonsulat. Utlandsmyndigheterna är i administrativt hänseende direkt underställda Regeringskansliet (Utrikesdepartementet).

Utlandsmyndigheterna ska ta emot ansökan om främlingspass, om utlänningen inte befinner sig i Sverige, se 2 kap. 15 § UtlF. Av 4 kap. 20 § UtlF följer att en ansökan om uppehållstillstånd av en utlänning som inte befinner sig i Sverige ges in till och utreds av en svensk beskickning eller ett svenskt konsulat. Motsvarande regler gäller för ansökan om arbetstillstånd, se 5 kap. 8 § UtlF.

Som ovan nämns finns bestämmelser om visering i 3 kap. UtlL. Efter viseringskodexens införande regleras hanteringen av Schengenviseringar i viseringskodexen och VIS-förordningen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Prövning av och beslut om viseringsansökningar regleras i artiklarna 18–23 viseringskodexen. Av 3 kap. 10 § UtlF följer att om en svensk beskickning eller ett svenskt konsulat överväger att avslå en ansökan om Schengenvisering på grund av att sökanden anses vara ett hot mot medlemsstaternas allmänna ordning, inre säkerhet eller folkhälsa får ansökan överlämnas till Migrationsverket för prövning. Överlämnande får också ske i annat fall, om det finns särskild anledning till det.

Migrationsverket får ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar, se 3 kap. 12 § UtlF. Vidare får Regeringskansliet (Utrikesdepartementet) ge en svensk beskickning eller ett svenskt konsulat rätt att bevilja nationella viseringar inom departementets ansvarsområde.

Migrationsdomstol

I 14 kap. UtlL finns bestämmelser om överklagande av en förvaltningsmyndighets beslut. De allra flesta beslut som fattas med stöd av utlänningslagens bestämmelser kan överklagas till migrationsdomstol. Exempelvis får Migrationsverkets beslut överklagas till en migrationsdomstol, om beslutet innebär avvisning eller utvisning, avslag på en ansökan om upphävande av allmän domstols beslut om utvisning på grund av brott, avslag på en ansökan om uppehållstillstånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige eller återkallelse av ett uppehållstillstånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige, se 14 kap. 3 § UtlL. Även Migrationsverkets beslut i säkerhetsärenden enligt utlänningslagen överklagas till migrationsdomstol. I kapitlet finns också bestämmelser om överklagande av beslut avseende bland annat avslag på ansökan om Schengenvisering eller om upphävande eller återkallelse av Schengenvisering, avslag på ansökan om nationell visering eller återkallelse av nationell visering, förvar och uppsikt. Även dessa beslut överklagas till migrationsdomstol. Undantag gäller för Polismyndighetens eller Migrationsverkets beslut om kostnadsansvar eller särskild avgift, som ska överklagas till allmän domstol, se 14 kap. 14 § UtlL.

Förvaltningsrätterna i Stockholm, Göteborg, Malmö och Luleå är migrationsdomstolar, se 6 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. Förfarandet i migrationsdomstolarna är som huvudregel skriftligt och de flesta mål avgörs efter föredragning, se 16 kap. 5 § UtlL. Muntlig förhandling får hållas bland annat när det kan antas vara till fördel för utredningen eller främja ett snabbt avgörande av målet. Muntlig förhandling ska med vissa undantag hållas om utlänningen begär det.

När Migrationsverkets beslut överklagas omprövar verket först sitt beslut. Om omprövningen inte leder till ändring av beslutet går överklagandet vidare till migrationsdomstolen. Prövningen i migrationsdomstolarna sker i form av en tvåpartsprocess. Migrationsverket får ställning av part och är den enskildes motpart i domstolsprocessen.

En migrationsdomstols beslut kan överklagas till Migrationsöverdomstolen, dvs. Kammarrätten i Stockholm, se 16 kap. 1 och 9 §§ UtlL. För prövning i Migrationsöverdomstolen krävs prövningstillstånd, se 16 kap. 11 § UtlL. Vissa undantag från kravet på

prövningstillstånd finns i 16 kap. 11 § andra stycket UtlL. Migrationsöverdomstolens beslut får inte överklagas.

Allmän domstol

Beslut om utvisning på grund av brott enligt 8 a kap. UtlL fattas av den domstol som handlägger brottmålet.

Regeringskansliet

Enligt 3 kap. 5 § UtlL får Regeringskansliet besluta om nationell visering. I 5 § Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1) anges för vilka kategorier av personer Regeringskansliet kan besluta om visering. Det gäller bland annat främmande staters beskickningsmedlemmar, konsuler och deras familjemedlemmar.

Av 5 kap. 20 § tredje stycket UtlL framgår att Regeringskansliet i vissa fall får besluta om uppehållstillstånd. Av ovan angivna föreskrifter framgår att Regeringskansliet får besluta om uppehållstillstånd för bland annat beskickningsmedlemmar, konsuler och deras familjemedlemmar. Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet, se 7 kap. 8 § UtlL.

Regeringen beslutar vilka kategorier av personer som, utöver dem som omfattas av Europeiska unionens råds beslut, får ges uppehållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL.

4.4. Verksamhet enligt medborgarskapslagen

4.4.1. Medborgarskapslagen

I lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen) och medborgarskapsförordningen (2001:218) regleras förvärv och förlust av svenskt medborgarskap samt befrielse från svenskt medborgarskap.1 I lagens 2−13 §§ anges på vilka sätt en person kan

1 Se senaste lagändringarna trädde i kraft den 1 april 2015 (SFS 2014:481).

förvärva svenskt medborgarskap. Barn till svenska medborgare får på vissa villkor svenskt medborgarskap vid födelsen eller genom adoption, se 2 och 4 §§ medborgarskapslagen. I lagen finns också bestämmelser om att ett barn som är utländsk medborgare eller statslös efter anmälan kan förvärva svenskt medborgarskap, se 6, 7 och 10 §§ medborgarskapslagen. Exempelvis förvärvar ett barn som inte är svensk medborgare medborgarskap genom anmälan om barnet har permanent uppehållstillstånd i Sverige och hemvist här i landet sedan tre år eller, om barnet är statslöst, två år. Om barnet har fyllt tolv år krävs barnets samtycke.

Enligt 11 § medborgarskapslagen kan en utlänning som fyllt 18 år efter ansökan beviljas svenskt medborgarskap (naturalisation) om han eller hon har styrkt sin identitet, har permanent uppehållstillstånd i Sverige och hemvist här i landet sedan ett visst antal år beroende på befintligt medborgarskap. Utlänningen ska också ha haft och förväntas komma att ha ett hederligt levnadssätt. Även om kraven i bestämmelsen inte är uppfyllda kan en utlänning ändå beviljas svenskt medborgarskap om sökanden tidigare har varit svensk medborgare, sökanden är gift eller sambo med en svensk medborgare eller det annars finns särskilda skäl till det, se 12 § medborgarskapslagen. En sökande som inte kan styrka sin identitet kan få svenskt medborgarskap endast om han eller hon har haft hemvist i Sverige sedan minst åtta år och gör sannolikt att den uppgivna identiteten är riktig.

En svensk medborgare kan under de förutsättningar som anges i 14 § medborgarskapslagen förlora sitt medborgarskap eller efter ansökan befrias från sitt medborgarskap, se 15 § medborgarskapslagen.

För medborgare i Danmark, Finland, Island och Norge och övriga EES-länder finns särskilda bestämmelser i 16−20 §§ medborgarskapslagen. En nordisk medborgare kan till exempel förvärva svenskt medborgarskap efter anmälan har fyllt arton år, har hemvist i Sverige sedan fem år och under denna tid inte har dömts till frihetsberövande påföljd.

4.4.2. Handläggande myndigheter enligt medborgarskapslagen

Ärenden enligt medborgarskapslagen prövas som huvudregel av Migrationsverket. Verket beslutar i ärenden om anmälan enligt 5– 9 §§ medborgarskapslagen, ansökan om naturalisation enligt 11–13 §§ medborgarskapslagen, ansökan om bibehållande av svenskt medborgarskap enligt 14 § andra stycket medborgarskapslagen, ansökan om befrielse från svenskt medborgarskap enligt 15 § medborgarskapslagen samt ansökan om förklaring om svenskt medborgarskap enligt 21 § medborgarskapslagen. Undantag gäller för vissa anmälningar som gäller en medborgare i Danmark, Finland, Island eller Norge. Sådana anmälningar prövas av länsstyrelsen.

Ansökningar om svenskt medborgarskap ska som huvudregel ges in till Migrationsverket. Om sökanden inte är folkbokförd i Sverige ska ansökan emellertid ges in till en svensk beskickning eller ett svenskt karriärkonsulat inom vars verksamhetsområde sökanden är bosatt, se 5 § medborgarskapsförordningen. En ansökan om naturalisation som gäller en utlänning som är under 15 år och adopterad av en svensk medborgare ska dock alltid ges in till Migrationsverket.

I de fall anmälan eller ansökan görs till en beskickning eller konsulat utomlands görs den utredning som behövs för ärendets prövning där. Handlingarna i ärendet ska därefter sändas till Migrationsverket för beslut, se 7 och 8 §§medborgarskapsförordningen. I övrigt utreder Migrationsverket de ärenden som verket ska pröva.

När någon har förvärvat svenskt medborgarskap eller en ansökan om bibehållande av svenskt medborgarskap, ansökan om befrielse från svenskt medborgarskap eller ansökan om förklaring om att någon är svensk medborgare har bifallits ska den beslutande myndigheten eller domstolen skyndsamt underrätta Skatteverket om beslutet, se 9 § medborgarskapsförordningen. Även den svenska beskickning eller det svenska karriärkonsulat som har tagit emot anmälan eller ansökan ska underrättas. I underrättelsen ska även anges de barn som har förvärvat svenskt medborgarskap genom beslutet.

När någon har förvärvat svenskt medborgarskap genom anmälan eller naturalisation ska Migrationsverket eller länsstyrelsen utfärda bevis om svenskt medborgarskap, se 10 § medborgarskapsförordningen.

Migrationsverkets och länsstyrelsernas beslut enligt medborgarskapslagen överklagas till migrationsdomstol. I säkerhetsärenden överklagas dock Migrationsverkets beslut till regeringen, se 27 § medborgarskapslagen. Ett säkerhetsärende är ett ärende där Säkerhetspolisen hos Migrationsverket har föreslagit att ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i säkerhetsärenden får överklagas även av Säkerhetspolisen.

Enligt 28 § medborgarskapslagen ska en socialnämnd på begäran av regeringen, Migrationsverket, en migrationsdomstol, Migrationsöverdomstolen eller Säkerhetspolisen lämna ut uppgifter om en utlännings personliga förhållanden om uppgifterna behövs i ett ärende om svenskt medborgarskap.

4.5. Verksamhet enligt nuvarande utlänningsdataförordning m.m.

Som angetts ovan anges inte i kommittédirektiven vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Viss vägledning kan dock sökas i den nuvarande utlänningsdataförordningen. Enligt 1 § gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. I bestämmelsen definieras därefter vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen, nämligen:

1. verksamhet som gäller utlänningars vistelse i och avlägsnande från

landet,

2. verksamhet som gäller utlänningars rätt att arbeta i landet,

3. mottagande av asylsökande och vissa andra utlänningar,

4. verksamhet som rör bistånd och stöd till utlänningar som enligt

lag eller annan författning handläggs av Migrationsverket,

5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt

medborgarskap och

6. verksamhet som gäller ersättning för och bosättning av utlänning-

ar som enligt lag eller annan författning handläggs av Migrationsverket.

I detta avsnitt beskrivs annan verksamhet enligt utlännings- och medborgarskapslagstiftningen än sådan verksamhet som följer av utlänningslagen och medborgarskapslagen med utgångspunkt i den nuvarande utlänningsdataförordningens definition.

4.5.1. Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet

Utöver de bestämmelser i utlänningslagen som beskrivits ovan finns regler om utvisning i lagen om särskild utlänningskontroll. Enligt 1 § lagen om särskild utlänningskontroll får en utlänning utvisas ur landet om det är särskilt påkallat av hänsyn till rikets säkerhet. Det får också ske om det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott.

Beslut om utvisning enligt lagen om särskild utlänningskontroll meddelas av Migrationsverket, se 2 § lagen om särskild utlänningskontroll. Frågan om utvisning tas upp på ansökan av Säkerhetspolisen. Polismyndigheten eller Migrationsverket kan göra en anmälan till Säkerhetspolisen om myndigheten anser det finns anledning att anta att ett beslut om utvisning bör meddelas.

Om utlänningen vid Säkerhetspolisens ansökan redan har ansökt om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt, ska ansökningarna handläggas tillsammans enligt bestämmelserna i nu aktuell lag. Detsamma gäller om utlänningen ansöker om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt under handläggningen av ärendet om utvisning.

Migrationsverkets beslut som rör utvisning, uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt får överklagas till regeringen, se 2 a § lagen om särskild utlänningskontroll. I övrigt får beslut som meddelas av en förvaltningsmyndighet överklagas endast i de fall som anges i lagen. Säkerhetspolisen

får överklaga Migrationsverkets beslut, om beslutet kan överklagas och går Säkerhetspolisen emot.

Om Migrationsverkets utvisningsbeslut överklagas ska verket skyndsamt lämna över handlingarna i ärendet till Migrationsöverdomstolen, se 3 § lagen om särskild utlänningskontroll. Migrationsöverdomstolen ska i sin tur lämna handlingarna vidare till regeringen tillsammans med ett eget yttrande. Migrationsöverdomstolen ska bland annat yttra sig om huruvida det finns hinder mot att beslutet verkställs. Ett sådant hinder kan till exempel vara att det finns skälig anledning att anta att utlänningen i det land utvisning ska ske till skulle vara i fara att straffas med döden eller att utsättas för kroppsstraff, tortyr eller annan eller omänsklig behandling eller bestraffning. Finner Migrationsöverdomstolen att sådant hinder mot verkställighet finns, får regeringen inte avvika från den bedömningen.

Det är som huvudregel Säkerhetspolisen som verkställer beslut om utvisning och förvar enligt lagen om särskild utlänningskontroll.

I 2 a § lagen (2006:304) om rättsprövning av vissa regeringsbeslut finns en bestämmelse om rätt för EES-medborgare och deras familjemedlemmar att hos Högsta förvaltningsdomstolen ansöka om rättsprövning av ett beslut om utvisning enligt lagen om särskild utlänningskontroll. I lagen finns också bestämmelser om förvar och uppsikt i samband med beslut om utvisning.

Bestämmelser om avlägsnande finns även i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling. Beslut enligt den först nämnda lagen fattas i vissa fall av regeringen, annars av Högsta domstolen. Överlämnande enligt europeisk eller nordisk arresteringsorder beslutas av tingsrätten. Utlämning enligt sistnämnda lag får i vissa fall beslutas av Polismyndigheten, annars av en förvaltningsrätt. Det är Polismyndigheten som verkställer utlämningar och överlämningar med stöd av ovan nämnda författningar.

4.5.2. Verksamhet som gäller utlänningars rätt att arbeta i Sverige

Utlänningars rätt att arbeta i Sverige regleras i utlänningslagen och dess förordning samt föreskrifter som meddelats med stöd av dessa författningar (se avsnitt 4.3.5).

Undantag gäller för anställning av utlänning på svenskt fartyg i utrikes trafik. Av lagen (1989:532) om tillstånd till anställning på fartyg följer att utlänning som inte har permanent uppehållstillstånd eller är medborgare i ett nordiskt land ska ha anställningstillstånd. Kravet på anställningstillstånd gäller inte för en utlänning som är medborgare i en stat inom EES.

Anställningstillstånd lämnas och återkallas av Arbetsförmedlingen. Tillstånd får dessutom lämnas av den sjöarbetsförmedling som utses av regeringen eller av den myndighet som regeringen bestämmer, och av de svenska utlandsmyndigheter som Utrikesdepartementet bestämmer.

4.5.3. Mottagande av asylsökande och vissa andra utlänningar och verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

Lagen om mottagande av asylsökande m.fl.

I lagen (1994:137) om mottagande av asylsökande m.fl. (LMA) finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. Ytterligare föreskrifter ges i förordningen (1994:361) om mottagande av asylsökande m.fl. Bestämmelserna i lagen gäller enligt 1 § första stycket för tre kategorier av utlänningar:

1. utlänningar som har ansökt om uppehållstillstånd i Sverige som

flykting eller som annan skyddsbehövande eller motsvarande enligt äldre bestämmelser (asylsökande),

2. utlänningar som har beviljats uppehållstillstånd med tillfälligt

skydd eller uppehållstillstånd efter tillfälligt skydd med stöd av utlänningslagens bestämmelser och som inte är folkbokförda här i landet eller

3. utlänningar som har ansökt om uppehållstillstånd i Sverige och av

särskilda skäl medgetts rätt att vistas här medan ansökan prövas.

I lagen finns också särskilda bestämmelser om mottagande av barn under 18 år som vid ankomsten till Sverige är skilda från båda sina föräldrar eller från någon annan vuxen person som får anses ha trätt i föräldrarnas ställe eller som efter ankomsten står utan sådan ställföreträdare, dvs. ensamkommande barn.

Migrationsverket har huvudansvaret för mottagandet av de utlänningar som tillhör kategori 1 och 2 ovan. Verket ska driva förläggningar och de utlänningar som myndigheten ansvarar för ska erbjudas plats på en sådan förläggning. Oavsett om utlänningen utnyttjar en erbjuden plats eller inte ska han eller hon registreras vid en förläggning. Migrationsverket ansvarar därefter för att bistånd lämnas i enlighet med bestämmelserna i LMA. När det gäller ensamkommande barn ska Migrationsverket i stället anvisa en kommun som ska ordna boendet.

För de utlänningar som tillhör den tredje kategorin ska biståndet lämnas av socialnämnden i den kommun där utlänningen vistas.

Migrationsverket ska i lämplig omfattning ge de utlänningar de ansvarar för sysselsättning genom att de får tillfälle att delta i svenskundervisning, i skötseln av förläggningar och i annan verksamhet som bidrar till att göra vistelsen meningsfull.

En utlänning som tillhör de första två kategorierna och som är registrerad vid en förläggning har rätt till bistånd. Bistånd lämnas i form av logi, bostadsersättning, dagersättning och särskilt bidrag. En utlänning som tillhör den tredje kategorin har rätt till bidrag i form av dagersättning och särskilt bistånd.

Migrationsverkets eller socialnämndens beslut enligt LMA får överklagas till allmän förvaltningsdomstol. Migrationsverkets beslut om anvisning av ensamkommande barn får emellertid inte överklagas.

En kommun som har lämnat bidrag enligt LMA har rätt till ersättning från staten för biståndet.

Bidrag till resor

Enligt 1 § förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land får Migrationsverket besluta om statligt bidrag till utlänningar som önskar lämna Sverige och bosätta sig i ett annat land. Migrationsverket får vidare enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige besluta om bidrag av allmänna medel för kostnader för resa till Sverige för vissa anhöriga till en flykting. Bidrag får lämnas till resa för anhörig som har sammanlevt med flyktingen utanför Sverige och som är make eller maka eller ogift barn under 20 år, förälder eller syskon till den som är minderårigt barn, om det med hänsyn till barnets behov föreligger särskilda skäl, annan person som under längre tid under äktenskapsliknande former har sammanlevt med flyktingen och andra anhöriga om det finns det finns synnerliga skäl.

Förordning om återetableringsstöd för vissa utlänningar

Av förordningen (2008:778) om återetableringsstöd för vissa utlänningar följer att Migrationsverket efter ansökan får besluta om statligt bidrag, återetableringsstöd, till en utlänning under vissa förutsättningar. Det gäller om utlänningen har fått avslag på en ansökan om uppehållstillstånd som flykting, alternativt skyddsbehövande eller övrig skyddsbehövande eller motsvarande äldre bestämmelser och utlänningen avser att självmant återvända till ett land eller en del av ett land som på grund av svåra motsättningar har mycket begränsade förutsättningar för återetablering av återvändande. Som krav gäller också att det framstår som sannolikt att utlänningen kommer att tas emot i det land han eller hon avser att återvända till.

Förordning om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet

Förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet innehåller bestämmelser om särskild dagersättning till nyanlända invandrare som deltar i aktiviteter enligt en etableringsplan enligt lagen (2010:197)

om etableringsinsatser för vissa nyanlända invandrare när de vistas vid en mottagningsenhet hos Migrationsverket. Särskild dagersättning lämnas till de som saknar egna medel för sin dagliga livsföring. Sådan ersättning lämnas under högst 30 dagar från det att ersättning enligt LMA inte längre betalas ut.

Migrationsverket prövar om särskild dagersättning ska betalas ut.

Bidragsbrottslagen och lagen om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen

Ytterligare en lag som medför personuppgiftsbehandling för Migrationsverket är bidragsbrottslagen (2007:612). Lagen gäller sådana bidrag, ersättningar, pensioner och lån för personligt ändamål (ekonomiska förmåner) som enligt lag eller förordning beslutas av bland annat Migrationsverket. Den som lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott. Myndigheten ska göra anmälan till Polismyndigheten eller till Åklagarmyndigheten om det kan misstänkas att brott enligt lagen har begåtts.

Av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen följer att det finns en skyldighet för vissa myndigheter, däribland Migrationsverket, att underrätta den myndighet som fattat ett beslut om utbetalning om det finns anledning att anta att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp.

4.5.4. Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap

Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap regleras uttömmande i medborgarskapslagen och dess förordning (se avsnitt 4.4).

4.5.5. Verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

Förordning om statlig ersättning för flyktingmottagande m.m.

I förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. ges bestämmelser om statlig ersättning till kommuner och landsting för mottagande av och insatser för skyddsbehövande och vissa andra utlänningar som före utgången av november år 2010 först togs emot i en kommun. Ersättning enligt förordningen lämnas för utlänningar som har överförts till Sverige med stöd av ett särskilt regeringsbeslut, utlänningar som har fått uppehållstillstånd och som har tagits emot i kommunen efter att ha varit registrerade vid en förläggning för asylsökande, andra utlänningar som har fått uppehållstillstånd som flykting, alternativt skyddsbehövande, övrig skyddsbehövande eller på grund av synnerligen ömmande omständigheter eller motsvarande äldre bestämmelser. Ersättning lämnas också för utlänningar som har fått uppehållstillstånd på grund av sin anknytning till en utlänning enligt ovan och ansökt om uppehållstillstånd inom två år från det att den person som han eller hon har anknytning till först togs emot i en kommun.

Ersättningen beslutas och betalas ut av Migrationsverket. En schablonersättning betalas ut med utgångspunkt i utlänningens ålder. Rätt till ersättning har kommuner som genomför ett program för utlänningens introduktion i samhället. Ett sådant program ska bland annat innehålla utbildning i svenska för invandrare.

En kommun har rätt till ersättning för vissa särskilda kostnader, bland annat för ekonomiskt bistånd och stöd och hjälp i boendet och för särskilda boendeformer för service och omvårdnad enligt socialtjänstlagen (2001:453) samt för hälso- och sjukvård. Rätt till ersättning finns också för insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, assistansersättning enligt socialförsäkringsbalken, kostnader för bostadsanpassningsbidrag enligt lagen (1992:1574) om bostadsanpassningsbidrag m.m. samt kostnader för hälso- och sjukvård på grund av en sjukdom eller ett funktionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlänningens situation som skyddsbehövande. En kommun har vidare rätt till ersättning för vissa kostnader för ensamkommande barn.

Ett landsting har rätt till ersättning för kostnader för hälso- och sjukvård av en utlänning och som på grund av en sjukdom eller ett funktionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlänningens situation som skyddsbehövande måste beredas varaktig vård som ordinerats av läkare. Därutöver får Migrationsverket lämna ersättning till kommuner och landsting för betydande extraordinära kostnader för flyktingmottagande.

Som ovan nämnts gäller förordningen personer som togs emot före den 1 december 2010. Kommuner och landsting kan söka ersättning för kostnader under tillståndsåret och följande tre år. År 2014 är således det sista år som ansökan kan göras enligt förordningen. Rätten att ansöka om ersättning för kostnader för ensamkommande barn, kostnader för personer med varaktigt behov av vård och kostnader för personer som saknar arbetsförmåga kvarstår dock. För de utlänningar som tagits emot från den 1 december 2010 och framåt gäller i stället förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, se nedan.

Förordning om statlig ersättning för insatser för vissa utlänningar

Förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar innehåller bestämmelser om statlig ersättning till kommuner, landsting och kommunalförbund för mottagande av och insatser för vissa utlänningar.

En kommun som har träffat en överenskommelse om mottagande för bosättning av nyanlända utlänningar enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare har rätt till en årlig grundersättning. Vidare har en kommun som tagit emot skyddsbehövande eller vissa andra utlänningar för bosättning rätt till schablonersättning, ersättning för initiala kostnader för ekonomiskt bistånd, ersättning för ekonomiskt bistånd, stöd och service samt hälso- och sjukvård och ersättning för mottagande av ensamkommande barn. Ersättning lämnas också, i mån av tillgång på medel, för vissa särskilda kostnader, vissa hyreskostnader, extraordinära kostnader för vårdinsatser, insatser för att skapa beredskap och mottagningskapacitet samt för att utveckla samverkan

och för att stärka och utveckla verksamhet med flyktingguider och familjekontakter.

Landstingen har rätt till ersättning för vissa hälso- och sjukvårdskostnader för skyddsbehövande och vissa andra utlänningar.

Länsstyrelserna prövar frågor om och betalar ut ersättning till kommuner och kommunalförbund för insatser för att skapa beredskap och tillräcklig mottagningskapacitet för utlänningar samt för att utveckla samverkan mellan kommuner och mellan kommuner och andra organ i syfte att underlätta etableringen i samhället. Länsstyrelsen i Jönköpings län prövar frågor om och betalar ut ersättning till kommuner för att stärka och utveckla verksamheten med flyktingguider och familjekontakter som riktas i huvudsak till nyanlända utlänningar. I övrigt är det Migrationsverket som prövar och betalar ut ersättning enligt förordningen.

I de fall Migrationsverkets beslut får överklagas ska överklagande ske hos allmän förvaltningsdomstol.

Förordning om statlig ersättning för hälso- och sjukvård till asylsökande

Enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande har landsting, kommuner och öppenvårdsapotek rätt till statlig ersättning för kostnader för hälso- och sjukvård samt kostnader för tandvård och receptförskrivna läkemedel som de har för vissa utlänningar. Ersättning enligt förordningen beslutas och betalas av Migrationsverket.

Ersättning får ges för hälso- och sjukvård som lämnas till utlänningar enligt 1 § första stycket 1 och 2 LMA. Ersättning ges också för personer som fyllt arton år för omedelbar vård och vård som inte kan anstå, mödrahälsovård, förlossningsvård, preventivmedelsrådgivning, vård vid abort, vård och åtgärder enligt smittskyddslagen (2004:168) samt omedelbar tandvård och tandvård som inte kan anstå.

För personer som inte fyllt arton år samt för vissa andra ges ersättning för hälso- och sjukvård samt tandvård. Ersättning ges också för en hälsoundersökning för utlänning som avses i 1 § första stycket 1 och 2 LMA och som är registrerad hos Migrationsverket.

Öppenvårdsapotek har rätt till ersättning av staten för receptförskrivna läkemedel för vissa utlänningar.

I de fall Migrationsverkets beslut får överklagas ska överklagande ske hos allmän förvaltningsdomstol.

Förordning om statlig ersättning för asylsökande m.fl.

Bestämmelser om kommuners och landstings rätt till statlig ersättning för vissa kostnader för asylsökande och vissa andra utlänningar finns i förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Ersättning enligt förordningen beslutas och betalas av Migrationsverket.

Migrationsverket ska träffa överenskommelser med kommuner om mottagande av ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Överenskommelserna får avse dels mottagande av barn som Migrationsverket ska anvisa till kommunen enligt LMA, dels tillfälligt mottagande av barn i avvaktan på att barnet kan anvisas en kommun. En kommun som träffat en överenskommelse har rätt till en årlig ersättning om 500 000 kronor.

En kommun har rätt till ersättning för bistånd som den har betalat enligt LMA och för vissa transporter av asylsökande. En kommun har vidare rätt till ersättning för kostnader för utbildning för barn och för barn som går på förskola eller inte genomgår någon utbildning. Rätt till ersättning föreligger också bland annat i vissa fall för vård, stödinsatser eller bistånd som ges med stöd av socialtjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall. Vidare har en kommun rätt till ersättning för kostnader för god man till ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Därutöver får Migrationsverket lämna ersättning till kommuner som haft betydande extraordinära kostnader för personer som avses i 1 § LMA.

Ett landsting har rätt till ersättning för kostnader för den hälso- och sjukvård som det lämnat till personer som vistas här med stöd av ansökan eller beslut om tidsbegränsat uppehållstillstånd enligt 5 kap. 15 § UtlL.

Migrationsverkets beslut överklagas till allmän förvaltningsdomstol.

4.6. Övrig verksamhet

Det finns även annan verksamhet på utlänningsområdet som har nära koppling till den verksamhet som beskrivs ovan. Här följer exempel på sådan verksamhet.

4.6.1. Migrationsverket

Sverige är ett av de länder som erbjuder FN:s flyktingorgan UNHCR en årlig flyktingkvot. Regeringen fastställer årligen ramarna för vidarebosättning till Sverige och storleken på den svenska flyktingkvoten fattas genom budgetpropositionen. År 2014 var den svenska flyktingkvoten 1 900 personer. Det är Migrationsverket som har uppdraget att svara för vidarebosättning av flyktingar och andra skyddsbehövande. Urvalet sker antingen genom s.k. delegationsuttagning eller genom dossieruttagning. Delegationsuttagning innebär att utsända från Migrationsverket intervjuar flyktingar och skyddsbehövande på plats i det land där de befinner sig. Vid dossieruttagning skickar UNHCR sin utredning till Migrationsverket som fattar beslut utifrån detta underlag.

Som ovan nämns är Migrationsverket ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden. Europeiska flyktingfonden tillkom efter Rådets beslut 2000/596/EG av den 28 september 2000. Genom detta beslut inrättades Europeiska flyktingfonden för perioden 1 januari 2005−31 december 2010. Genom Europaparlamentets och rådets beslut 573/2007/EG av den 23 maj 2007 om inrättande av Europeiska flyktingfonden inrättades en europeisk flyktingfond för perioden 2008–2013. Syftet med fonden är att verka för en gemensam solidarisk politik mellan EU:s medlemsländer och att bidra till uppbyggnaden av ett gemensamt asylsystem. Fonden stöder projekt som vänder sig till asylsökande, flyktingar och skyddsbehövande. Flyktingfonden III startade under 2008 och pågick till 2013. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015.

Den s.k. återvändandefonden inrättades genom Europaparlamentets och rådets beslut nr 575/2007/EG av den 23 maj 2007 om inrättande av Europeiska återvändandefonden för perioden 2008– 2013 som en del av det allmänna programmet ”Solidaritet och hante-

ring av migrationsströmmar”. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015. Fonden finansierar projekt som handlar om självmant återvändande, tvångsvis återvändande och frivillig återvandring i syfte att förbättra förhållanden för asylsökande som väljer att återvända självmant innan asylärendet har avgjorts, personer med permanent uppehållstillstånd som flyktingar eller skyddsbehövande och som frivilligt vill återvandra och personer som har fått avslag på sin ansökan och återvänder frivilligt eller med tvång.

4.6.2. Arbetsförmedlingen och Försäkringskassan

Lagen om etableringsinsatser för vissa nyanlända invandrare

Lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare innehåller bestämmelser om insatser som har till syfte att underlätta och påskynda vissa nyanlända invandrares etablering i arbets- och samhällslivet. Insatserna ska enligt 1 § ge de nyanlända förutsättningar för egenförsörjning och stärka deras aktiva deltagande i arbets- och samhällslivet. Bestämmelserna i lagen gäller nyanlända invandrare i viss ålder som beviljats uppehållstillstånd enligt vissa i lagen angivna bestämmelser.

Arbetsförmedlingen är ansvarig för att samordna etableringsinsatser enligt lagen och vara stödjande och pådrivande i förhållande till berörda parter. Även länsstyrelserna har skyldighet att främja samverkan mellan berörda kommuner och myndigheter, företag och organisationer som anordnar aktiviteter för nyanlända. Varje kommun är skyldig att se till att nyanlända erbjuds samhällsorientering.

Arbetsförmedlingen ska upprätta en individuell plan med insatser för att underlätta och påskynda den nyanländes etablering, en s.k. etableringsplan. Etableringsplanen ska utformas tillsammans med den nyanlände och i samverkan med berörda kommuner, myndigheter, företag och organisationer. Planen ska minst innehålla utbildning i svenska för invandrare eller motsvarande utbildning för den som har rätt att delta i sådan utbildning enligt skollagen (2010:800), samhällsorientering och aktiviteter för att underlätta och påskynda den nyanländes etablering i arbetslivet.

En nyanländ som deltar i aktiviteter enligt en etableringsplan har rätt till etableringsersättning och under vissa förutsättningar även

etableringstillägg och bostadsersättning. Detsamma gäller en nyanländ som medverkar till upprättandet av en etableringsplan och som inte har rätt till bistånd enligt LMA.

Kommuner som har haft kostnader till följd av åtaganden enligt lagen har rätt till ersättning enligt förordningen om statlig ersättning för insatser för vissa utlänningar (se avsnitt 4.5.5).

Förordning om ersättning till vissa nyanlända invandrare

Förordningen (2010:407) om ersättning till vissa nyanlända invandrare innehåller föreskrifter om ersättning enligt lagen om etableringsinsatser för vissa nyanlända invandrare. Den som medverkar i upprättandet av en etableringsplan och som deltar i aktiviteter enligt planen har rätt till etableringsersättning. En nyanländ som har rätt till etableringsersättning har också rätt till etableringstillägg om han eller hon har hemmavarande barn. En nyanländ som har rätt till etableringsersättning och som är ensamstående utan hemmavarande barn har rätt till bostadsersättning.

Frågor om etableringsersättning prövas av Arbetsförmedlingen. Försäkringskassan prövar frågor om etableringstillägg och bostadsersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning.

Förordning om mottagande för bosättning av vissa nyanlända invandrare

Förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare innehåller bland annat bestämmelser om anvisning av bosättning för vissa nyanlända invandrare. Med nyanländ avses en person som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare, dock utan begränsning till viss ålder.

Det åligger Migrationsverket att beräkna mottagningsbehovet, dvs. hur många nyanlända som omfattas av lagens tillämpningsområde och som har behov av plats för bosättning i en kommun under det kommande året. Arbetsförmedlingen ska, efter samråd med länsstyrelserna och Migrationsverket, fastställa en fördelning av mottagningsbehovet i varje län (länstal). Länsstyrelsen ska träffa

överenskommelser med kommuner inom länet om mottagande för bosättning av nyanlända.

Arbetsförmedlingen ska, när det finns behov, anvisa bosättning i en kommun till en nyanländ som har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare, om uppehållstillstånd har beviljats på annan grund än enligt 5 kap. 2 § UtlL, dvs. en utlänning som tagits emot i Sverige inom ramen för ett beslut som regeringen har meddelat om överföring av skyddsbehövande till Sverige, s.k. vidarebosättning. Anvisning får också göras innan det är klarlagt att den nyanlände har rätt till en etableringsplan. Den nyanlände ska anvisas en kommun som har träffat överenskommelse med en länsstyrelse om mottagande för bosättning.

Migrationsverket ska anvisa bosättning i en kommun till nyanlända som har beviljats uppehållstillstånd enligt 5 kap. 2 § UtlL. Detsamma gäller nyanlända som inte har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare och som har behov av anvisning för bosättning i en kommun.

Förordning om etableringssamtal och etableringsinsatser för vissa nyanlända invandrare

Förordningen (2010:409) om etableringssamtal och etableringsinsatser för vissa nyanlända invandrare innehåller föreskrifter om etableringssamtal samt om etableringsinsatser och anordnares uppgiftsskyldighet enligt lagen om etableringsinsatser för vissa nyanlända invandrare. Arbetsförmedlingen ska genomföra etableringssamtal med en nyanländ snarast möjligt efter det att han eller hon har beviljats uppehållstillstånd. Vid etableringssamtalet ska Arbetsförmedlingen kartlägga den nyanländes utbildningsbakgrund, tidigare arbetslivserfarenhet, behov av utbildning och andra insatser samt andra förhållanden av betydelse för hans eller hennes etablering på arbetsmarknaden. Etableringssamtalet ska även omfatta frågan om framtida boende. När den nyanlände har tagits emot för bosättning i en kommun ska Arbetsförmedlingen upprätta en etableringsplan för en nyanländ.

Anordnare av aktiviteter för nyanlända ska till Arbetsförmedlingen lämna de uppgifter som är av betydelse för tillämpningen av lagen om etableringsinsatser för vissa nyanlända invandrare och förordningen. Om det behövs ska Migrationsverket lämna uppgifter

till Arbetsförmedlingen i fråga om en nyanländs utbildningsbakgrund, tidigare arbetslivserfarenhet och andra uppgifter av betydelse för den nyanländes etablering på arbetsmarknaden.

4.6.3. Kommuner

Lagen om samhällsorientering för vissa nyanlända invandrare

I lagen (2013:156) om samhällsorientering för vissa nyanlända invandrare finns bestämmelser om kommuners ansvar att erbjuda samhällsorientering för vissa nyanlända invandrare. Lagen gäller inte nyanlända som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare. Varje kommun ska erbjuda samhällsorientering till de nyanlända invandrare som är folkbokförda i kommunen och som omfattas av lagen. Kommunen ska aktivt verka för att nå de nyanlända i kommunen som har rätt till samhällsorientering och motivera dem att delta i samhällsorienteringen. Förordningen (2010:1138) om samhällsorientering för vissa nyanlända invandrare innehåller föreskrifter om den samhällsorientering som varje kommun ska se till att nyanlända invandrare erbjuds enligt lagen om etableringsinsatser för vissa nyanlända invandrare och lagen om samhällsorientering för vissa nyanlända invandrare. Samhällsorienteringen syftar till att underlätta de nyanländas etablering i arbets- och samhällslivet och ska ge en grundläggande förståelse för det svenska samhället och en grund för fortsatt kunskapsinhämtande. Målet ska vara att deltagarna utvecklar kunskap om de mänskliga rättigheterna och de grundläggande demokratiska värderingarna, den enskildes rättigheter och skyldigheter i övrigt, hur samhället är organiserat och praktiskt vardagsliv.

Förordning om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl.

Förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl. reglerar utbildning inom det offentliga skolväsendet för barn och ungdomar som avses i 1 § första stycket LMA. Det är barn och ungdomar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skydds-

behövande eller motsvarande äldre bestämmelser, har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd och som inte är folkbokförda här i landet eller har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas. I förordningen ges vidare föreskrifter om utbildning inom det offentliga skolväsendet för barn och ungdomar som inte är folkbokförda här i landet och som vistas här enligt ett beslut om tidsbegränsat uppehållstillstånd. I förordningen regleras också förskoleverksamhet och skolbarnsomsorg. Barn som omfattas av bestämmelserna ska anvisas plats i förskoleklass och ha rätt att få utbildning i grundskolan, den obligatoriska särskolan, specialskolan och sameskolan på samma villkor som barn som är bosatta i Sverige, med den skillnaden att rätten inte medför någon skolplikt. Ungdomar ska som huvudregel erbjudas utbildning i gymnasieskolan och gymnasiesärskolan på samma villkor som ungdomar som är bosatta i Sverige.

Hemkommunen ska svara för att utbildning, förskoleverksamhet och skolbarnsomsorg enligt denna förordning kommer till stånd. Med hemkommun avses den kommun där barnet vistas.

4.6.4. Landsting

Lagen om hälso- och sjukvård åt asylsökande m.fl.

Lagen (2008:344) om hälso- och sjukvård åt asylsökande m.fl. innehåller bestämmelser om landstingens skyldigheter att, utöver vad som följer av hälso- och sjukvårdslagen (1982:763) samt tandvårdslagen (1985:125), erbjuda hälso- och sjukvård samt tandvård åt asylsökande och vissa andra utlänningar. Bestämmelserna omfattar utlänningar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skyddsbehövande eller motsvarande äldre bestämmelser eller har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd och som inte är folkbokförda här i landet. Reglerna gäller även för utlänning som hålls i förvar och som inte har placerats i kriminalvårdsanstalt, häkte eller polisarrest eller vistas här med stöd av tidsbegränsat uppehållstillstånd.

Ett landsting ska erbjuda sådana utlänningar som inte har fyllt 18 år vård i samma omfattning som erbjuds den som är bosatt inom

landstinget. Den som har fyllt 18 år ska erbjudas vård som inte kan anstå, mödrahälsovård, vård vid abort och preventivmedelsrådgivning. Ett landsting ska vidare, om det inte är uppenbart obehövligt, erbjuda utlänningar som omfattas av lagen en hälsoundersökning.

Landstinget har rätt till ersättning från staten för kostnader för hälso- och sjukvård och tandvård, se avsnitt 4.5.5.

4.6.5. Centrala studiestödsnämnden

Enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar handlägger Centrala studiestödsnämnden ärenden om beviljande, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Under vissa förutsättningar kan i förordningen definierade personer som har behov av pengar till hemutrustning beviljas lån. Ett sådant behov kan anses föreligga då utlänningen flyttar in i en omöblerad bostadslägenhet, men även i andra fall. I förordningen finns bestämmelser om lånets storlek och lånevillkor, amortering, ränta, förfarandet i låneärenden m.m.

Centrala studiestödsnämnden får med hjälp av automatiserad behandling föra ett personregister för administration av lån enligt förordningen. Personuppgifter i registret får behandlas för fullgörande av uppgiftsskyldighet enligt lag eller förordning.

4.6.6. Övrigt

Lagen (2005:429) om god man för ensamkommande barn innehåller bestämmelser om god man i vissa fall för den som är under 18 år och som är utländsk medborgare eller statslös. God man ska förordnas av Överförmyndaren efter ansökan av Migrationsverket eller socialnämnden i den kommun där barnet vistas. Överförmyndaren får också självmant ta upp frågan.

Förordningen (2008:63) om statsbidrag till organisationer bildade på etnisk grund innehåller bestämmelser om statsbidrag till organisationer bildade på etnisk grund. Syftet med statsbidraget är att stärka organisationernas egna initiativ och verksamheter som rör kultur, språk, identitet och delaktighet i samhället. Frågor om bidrag enligt

denna förordning prövas av Myndigheten för ungdoms- och civilsamhällesfrågor.

5. Behandling av personuppgifter inom verksamhetsområdet

5.1. Inledning

Enligt utredningsdirektiven ska utredaren noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren ska också analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.

I utredningsdirektiven anges att verksamhet enligt utlännings- och medborgarskapslagstiftningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. Nedan följer en översiktlig beskrivning av den personuppgiftsbehandling på verksamhetsområdet som för närvarande utförs av Migrationsverket, domstolarna, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna.

5.2. Migrationsverket

5.2.1. Centrala utlänningsdatabasen

Centrala utlänningsdatabasen (CUD) är den centrala databasen inom Migrationsverket. CUD utgör en databas till vilket ett antal applikationer med olika funktioner, till exempel Wilma och Skapa, se nedan, är kopplat. CUD innehåller samtliga Migrationsverkets enheters ärendehantering av bland annat tillståndsärenden, medborgarskapsärenden, diarieföring, asylprövningar, flyktingmottagning, bidragshantering och kommunplaceringar.

Personuppgifterna i CUD behandlas med stöd av personuppgiftslagen (1998:204) och förordningen (2001:720) om behandling av personuppgifter enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen).

Behörighet till de olika applikationerna administreras centralt inom Migrationsverket. Innan behörighet medges görs en prövning om och i så fall vilka delsystem varje anställd ska ha åtkomst till. De handläggare, beslutsfattare och assistenter som har behörighet får bara tillgång till de delar av systemet, s.k. applikationer, som de behöver för att kunna fullgöra sina arbetsuppgifter. För att komma in i verkets datasystem krävs ett särskilt kort och en kod. De anställdas slagningar m.m. loggas och loggarna arkiveras.

När en person för första gången blir aktuell i ett ärende hos Migrationsverket läggs en dossier upp. I denna dossier samlas sedan alla uppgifter i ärendet och, om det är aktuellt, senare ärenden som rör personen. Alla uppgifter i CUD är således knutna till en viss individ. Migrationsverket använder i dag (maj 2015) både manuella personakter och elektroniska personakter. Verkets mål är att övergå till endast elektroniska akter.

I november 2014 innehöll CUD information om 3 877 189 personer. CUD innehåller en mängd personuppgifter, även känsliga sådana. Det rör sig inte bara om uppgifter avseende de utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att besöka, bo, arbeta eller studera i Sverige, utan även de som ansökt om till exempel uppehålls- eller arbetstillstånd men som fått avslag på sina ansökningar. Även utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är registrerade.

De personuppgifter i CUD som bedöms vara inaktuella överfördes tidigare till en avställdadatabas. Sedan januari år 2015 överförs sådana uppgifter i stället till ett e-arkiv (se avsnitt 5.2.13).

5.2.2. Stamm

Stamm (System för tillstånd, asyl, mottagning och medborgarskap) var tidigare Migrationsverkets centrala databas. De flesta funktioner har nu flyttats över till andra system. Systemet används i dag främst för Migrationsverkets administration av bidrag till asylsökande. Detta system är dock under avveckling.

5.2.3. Wilma och W2

Migrationsverket är processansvarigt för det webbaserade ärendehanteringssystemet Wilma (Web-based Information system Linking Migration Authorities). Genom Wilma har handläggare på Migrationsverket åtkomst till uppgifter i CUD för handläggning av ärenden om uppehållstillstånd, visering och bosättning.

Polismyndigheten och Säkerhetspolisen har åtkomst till viss information i CUD via Wilma. Informationen används vid Polismyndighetens verksamhet som avser in- och utresekontroll, utlännings vistelse i och avlägsnande från Sverige samt Schengenviseringar. Polismyndighetens och Säkerhetspolisens åtkomst regleras i den s.k. Wilmaöverenskommelsen (jämte bilagorna Wilma I–III), se avsnitt 7.15.1.

Genom ett system som kallas W2 har utlandsmyndigheterna åtkomst till uppgifter i CUD. Utlandmyndigheterna har på detta sätt tillgång till uppgifter som behövs för prövning av ansökan om visum, uppehållstillstånd eller arbetstillstånd.

5.2.4. Vision

Ett Schengenland kan begära att bli konsulerat i ärenden om visering och upphållstillstånd avseende vissa grupper av utlänningar. För detta ändamål har ett automatiserat meddelandehanteringssystem, Vision, byggts upp inom Schengensamarbetet (se avsnitt 4.3.3). Systemet förmedlar rådfrågningar mellan Schengenstaterna och har en egen databas, som innehåller information om bland annat individer, passinformation och resans ändamål. Migrationsverket har ansvar för den svenska delen av Vision. Vision används främst av anställda på Migrationsverkets tillståndsenhet i Norrköping och på utlandsmyndigheterna.

5.2.5. SKAPA

Skapa är ett it-stöd som används inom verksamhetsområdena mottagning och asylprövning. Programmet gör det möjligt att lägga upp en individuell plan för den asylsökande och på så sätt åskådligöra och styra asylprocessen.

5.2.6. KUB

Systemet för kortutbetalning av bistånd (KUB) används för att administrera kort och konton för utbetalningar av bidrag och ersättningar till asylsökande. Genom systemet kan anställda på Migrationsverkets mottagningsenheter och Migrationsverkets handläggare bland annat beställa och lämna ut bankkort, spärra konton och begära inspektioner av korttransaktioner som kortinnehavaren har gjort.

5.2.7. LMA-kortsystemet

Utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska få en personhandling försedd med fotografi. Personhandlingen kallas tillfälligt LMA-kort för utlänning i Sverige. LMA-korten finns för att en asylsökande ska kunna visa att han eller hon har rätt att vistas i landet i väntan på att deras ärende avgörs. Ett giltigt LMA-kort ger innehavaren rätt till ett reducerat pris när det gäller sjukvård och medicin.

LMA-kortsystemet används främst av Migrationsverkets receptionspersonal samt till viss del mottagningshandläggare ute på mottagningsenheterna för att bland annat skapa LMA-kortsunderlag, skriva ut foton samt beställa de asylsökandenas kort.

5.2.8. Elektronisk dokumenthantering

Migrationsverkets system för elektronisk dokumenthantering, DHS, nås genom en av applikationerna, till exempel Skapa eller Wilma. Det används vid upprättande och lagring av olika typer av dokument, exempelvis för att skriva ett beslut eller spara ett inskannat dokument.

5.2.9. Elis och Eskil

Elis är Migrationsverkets system för statistik. Systemet hämtar uppgifter från CUD för framställning av statistiskt underlag. I Elis förekommer inte uppgifter på individnivå.

Eskil används inom Migrationsverket för arbetsplanering. Genom Eskil är det möjligt att göra sökningar i CUD på enhetsnivå och få

fram information till exempel om öppna ärenden, vilket informationsspråk de sökande har (som hjälp vid tolkbeställning), vilka sökanden som är klara för att flytta m.m. För att få tillgång till Eskil krävs särskild behörighet. Sökning kan bara ske på ärenden på den egna enheten inom Migrationsverket.

5.2.10. Lifos

För att Migrationsverkets beslut ska bli korrekta är det viktigt att myndighetens handläggare och beslutsfattare har tillgång till god information om nationell, internationell- och EU-rättslig praxis på utlänningsrättens område samt aktuell information om de olika länder som är aktuella i myndighetens ärenden.

Enligt 8 § nuvarande utlänningsdataförordning får Migrationsverket föra automatiserade register får återsökning av vägledande avgöranden, rättsutredningar och rättslig information, (dvs. rättsfallsregister). Av 12 § samma förordning följer att Migrationsverket får föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder (landinformationsregister).

Lifos innehåller Migrationsverkets rättsfallssamling och landinformationsregister. Lifos är en egen databas och saknar koppling till CUD. Lifos rättsfallssamling innehåller Migrationsverkets egna beslut, domar från migrationsdomstolarna och Migrationsöverdomstolen, domar från EU-domstolen och internationella domar. Avgörandena indexeras med relevanta ämnesord för att underlätta sökningen. Rättsfallsregistret får inte innehålla personuppgifter som direkt pekar ut den registrerande (8 § utlänningsdataförordningen).

Lifos landinformationsregister är i första hand ett arbetsredskap för Migrationsverkets personal. Större delen av informationen i Lifos är emellertid också tillgänglig för allmänheten via verkets webbplats. Viss information finns dock bara tillgänglig internt på grund av sekretess, upphovsrättsliga regler eller personuppgiftsskyddsbestämmelser. För att öka insynen finns bland annat ändå sådana dokuments titlar tillgängliga på verkets hemsida jämte en motivering till varför dokumenten inte är tillgängliga.

I Lifos finns allmän bakgrundsinformation som myndighetens handläggare kan använda vid handläggning och beslutsfattande. För de länder varifrån ett större antal asylsökande kommer finns land-

översikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationen i Lifos inhämtas vid resor som verkets egna anställda företar men också från till exempel Utrikesdepartementet, utlandsmyndigheter samt rapporter från UNHCR eller frivilligorganisationer. En särskild enhet på Migrationsverket ansvarar för insamling av uppgifter till Lifos och för att uppgifterna är uppdaterade och korrekta.

I Lifos finns personuppgifter, däribland känsliga sådana. I den mån identiteten saknar betydelse för informationens värde avidentifieras dock alla personuppgifter innan de görs tillgängliga i Lifos. Eftersom Lifos innehåller bland annat integritetskänslig information, krävs särskild behörighet för Migrationsverkets anställda för åtkomst till Lifos olika delar.

5.2.11. VIS

Migrationsverket är registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i informationssystemet för viseringar (VIS) enligt artikel 41.4 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), se 3 § 10 förordningen (2007:996) med instruktion för Migrationsverket. Myndigheten ska föra register över all behandling av personuppgifter i VIS och de personer som är behöriga att föra in eller använda uppgifter i VIS. Migrationsverket är vidare den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.

5.2.12. Register över fingeravtryck och fotografier

Migrationsverket för med stöd av 9 § nuvarande utlänningsdataförordning ett register över fingeravtryck och fotografier (vanligen benämnt Migrationsverkets fingeravtrycksregister). Avsikten med detta register är att underlätta identifikationen av den som söker asyl i Sverige. Migrationsverkets register över fingeravtryck och fotografier behandlas närmare i avsnitt 7.10.

5.2.13. Avställdadatabasen och e-arkivet

Mellan år 2002 och år 2007 överfördes inaktuell information i CUD till en särskild databas, Avställdadatabasen. Under 2014 avvecklades Avställdadatabasen och ersattes med ett elektroniskt arkiv, e-arkivet. Information om de 1,6 miljoner individer som fanns i Avställdadatabasen har förts över till e-arkivet.

Uppgifter om en person i CUD ska överföras till e-arkivet 1) tre år efter att en person fått svenskt medborgarskap, 2) tre år efter att en person avlidit, 3) åtta år efter att gällande tillstånd löpt ut eller 4) sex år efter att gällande visum löpt ut. Härrör uppgifterna från ett ärende som inte gäller tillstånd, visering eller medborgarskap överförs uppgifterna tre år efter personens senaste kontakt med Migrationsverket.

När informationen lagrats i e-arkivet tas all information om individen bort från CUD.

5.3. Domstolarna

Sedan den 1 oktober 2001 regleras all automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna i fyra förordningar:

  • förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,
  • förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling,
  • förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, och
  • förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling.

Samtliga fyra förordningar gäller utöver personuppgiftslagen vid automatiserad behandling i den rättskipande och rättsvårdande verksamheten. Manuella register eller den administrativa verksamheten omfattas således inte av regleringarna. För närvarande pågår arbetet med en ny domstolsdatalag som ska gälla för domstolarnas och nämn-

dernas behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten, se avsnitt 6.7.

Vera är Sveriges Domstolars system för målhantering. Alla handlingar som kommer in till en domstol och som hör till ett mål registreras och hanteras i Vera. Under målhanteringen används systemet till registrering av mål, aktörer, bokning av förhandlingar och andra möten, dokument- och delgivningshantering, bevakning av frister, händelseregistrering, expediering av domar och beslut m.m. Samtliga domstolar använder Vera och systemet är anpassat efter domstolsslag och behörighet. Skillnaderna består av vilka funktioner som finns tillgängliga och vilka värden som är möjliga att registrera.

En domstol har tillgång till sin egen information och viss information vid andra domstolar. Om ett mål överklagas kan respektive över- och underrätt ta del av information i alla instanser där målen finns. Undantag gäller dock för handlingar som har sekretessmarkerats i Verasystemet. Sådana handlingar blir inte tillgängliga för andra myndigheter.

I Vera finns möjlighet att inom den egna domstolen söka efter mål och avgöranden. Vissa domstolar har även möjlighet att söka mål och definitiva avgöranden på andra domstolar.

Från Vera sker ett informationsutbyte med andra myndigheters system och med system inom Sveriges Domstolar. I nuläget sker informationsutbyte med Polismyndighetens, Åklagarmyndighetens, Skatteverkets och Brottsförebyggande rådets system och system inom Domstolsverket.

Se vidare om domstolarnas personuppgiftsbehandling i avsnitt 6.7.

5.4. Polismyndigheten och Säkerhetspolisen

Hos Polismyndigheten och Säkerhetspolisen bedrivs viss verksamhet som särskilt rör utlänningar. Här nedan redovisas översiktligt personuppgiftsbehandlingen på detta verksamhetsområde.

Behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens brottsbekämpande verksamhet regleras av bestämmelserna i polisdatalagen (2010:361, PUL).

5.4.1. Polisens ärendehanteringssystem

År 2013 infördes hos polismyndigheterna ett nytt ärendehanteringssystem för allmänna ärenden, PÄr (Polisens ärendehanteringssystem). Systemet, som numera är helt infört, har ersatt det allmänna diariet A-Rar hos Polismyndigheten.

5.4.2. Personefterlysnings- och U-boksregistret

Personefterlysnings- och U-boksregistret utgör det s.k. EPU-systemet (efterlysta personer och U-boken). Systemet är centralt och förs av den Nationella operativa avdelningen vid Polismyndigheten.

Personefterlysningssystemet innehåller uppgifter om personer som av någon anledning eftersöks av en myndighet.

U-boken innehåller uppgifter om i Sverige meddelade lagakraftvunna avvisnings- och utvisningsbeslut som har förenats med ett förbud att utan särskilt tillstånd återresa till Sverige.

Om en utlänning inte är tillgänglig när beslutet om avvisning eller utvisning ska verkställas kan Polismyndigheten fatta ett beslut om att efterlysa honom eller henne.

5.4.3. Schengens informationssystem och SIRENE

Schengens informationssystem (SIS) är ett för Schengenländerna gemensamt informationssystem. SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Alla uppgifter som registreras lagras i den centrala databasen. Den centrala databasen kopieras till alla Schengenländers nationella SIS, som därmed är en kopia av det centrala systemet.

I SIS-registret kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att en viss åtgärd ska vidtas när en efterlyst person eller ett efterlyst fordon påträffas.

SIS innehåller bland annat

  • uppgifter om personer som är efterlysta och begärda utlämnade,
  • en ”spärrlista” över utlänningar som ska nekas tillträde till

Schengenområdet på grund av utvisningsbeslut eller avvisningsbeslut med förbud att återresa,

  • uppgifter om försvunna personer,
  • spaningsåtgärder kring personer eller fordon där uppgifter önskas om gränspassage m.m. och
  • efterlyst gods som fordon, skjutvapen, blankodokument, legitimationshandlingar och sedlar.

Bestämmelser om behandling av personuppgifter i den svenska delen av SIS finns i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem.

Enligt 1 § lagen om Schengens informationssystem ska Polismyndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS. Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

Lagen innehåller bestämmelser om vilka framställningar som får föras in i registret. Där specificeras också vilka uppgifter som får registreras i SIS, till exempel namn, kön, särskilda bestående fysiska kännetecken, fotografier, fingeravtryck, syftet med framställningen samt begärd åtgärd. Känsliga personuppgifter får inte registreras i SIS. Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Polismyndigheten endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning.

I lagen och dess förordning anges vilka myndigheter som har rätt att få uppgifter ur registret och på vilket sätt. Uppgifter som finns i registret ska lämnas ut om det begärs av åklagarmyndigheterna (Ekobrottsmyndigheten och Åklagarmyndigheten), Polismyndigheten, Tullverket eller Kustbevakningen när dessa myndigheter utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott eller av Polis-

myndigheten i dess verksamhet för att upprätthålla allmän ordning och säkerhet.

Regeringskansliet, Migrationsverket, migrationsdomstolarna, Migrationsöverdomstolen och svenska utlandsmyndigheter ska ha tillgång till uppgifter i spärrlistan för prövning av ansökningar om visering och uppehållstillstånd.

Polismyndigheten, Tullverket och Kustbevakningen får ha direktåtkomst till SIS. Migrationsverket och svenska utlandsmyndigheter får ha direktåtkomst till uppgifter i spärrlistan och Migrationsverket får ha direktåtkomst till hela SIS när verket bistår Polismyndigheten i gränskontrollverksamhet.

Schengensamarbetet och SIS förutsätter att det hos varje medlemsland finns en central funktion som fungerar som en länk för informationsutbytet mellan länderna. Denna funktion benämns SIRENE (Supplementary Information Requested at the National Entries). Varje medlemstat har ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS och fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myndigheter. I Sverige är Sirenekontoret integrerat i den Internationella sektionen vid den Internationella enheten vid den Nationella operativa avdelningen.

5.4.4. Fingeravtrycks- och signalementsregister

Enligt 4 kap. 11 § PDL får Polismyndigheten föra fingeravtrycks- eller signalementsregister i enlighet med vissa bestämmelser i lagen.

I fingeravtrycks- och signalementsregister får Polismyndigheten behandla uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken eller har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott. Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden.

Enligt 4 kap. 17 § PDL får Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket medges direkt-

åtkomst till personuppgifter i fingeravtrycks- och signalementsregister.

5.5. Utlandsmyndigheterna

Som ovan anförts har utlandmyndigheterna via W2 tillgång till CUD för de uppgifter som behövs för handläggning av viseringsärenden. Utlandsmyndigheterna kan också göra förfrågningar i Vision via W2. Myndigheterna har vidare genom Wilma tillgång till de uppgifter som behövs vid handläggning av olika tillståndsärenden.

6. Allmänna utgångspunkter vid utformandet av en utlänningsdatalag

6.1. Inledning

Som utredningen angett i avsnitt 3.2 och som ytterligare kommer att utvecklas nedan förstärktes skyddet för den personliga integriteten genom att en bestämmelse härom infördes i 2 kap. 6 § andra stycket regeringsformen (RF). Bestämmelsen innebär att var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock göras i lag. I övergångsbestämmelsen till ändringen anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst till och med den 31 december 2015.

Allmänna bestämmelser till skydd för den personliga integriteten vid behandling av personuppgifter finns i personuppgiftslagen (1998:204, PUL). Om det i en annan lag eller förordning finns bestämmelser som avviker från personuppgiftslagen, ska de bestämmelserna dock gälla i första hand. För personuppgiftsbehandling inom verksamhet enligt utlännings- och medborgarlagstiftningen finns sådana bestämmelser i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen).

I utredningens direktiv anförs att mycket talar för att utlänningsdataförordningen inte är förenlig med grundlagen. Utredningen har därför fått i uppdrag att ta fram ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I denna del av uppdraget ingår enligt utredningens

direktiv att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredningen ska i samband därmed analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.

Nedan följer en redogörelse för de allmänna utgångspunkter som utredningen har att förhålla sig till vid utformandet av förslaget.

6.2. Krav på lagreglering enligt regeringsformen

6.2.1. Regeringsformen

Som tidigare anförts infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen, se 2 kap. 21 § RF. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Den nya bestämmelsen innebär bland annat att behandling av information om enskildas personliga förhållanden som sker utan den enskildes samtycke som innebär övervakning eller kartläggning av den enskilde och som innebär ett betydande intrång i den personliga integriteten måste anges i lag.

6.2.2. Enskildas personliga förhållanden

Grundlagsbestämmelsen tar sikte på att skydda information om enskildas personliga förhållanden. Med enskildas personliga förhållan-

den avses enligt förarbetena vitt skilda slag av information som är

knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel (se prop. 2009/10:80 s. 177). Även fotografisk

bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.

6.2.3. Samtycke

När det gäller frågan om samtycke anförs det i propositionen att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande (se prop. 2009/10:80 s. 178 f.). Om åtgärderna däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. Bestämmelserna om samtycke i personuppgiftslagen bör enligt förarbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för ett giltigt samtycke, se vidare härom i avsnitt 3.5.1.

6.2.4. Övervakning och kartläggning

Inte varje slags behandling av uppgifter om enskildas personliga förhållanden som sker utan samtycke ska anses som så integritetskänslig att det är motiverat att låta den omfattas av integritetsskyddet i grundlagen (se prop. 2009/10:80 s. 180). Endast åtgärder som innebär kartläggning eller övervakning av enskildas personliga förhållanden avses.

När det gäller begreppen övervakning och kartläggning anförs i propositionen att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas förhållanden, även om avsikten inte är att kartlägga enskilda. Så torde vara fallet när det gäller ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser och även hos de statistikansvariga myndigheterna. Flera av dessa uppgiftssamlingar omfattar en stor andel av

landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter.

Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.

Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel nämns i ovan nämnd proposition polisens belastningsregister. Vidare konstateras i propositionen att en rad åtgärder som innefattar insamling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, teleavlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid bedömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.

6.2.5. Betydande integritetsintrång

Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär (se prop. 2009/10:80 s. 183). Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Vidare kan mängden uppgifter vara av betydelse. I detta sammanhang anförs det att Konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framfört att

målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedömning (se bland annat bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78). Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i en inte obetydlig omfattning (se prop.1990/91:60 s. 58).

Vid bedömningen av vad som kan anses utgöra ett betydande intrång bör fler omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen. Däremot bör den närmare avgränsningen av grundlagsbestämmelsens tillämpningsområde inte påverkas av sekretesslagstiftningens utformning.

Den omständigheten att sekretesslagstiftningen innehåller en presumtion för offentlighet, dvs. ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utanför det utvidgade grundlagsskyddet.

Det förhållandet att de uppgifter som behandlas av en myndighet omfattas av sekretess med ett omvänt skaderekvisit bör inte heller utgöra en omständighet som per automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av den nya grundlagsbestämmelsens tillämpningsområde.

En annan omständighet att beakta kan vara på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.

I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten (se prop. 2009/10:80 s. 185). Vad som utgör ett betydande integritetsintrång får bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, till exempel den fortsatta tekniska utvecklingen. I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag.

6.2.6. Vilken reglering omfattas?

I ovan nämnd proposition konstateras att den nya grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF innebär att betydande intrång i den personliga integriteten som sker utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden får vidtas bara om det finns stöd i lag för sådan behandling. Det anges vidare att om en övergångsreglering inte införs kommer delar av sådan informationshantering hos det allmänna som sker med stöd av föreskrifter i förordning, eller som endast delvis regleras i lag och i övrigt sker enligt bestämmelser på lägre normhierarkisk nivå, med stor sannolikhet att stå i strid med regeringsformen (se prop. 2009/10:80 s. 243). I propositionen konstateras att det därför finns behov av att se över ett stort antal registerförfattningar för att bedöma i vilken mån det krävs reglering i lag i stället för i förordning. Som exempel anges att det finns behov av att i lag reglera domstolarnas personuppgiftsbehandling, som för närvarande regleras i förordningar. Det anges vidare att det i övergångsbestämmelserna bör tas in en föreskrift som innebär att äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten under en övergångsperiod behåller sin giltighet även om de inte uppfyller regeringsformens krav på lagform. För tiden fram till och med den 31 december 2015 bör föreskrifter som inte uppfyller kravet på lagform fortsätta att gälla utan hinder av den nya bestämmelsen om ett utvidgat integritetsskydd.

Det är emellertid omdiskuterat om 2 kap. 6 § andra stycket RF verkligen syftar till ange vilka föreskrifter om exempelvis behandling av personuppgifter som ska ha form av lag i stället för förordning. Enligt Informationshanteringsutredningen torde bestämmelsen såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om rättighetsinskränkande lag, se SOU 2015:39 s. 198 f.

6.2.7. Behov av en lagreglering

Det kan konstateras att den personuppgiftsbehandling som sker inom verksamhet enligt utlännings- och medborgarskapslagstiftningen i stor utsträckning sker utan den enskildes samtycke. Myndigheternas uppgiftssamlingar innehåller en stor mängd uppgifter om ett stort antal individer. Effekten kan således bli att personer kartläggs, även om det inte är det egentliga syftet med behandlingen. Vidare kan konstateras att behandlingen i många fall avser känsliga personuppgifter enligt 13 § PUL samt andra uppgifter av integritetskänslig natur. De uppgifter som myndigheterna behandlar sprids i vissa fall till andra myndigheter, även genom att den mottagande myndigheten har direktåtkomst till den utlämnande myndighetens personuppgiftssamlingar. Som konstaterats i utredningens direktiv är det mycket som talar för att det inte är förenligt med regeringsformen att behandla personuppgifter med stöd av utlänningsdataförordningen och att det finns ett behov av en lagreglering av den personuppgiftsbehandling som sker på utlännings- och medborgarskapsområdet.

6.3. Lagens syfte

I kapitel 5 finns en översiktlig beskrivning av den automatiserade personuppgiftsbehandling som utförs av myndigheter inom verksamhet på utlännings- och medborgarskapsområdet. Av redogörelsen framgår inte bara att den nuvarande behandlingen är omfattande utan även att myndigheterna i allt större utsträckning övergår till elektronisk behandling av personuppgifter. Myndigheterna har ett behov av att samla in, ta emot, registrera, behandla och lagra uppgifter på elektronisk väg, inte bara för att kunna fullgöra sina uppgifter i form av till exempel ärendehantering, arkivering och för intern uppföljning och verksamhetsutveckling. Myndigheterna har också behov av att behandla uppgifter elektroniskt för utlämnande till andra myndigheter, inom och utanför Sverige, och till enskilda. Informationstekniken utvecklas ständigt. Ett effektivt utnyttjande av den moderna informationstekniken kan leda till effektivitetsvinster och kostnadsbesparingar för myndigheterna. Det finns således ett viktigt allmänintresse av att den moderna tekniken kan utnyttjas av myndigheterna. Inte bara för att det kan leda till samhällsvinster i form av ökad effektivitet och minskade kostnader. En väl funge-

rande informationsteknik gynnar också den enskilde då den möjliggör snabbare och mer rättssäker ärendehantering.

Samtidigt måste beaktas att myndigheternas behandling av personuppgifter kan innebära risk för intrång i den personliga integriteten. Att samla personuppgifter elektroniskt ökar möjligheten att sammanställa ett stort antal uppgifter om enskilda personer. Redan den omständigheten att uppgifterna finns registrerade kan för vissa framstå som integritetskränkande. Myndigheternas informationshantering måste ske med respekt för den enskildes integritet. Ett grundläggande syfte med en särskild lag som reglerar personuppgiftsbehandling bör således vara att stärka den enskildes skydd mot otillbörliga intrång i dennes personliga integritet.

Vid utformandet av den nya lagen ska således dessa båda intressen vägas mot varandra. Skyddet för den personliga integriteten ska vägas mot samhällets intresse av att myndigheterna kan utföra sina uppgifter på ett effektivt sätt. Detta kommer även till uttryck i utredningens direktiv, som anger att utredningen ska beakta enskildas behov av skydd för sin personliga integritet och beakta behovet av en rättslig reglering som ger myndigheterna möjlighet att hantera information på ett effektivt sätt.

6.4. Lagens utformning

6.4.1. Ramlag

Som anges ovan är syftet med den nya lagen att möjliggöra för myndigheterna att behandla personuppgifter på ett effektivt sätt, samtidigt som skyddet för den enskildes personliga integritet upprätthålls vid sådan behandling. Nästa fråga är hur en sådan lagreglering bör utformas.

Den behandling som ska regleras bedrivs på ett flertal myndigheter med olika uppdrag och varierande behov. Regleringen bör således vara flexibel på det sätt att den kan anpassas till de olika myndigheternas krav och inte behöver ändras inför varje förändring i verksamheten. Med hänsyn till den snabba utvecklingen på informationsteknikområdet är det också viktigt att regleringen är neutral inför förändringar på det tekniska området.

Det bör i sammanhanget uppmärksammas att bestämmelsen i 2 kap. 6 § andra stycket RF inte ställer krav på att all reglering som

rör personuppgiftsbehandling måste finnas i lag. Begränsningen rör endast sådana bestämmelser som kan resultera i övervakning eller kartläggning av den enskilde och som kan innebära ett betydande intrång i den personliga integriteten. Övriga bestämmelser kan således regleras på en lägre normhierarkisk nivå.

Ett sätt att uppnå en flexibel reglering som motsvarar de grundläggande kraven i regeringsformen är att lagen utformas som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten vid behandling av personuppgifter bör slås fast i lag. Till dessa hör till exempel regler för ändamål, behandling av känsliga personuppgifter, sökbegrepp, direktåtkomst och intern tillgång till personuppgifter. Regeringen bör dessutom kunna meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta måste prövas av riksdagen. Det kan i vissa fall även vara lämpligt att regeringen delegerar rätten till en myndighet som regeringen bestämmer att meddela kompletterande föreskrifter.

6.4.2. Behandling av personuppgifter i register

Utlänningsdataförordningen gäller utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhetsregister. Förordningen reglerar också Migrationsverkets automatiserade behandling av personuppgifter i rättsfallsregister, fingeravtrycksregister och landinformationsregister. Automatiserad behandling som inte kan hänföras till sådana uppgiftssamlingar omfattas således inte av regleringen. Motsvarande gäller för manuell hantering av personuppgifter. För sådan personuppgiftsbehandling gäller i stället personuppgiftslagen.

Innan personuppgiftslagen infördes reglerades automatiserad behandling av personuppgifter av datalagen (1973:289). I datalagen var begreppet register av central betydelse. Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatiserad databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med behandlingen. De flesta bestämmelserna i datalagen gällde bara för personregister som fördes med hjälp av ADB. Det krävdes således

att det var fråga om ett dataregister med personuppgifter för att lagen skulle bli tillämplig. Register som fördes med hjälp av annan teknik än ADB föll utanför lagens tillämpningsområde.

Sedan dataskyddsdirektivets införande i svensk rätt genom personuppgiftslagen har tillämpningsområdet vidgats. Dataskyddsdirektivets bestämmelser gäller all behandling av personuppgifter som helt eller delvis företas på automatisk väg och för annan behandling av personuppgifter under förutsättning att dessa ingår i eller kommer att ingå i ett register (artikel 3). Med register avses enligt direktivet varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 2 c). På motsvarande sätt gäller personuppgiftslagens bestämmelser all behandling av personuppgifter som sker helt eller delvis på automatiserad väg, oavsett om personuppgifterna ingår i ett register eller inte.

När det gäller manuell behandling är lagen tillämplig om personuppgifterna ingår i ett register. I lagen används dock inte begreppet register utan dataskyddsdirektivets definition av begreppet, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I dessa fall är registerbegreppet således fortfarande av betydelse.

Personuppgiftslagens bestämmelser gäller således för all helt eller delvis automatiserad behandling av personuppgifter, oavsett om de förekommer i ett register eller inte. I förarbetena till personuppgiftslagen anfördes att användningen av begreppet register vid automatisk databehandling med fog har kritiserats för att vara otidsenligt (se prop. 1997/98:44 s. 39). På grund av den tekniska utvecklingen har det enligt propositionen i en sammansatt och komplex datormiljö blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. I propositionen konstateras emellertid att det ovan sagda inte hindrar att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer. Uppgifterna

ska läggas in i ett på visst sätt strukturerat register och får bara tas fram med hjälp av vissa angivna sökkriterier.

6.4.3. Tidigare lagstiftningsarbeten

Det kan konstateras att begreppet register ofta har använts i tidigare författningar som rör personuppgiftsbehandling på myndighetsområdet för att definiera automatiserade samlingar med personuppgifter som gjorts tillgängliga för en större krets. Till varje register har knutits särskilda regler om åtkomst, sökmöjligheter och gallring m.m. I flera lagstiftningsärenden från senare år har modellen med register kritiserats, eftersom den inte anses uppfylla dagens krav på teknikneutral lagstiftning.

I förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anförs att begreppet register för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Det är enligt propositionen inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2004/05:164 s. 60).

Framväxten av internet har tydliggjort behovet av en översyn av traditionella begrepp vid databehandling, som till exempel registerbegreppet. I nämnd proposition kostateras dock att det finns flera elektroniska samlingar av personuppgifter som fortfarande måste ses som register i ordets egentliga bemärkelse, dvs. där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord, och att det därför kan finnas anledning att inte helt frångå registerbegreppet. Som exempel nämns lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister som reglerar register i en mer traditionell mening. Registerbegreppet ansågs emellertid inte lämpligt när det gäller datorsystem som innefattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av registerkaraktär.

I propositionen diskuteras vidare termen databas som ett alternativ till registerbegreppet. I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. En databas ska enligt propositionen definieras

som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet. En sådan definition av begreppet databas utesluter manuella register. Definitionen har, enligt propositionen, också den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register (i egentlig bemärkelse) är sammanlänkade och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så ingår dessa register i en databas. En juridiskt bestämd databas kan således innehålla flera mindre databaser eller datorsystem i teknisk mening, varav en del kan vara regelrätta register. Det väsentliga är att uppgifterna är gemensamt tillgängliga inom hela eller delar av verksamheten. Det konstateras att det för Tullverkets brottsbekämpande verksamhet finns behov av ett särskilt begrepp för att rättsligt reglera vissa uppgiftssamlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten. Det ansågs emellertid inte lämpligt att använda registerbegreppet i en ny lag om hantering av personuppgifter. Det rättsliga begreppet databas var enligt propositionen att föredra, som en beteckning på automatiserade sammanställningar av uppgifter, i synnerhet som begreppet underlättar för en teknikoberoende lagstiftning.

I förarbetena till polisdatalagen (2010:361, PDL) förutspås att behandling av personuppgifter i framtiden i större utsträckning kommer att ske i avancerade ärendehanteringssystem som länkas samman med varandra, ibland med digital dokumenthantering (se prop. 2009/10:85 s. 60 f.) I sådana system kan information struktureras på ett sådant sätt att systemet utöver att tjäna som ett verksamhetsstöd för ärendehanteringen även i praktiken tillgodoser samma behov som traditionella personregister genom att olika sökingångar skapas. Det huvudsakliga syftet med insamlingen av personuppgifter är i dessa fall utförandet av en viss arbetsuppgift, inte att registrera uppgifterna i ett personregister. I propositionen konstateras att registerbegreppet har kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är, enligt propositionen, inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan till exempel införas helt ostruk-

turerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar m.m. Det konstateras att även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall går utvecklingen mot att registerformen överges för mer sofistikerade datasystem. Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Det väsentliga i sammanhanget är inte på vilket sätt uppgifter tekniskt lagras utan den faktiskt åsyftade tillgängligheten. Den nya lagen bör enligt propositionen därför innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften. Polisen bör på detta sätt kunna välja mellan att skapa ett stort centralt datasystem eller flera mindre system eller en blandning av båda alternativen.

Målsättningen bör enligt propositionen vara att i möjligaste mån undvika en särreglering av vissa speciella informationssamlingar eller viss personuppgiftsbehandling. Inom den brottsbekämpande verksamheten finns det emellertid viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna (se prop. 2009/10:85 s. 229). Enligt propositionen är det därför nödvändigt att i några fall ha särskilda bestämmelser om vissa register, till exempel när det gäller register över DNA-profiler och fingeravtrycks- eller signalementsregister. Vidare finns, enligt propositionen, skäl att särbehandla behandling av uppgifter om misstänkt penningtvätt, misstänkt finansiering av terrorism i penningtvättsregister och viss behandling av uppgifter i det internationella polissamarbetet. Även det allmänna spaningsregistret bör enligt propositionen regleras särskilt.

Även i förarbetena till kustbevakningsdatalagen (2012:145) framförs kritik mot användning av begreppet register i lagstiftning som rör personuppgiftsbehandling. Också här konstateras att register och databaser inte är ett relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2011/12:45 s. 72 f.). Som en följd av detta bör enligt propositionen den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller

databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Vidare bör enligt propositionen regleringen för Kustbevakningens del utformas i enlighet med vad som har beslutats för polisen, dvs. att begreppet gemensamt tillgängliga uppgifter används i den föreslagna lagen för att beteckna uppgifter som är tillgängliga för fler än ett fåtal personer. Särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten vid Kustbevakningen bör omfattas av lagen. Med den formuleringen görs det enligt propositionen klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Begreppet databas diskuteras även i prop. 2013/14:161 som innehåller ett förslag om en gemensam databas hos Statistiska centralbyrån (SCB) för övervakning av och tillsyn över finansmarknaderna (se prop. 2013/14:161 s.49 f.). Regeringen förslår i propositionen att uppgifter som SCB samlar in för Riksbankens och Finansinspektionens övervakning och tillsyn lagras i en särskild databas som de tre myndigheterna har tillgång till. Enligt propositionen syftar förslaget, till skillnad från polisdatalagen, inte till att åstadkomma någon mer heltäckande reglering av de berörda myndigheternas behandling av uppgifter. Förslaget är i stället i första hand avsett att skapa en reglerad ordning för en särskild del av det utbyte av uppgifter som förekommer mellan myndigheterna. De uppgifter som ska omfattas av ordningen är till sitt format standardiserade uppgifter lämpade för bearbetning och analys med statistiska metoder. Insamlingen av uppgifter sker inte heller med det huvudsakliga syftet att utföra vissa vid insamlingstillfället aktuella arbetsuppgifter, utan för att registrera uppgifterna för framtida användning vid olika analyser av det finansiella systemet och för framställning av statistik. Uttrycket databas anses därför lämpligt som en benämning på den samling av uppgifter som är föremål för det särskilda uppgiftsutbytet mellan myndigheterna.

6.4.4. Gemensamt tillgängliga uppgifter

I 3 kap. PDL finns särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. I kapitlet anges bland annat vilka personuppgifter som får göras gemensamt tillgängliga, vilka uppgifter som får användas vid sökning i uppgifter som gjorts gemensamt tillgängliga, vilka myndigheter som får ha direktåtkomst till gemensamt tillgängliga uppgifter och bevarande och gallring av sådana uppgifter. Motsvarande bestämmelser finns för kustbevakningens del i 4 kap. kustbevakningsdatalagen.

Gemensamt tillgängliga uppgifter är ett relativt nytt begrepp inom lagstiftningen på personuppgiftsbehandlingsområdet. Som anges ovan diskuteras begreppet i förarbetena till den nya polisdatalagen (se prop. 2009/10:85 s. 124 f.). I propositionen konstateras att den nya polisdatalagen kommer att gälla för all automatiserad behandling av personuppgifter i polisens brottsbekämpande arbete. Det innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, till exempel register eller ärendehanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp personer, till exempel vanlig ordbehandling och e-postkommunikation. Det anförs att risken för otillbörliga intrång i den personliga integriteten är större när personuppgifter används av flera gemensamt i verksamheten än när personuppgifter behandlas av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Det anses därför nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. Frågan som diskuteras är hur man bör avgränsa den personuppgiftsbehandling för vilken mera begränsande regler är nödvändiga. Som framgår ovan bör enligt propositionen regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Ett tänkbart alternativ enligt propositionen är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar” som är gemensamt tillgängliga i verksamheten. Den nya lagen bör därför enligt propositionen innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts

gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

I propositionen anges vidare de principer som bör ligga till grund för gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör enligt propositionen vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den. Detta innebär att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets, till exempel hela polisorganisationen, ska kunna ta del av uppgifterna.

Vidare bör enligt propositionen personuppgifter anses vara gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att personuppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig enligt propositionen inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna som när många personer har tillgång till dem.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste dock enligt propositionen vara att kretsen som har tillgång till dem omfattar endast ett litet antal personer. Så snart det är fråga om fler än ett fåtal personer som har tillgång till

uppgifterna bör utgångspunkten vara den motsatta. Som en tumregel anges att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte eftersom uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bland annat därför att personer i en från början begränsad krets med tiden byts ut. Uppgifter ska också anses vara gemensamt tillgängliga när de sprids till andra myndigheter än polisen.

Sammanfattningsvis innehåller således den nya polisdatalagen som huvudregel inte bestämmelser om register och databaser utan i stället särskilda bestämmelser som gäller uppgifter som görs och har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar. Behandling som utförs av en enskild tjänsteman eller inom en begränsad grupp personer, till exempel genom vanlig ordbehandling eller genom e-kommunikation, ska inte omfattas av de särskilda bestämmelserna. Motsvarande gäller för kustbevakningens behandling av personuppgifter i den brottsbekämpande verksamheten enligt kustbevakningsdatalagen.

6.4.5. Utredningens överväganden

Utredningen anser på skäl som framförts i avsnitt 6.4.1 att huvuddragen av personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet bör regleras i en ramlag vars syfte är att ge de på området verksamma myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

När det gäller utformningen i stort av den nya lagen är det naturligt att låta polisdatalagen tjäna som viss förebild. Det finns vissa likheter mellan brottsbekämpningen och den verksamhet för att upprätthålla ordning och säkerhet utan anknytning till brottsbekämpningen som bland annat Migrationsverket ansvarar för. Det rör sig dock inte om parallella verksamheter. Det finns skillnader. En sådan skillnad är att dataskyddsdirektivet inte omfattar statens behandling av personuppgifter i brottsbekämpande verksamhet. Direktivet

är däremot tillämpligt på bland annat Migrationsverkets verksamhet. En annan skillnad är att här aktuell personuppgiftsbehandling på utlänningsområdet i hög grad är ärendeanknuten medan brottsbekämpningen genererar ett annat slag av personuppgiftsbehandling. Det sagda innebär att lösningar och konstruktioner i polisdatalagen kan överföras till den nya ramlagen på utlänningsområdet men att det måste ske med viss urskiljning.

I den nuvarande utlänningsdataförordningen regleras endast automatiserad behandling av vissa i förordningen angivna typer av register. Mot den bakgrund som beskrivits i föregående avsnitt har utredningen att ta ställning till vilken personuppgiftsbehandling som ska omfattas av den nya lagen. Ska lagregleringen endast avse vissa särskilda uppgiftssamlingar på utlännings- och medborgarskapsområdet, eller bör den omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat? Ska även manuell behandling av personuppgifter omfattas? Om slutsatsen är att en mer generell reglering bör införas, finns skäl att överväga en modell med en uppdelning mellan uppgifter som görs och har gjorts gemensamt tillgängliga och sådana uppgifter som behandlas endast av en enskild tjänsteman eller inom en begränsad grupp personer.

Vid utredningens kartläggning av den nuvarande personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet har inget annat framkommit än att den nuvarande regleringen fungerar relativt väl. Det tycks inte vara förordningens uppdelning av behandling i olika register som orsakar problem för myndigheterna när det gäller personuppgiftshanteringen. Eventuella problem förefaller i stället bero på att nuvarande förordning i detalj reglerar vilka kategorier av personuppgifter som över huvud taget får behandlas, se vidare avsnitt 7.11. En överföring av den nuvarande modellen med särreglering för vissa uppgiftssamlingar till den nya lagen skulle underlätta för de som ska tillämpa den nya lagstiftningen i den dagliga verksamheten, eftersom skillnaden mot nuvarande reglering inte blir så stor. Uppdelningen av behandlingen i olika register gör också regleringen ganska lättöverskådlig och tydlig. Ovan nämnda omständigheter talar med viss styrka för att behålla nuvarande system med reglering av specifika samlingar av personuppgifter.

Andra omständigheter talar emellertid för att välja en mer generell reglering av personuppgiftsbehandlingen. Lagens syfte ska vara att skydda den enskilde mot otillbörliga intrång i den enskildes per-

sonliga integritet. Enligt utredningens direktiv ska utredningen samtidigt se till att regleringen möjliggör moderna och ändamålsenliga it-system. Den rättsliga regleringen bör således inte vara beroende av att vissa tekniska lösningar används. Informationstekniken utvecklas ständigt och den offentliga verksamheten bör kunna använda sig av den nya tekniken för effektivitetsvinster och förenkling av informationsutbyte med andra myndigheter och enskilda. En lag som reglerar all datoriserad personuppgiftsbehandling inom verksamhetsområdet stämmer också bättre överens med utredningsdirektivens krav på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen ska passa väl in i personuppgiftslagens regelsystem.

Myndigheternas datoriserade system är i dag inte uppbyggda som register i traditionell bemärkelse. Som exempel kan Migrationsverkets databas centrala utlänningsdatabasen (CUD) nämnas. CUD är ett samlingsbegrepp för de databaser där uppgifter som behandlas i myndighetens ärenden registreras. Till denna centrala uppgiftssamling är olika system, applikationer, kopplade. Applikationerna har olika funktioner, såsom behandling av personuppgifter i besöks- och bosättningsärenden, kortutbetalning av bistånd och meddelandehanteringssystem. De olika systemen kan, efter en säkerhetskontroll, hämta uppgifter från det centrala systemet. Det rör sig således inte om ett enda ärendehanteringssystem, utan ett flertal tekniska instanser som samverkar och är beroende av varandra. Inte heller Migrationsverkets rättsfallssamling eller landinformationsregister utgör personregister i egentlig mening. Vidare går utvecklingen mot att myndigheterna i allt större utsträckning övergår från manuell personuppgiftsbehandling till automatiserad behandling. Migrationsverket har till exempel för avsikt att övergå till ett system med elektroniska personakter.

Den nya lagen bör inte begränsa myndigheternas möjligheter att utnyttja ny informationsteknik. Den bör också lämna utrymme för myndigheterna att utforma sina datasystem på det sätt som är mest ändamålsenligt för den aktuella verksamheten. Den nya regleringen bör därför vara teknikoberoende. Detta uppnås bäst genom att övergå till en reglering som, liksom personuppgiftslagen samt polisdatalagen och kustbevakningsdatalagen, omfattar all behandling av per-

sonuppgifter som sker helt eller delvis automatiserat samt manuellt i register.

Det finns dock enligt utredningen anledning att göra ett undantag från den generella regleringen. I de fall de berörda myndigheterna hanterar register i mer traditionell bemärkelse kan det vara lämpligt att detta register särregleras i förhållande till annan personuppgiftsbehandling i verksamheten. En jämförelse kan göras med polisdatalagen, som till exempel innehåller särskilda bestämmelser som gäller polisens register över DNA-profiler och fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 229). Utredningen gör bedömningen att det finns skäl att i den nya lagen särskilt reglera Migrationsverkets register över fingeravtryck och fotografier. Skälen till det och den närmare reglering tas upp i avsnitt 7.10.

Den nya lagen bör således i princip reglera all helt eller delvis automatiserad personuppgiftsbehandling samt behandlingen av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det innebär att all elektronisk behandling av personuppgifter kommer att omfattas, även till exempel ordbehandling som utförs av anställda på den egna arbetsdatorn och intern och extern e-postkommunikation. Den nya lagens tillämpningsområde kommer således att utvidgas i förhållande till vad som gäller för närvarande och därmed också utöka möjligheterna att behandla personuppgifter på ett sätt som inte är tillåtet enligt personuppgiftslagen. Det skulle till exempel kunna innebära att möjligheten att behandla känsliga personuppgifter utvidgas i förhållande till vad som är möjligt enligt dagens reglering.

Ett sätt att hantera detta problem skulle kunna vara att införa mer begränsande regler i fråga om behandling av uppgifter som flera personer har tillgång till. I polisdatalagen används, som redovisats ovan, begreppet gemensamt tillgängliga uppgifter, som avser uppgifter som fler än ett fåtal har möjlighet och rättslig behörighet att ta del av. För de gemensamt tillgängliga uppgifterna gäller mer restriktiva regler. I lagen anges vilka uppgifter som får göras gemensamt tillgängliga. Vidare finns vissa integritetsskyddande bestämmelser avseende sökning, direktåtkomst och bevarande som bara gäller de gemensamt tillgängliga uppgifterna. Liknande bestämmelser har även införts i kustbevakningsdatalagen. Frågan är om det finns skäl att i den nya lagen på utlännings- och medborgarskapsområdet också göra

en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter.

Till en början kan konstateras att största delen av den personuppgiftsbehandling som ska regleras i den nya lagen utgörs av myndigheternas personuppgiftsbehandling i olika typer av ärenden. Ärendena hanteras som regel av endast några få personer jämfört med exempelvis polisiär verksamhet i brottsbekämpande syfte. Det är ganska få uppgifter i ärendena som behöver vara tillgängliga för en vidare krets. Många anställda kommer visserligen att ha tillgång till Migrationsverkets register över fingeravtryck och fotografier. Men som framgår av avsnitt 7.10 föreslår utredningen vissa särskilda skyddsregler för detta register. Anställda har också tillgång till Lifos, alltså Migrationsverkets register för återsökning dels av vägledande avgöranden, rättsutredningar och rättslig information, dels av information rörande förhållanden i andra länder. I Lifos finns en del personuppgifter och en del är känsliga sådana. Det krävs emellertid särskild behörighet för Migrationsverkets anställda för åtkomst till sekretessbelagd information i Lifos olika delar. Informationen i Lifos har därmed inte särskilt stor spridning bland dem som har tillgång till den.

Vidare kommer personuppgiftsbehandlingen i den nya lagen att begränsas genom bestämmelser om lagens tillämpningsområde och särskilda ändamålsbestämmelser, se avsnitt 7.9. Utredningen kommer också att föreslå regler som innebär att respektive myndighet ska se till att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter, se avsnitt 7.12. En sådan bestämmelse medför att det finns ett skydd mot att en uppgift sprids till en större krets än vad som är motiverat. Utredningen kommer också att föreslå att behandlingen ska begränsas av 9 § PUL, som anger vissa grundläggande krav på behandlingen av personuppgifter, se avsnitt 7.7.3. Bestämmelsen innebär bland annat att den personuppgiftsansvariga myndigheten ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till dessa ändamål. Även andra integritetsskyddande regler rörande personuppgiftsbehandlingen kommer att föreslås. Utredningen menar att dessa generella skyddsregler utgör ett tillräckligt integritetsskydd oavsett om uppgifterna är gemensamt tillgängliga eller inte. Det finns

därför inget behov för att uppnå ett fullgott integritetsskydd av att införa en strängare särreglering som ska gälla enbart för gemensamt tillgängliga uppgifter.

Ytterligare en aspekt på frågan är att en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter kräver en rimlig och tydlig precisering av vilka uppgifter som ska få göras gemensamt tillgängliga. Den verksamhet som ska regleras i den föreslagna lagen skiljer sig från den verksamhet som regleras i polisdatalagen och kustbevakningsdatalagen. Det är inte lika lätt att på utlännings- och medborgarskapsområdet på ett naturligt och tydligt sätt ringa in vilka uppgifter som ska hänföras till kategorin gemensamt tillgängliga.

Sammanfattningsvis har utredningen kommit till slutsatsen att det inte bör finnas några särskilda regler om behandling av personuppgifter på utlännings- och medborgarskapsområdet som är gemensamt tillgängliga.

6.5. EU-rättsliga utgångspunkter

Sveriges medlemskap i EU har medfört att EU-rätten blivit en integrerad del av den svenska rättsordningen. EU-domstolen har utvecklat vissa principer för EU-rättens förhållande till nationell rätt, vilka är av avgörande betydelse för maktfördelningen mellan unionen, medlemsstaterna och medborgarna (Melin, M. m.fl., EU:s konstitution. Maktfördelningen mellan den europeiska unionen, medlemsstaterna och medborgarna, 7 uppl., 2012 s. 35 f.). Principen om direkt tillämplighet innebär att EU:s grundfördrag och en del av sekundärrätten automatiskt utgör en del av medlemsstaternas interna rätt. Med sekundärrätt avses de rättsakter som EU:s institutioner utfärdar med stöd av fördragen, dvs. förordningar, direktiv, beslut, rekommendationer och yttranden.

I artikel 288 i Fördraget om europeiska unionens funktionssätt förklaras de olika rättsakterna på följande sätt. En förordning ska ha allmän giltighet. Den ska till alla delar vara bindande och direkt tillämplig i varje medlemsstat. Ett direktiv ska med avseende på det resultat som ska uppnås vara bindande för varje medlemsstat till vilken det är riktat, men ska överlåta åt de nationella myndigheterna att bestämma form och tillvägagångssätt för genomförandet. Ett beslut

är till alla delar bindande. Om ett beslut anger till vem eller vilka det riktar sig, är det bindande endast för dessa. Rekommendationer och yttranden ska inte vara bindande.

Domstolen har genom sin praxis slagit fast principen om EUreglers direkta effekt, vilket innebär att vissa unionsrättsliga regler grundar rättigheter eller skyldigheter för enskilda som kan åberopas inför domstolar och myndigheter i medlemsstaterna. Vidare har domstolen utvecklat principen om EU-rättens företräde framför nationell rätt. Principen innebär att nationella domstolar ska tillämpa en EU-rättslig regel framför en mot denna stridande nationell lag.

Som framgår ovan är en EU-förordning, när det trätt i kraft, direkt tillämplig i medlemsstaterna. Det innebär att en förordning automatiskt blir en del av medlemsstaternas nationella rättssystem och gäller enligt sin lydelse på samma sätt som nationella lagar. En EUförordning har företräde framför svensk rätt och utesluter tillämpning av nationell lagstiftning som är oförenlig med förordningen. Detta gäller även om den nationella lagstiftningen är av senare datum. Om det finns nationella författningsbestämmelser som motsvarar eller strider mot en EU-förordnings bestämmelser, måste de nationella bestämmelserna således utmönstras.

Enligt EU-domstolens praxis får förordningar inte införlivas i nationell rätt, eftersom detta skulle kunna skapa tvivel om deras ursprung och rättsliga effekt. Utgångspunkten är således att EU-förordningar inte får transformeras till eller inkorporeras i den nationella rätten, utan i stället ska tillämpas i sin EU-rättsliga form. Bestämmelser i en förordning får dock återges i nationell lagstiftning när det är nödvändigt för att den nationella lagstiftningen ska bli begriplig och sammanhållen. En förordning kan även i olika avseenden ge upphov till kompletterande nationella föreskrifter (jfr. prop. 1994/95:19 s. 524 f.) Förordningen kan uttryckligen innehålla förpliktelser för medlemsstaterna att besluta om utfyllande bestämmelser. En förordning kan också ge anledning att utfärda straffsanktioner för överträdelse av bestämmelser i förordningen. Vidare kan en förordning ge utrymme för medlemsstaterna att besluta om kompletterande regler i övrigt.

Det finns ett antal EU-förordningar som innehåller bestämmelser om personuppgiftsbehandling inom utlännings- och medborgarskapsområdet. En sådan förordning är Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av

Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Denna förordning (den s.k. Eurodacförordningen, se avsnitt 7.4) innehåller bestämmelser om ett gemensamt system, Eurodac, för jämförelse av fingeravtryck i syfte att kunna avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd.

En annan förordning av intresse är Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex). Den förordningen innehåller bland annat regler för förfarande och villkor för utfärdande av viseringar.

Ytterligare en förordning är Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Den förordningen fastställer ändamål, funktioner och ansvarsfördelning för det EU-gemensamma informationssystemet för viseringar.

Med hänsyn till vad som ovan sagts om EU-förordningars direkta tillämplighet får ovan nämnda förordningar inte införlivas i den nya utlänningsdatalagen. Behandling av personuppgifter enligt förordningarna bör därför inte heller omfattas av lagens tillämpningsområde. Enligt principen ovan har förordningarna företräde framför nationell rätt utan att det behöver regleras särskilt i lagen. Det finns dock med förordningarna närliggande verksamhet som kommer att omfattas av den nya lagens tillämpningsområde. För tydlighetens skull bör därför personuppgiftsbehandling enligt Eurodac-förordningen, viseringskodexen och VIS-förordningen uttryckligen undantas från lagens tillämpningsområde (se vidare avsnitt 7.4).

6.6. Schengens informationssystem

Som framgår av avsnitt 4.3.3 innebar Amsterdamfördraget att Schengenregelverket införlivades med EU-rätten. Genom Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer infördes ett gemensamt regelverk för all gränspassage för personer över EU:s yttre och inre gränser. I kodexen slås fast att det inte ska förekomma någon gränskontroll av personer när de passerar de inre gränserna mellan EU:s medlemsländer.

De länder som deltar i Schengensamarbetet har infört ett gemensamt informationssystem, Schengen Information System (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. I april 2013 togs SIS II i bruk. Den senare versionen av SIS innehåller fler typer av uppgifter och funktioner än den tidigare, bland annat är det möjligt att lägga in biometriska uppgifter (exempelvis fingeravtryck och fotografier) och att länka samman registreringar som avser en och samma person. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll.

SIS II regleras huvudsakligen i två olika rättsakter. Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) reglerar den del av systemet som används för frågor om asyl och invandring. När det gäller den del av systemet som används för polis- och straffrättsligt samarbete finns bestämmelser i Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Därutöver finns en särskild förordning, Europaparlamentets och rådets förordning (EG) nr 1986/2006 av den 20 december 2006 om tillträde till andra generationen av Schengens informationssystem (SIS II), för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon.

De båda förordningarna gäller direkt i Sverige och ska inte genomföras i svensk lag. Rådsbeslutet har genomförts i svensk rätt genom ändringar i lagen (2000:344) om Schengens informationssystem och

förordningen (2000:836) om Schengens informationssystem. Lagen och förordningen innehåller bestämmelser om behandling av personuppgifter i den svenska delen av SIS. Den personuppgiftsbehandling som faller under lagens och förordningens tillämpningsområde bör falla utanför utlänningsdatalagens tillämpningsområde.

6.7. En ny domstolsdatalag

Enligt utredningens direktiv ska förslaget till lagreglering på utlännings- och migrationsområdet vara utformat så att det är förenligt med den kommande regleringen av domstolarnas personuppgiftsbehandling. All automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna och nämnderna regleras i dag av de s.k. Veraförordningarna (se avsnitt 7.3.3). Regeringen har i juni 2015 överlämnat en remiss till Lagrådet med förslag till en lag om behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Utredningen gör den bedömningen att regleringen av personuppgiftsbehandlingen på utlännings- och migrationsområdet kommer att vara förenlig med de nya reglerna om domstolarnas behandling av personuppgifter.

6.8. EU:s uppgiftsskyddsförordning

Utredningen ska också i sitt arbete noga följa den fortsatta behandlingen inom EU av förslaget till ny dataskyddsreglering samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.

Utredningen redovisar det pågående reformarbetet av EU:s regler om skydd för personuppgifter och förslag till uppgiftsskyddsförordning i avsnitt 3.4. Utredningen hänvisar därför till detta avsnitt i denna del.

Kommissionens förslag till uppgiftsskyldighetsförordning baseras till en stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet, men innehåller även vissa skillnader. Ambitionen synes vara att RIF-rådet (dvs. Rådet för rättsliga och inrikes frågor) i juni 2015 ska kunna besluta om en allmän inrikt-

ning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Ambitionen är vidare att lagstiftningsprocessen ska drivas med inriktning på ett slutförande i år. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.

Mot bakgrund av ovan har utredningen inte haft möjlighet att särskilt anpassa den nya utlänningsdatalagen till reformarbetet av EU:s regler om skydd för personuppgifter.

6.9. Informationshanteringsutredningen

Enligt utredningens direktiv ska utredningen samråda med Informationshanteringsutredningen. I oktober 2011 tillsatte regeringen en särskild utredare med uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor (dir. 2011:86). Utredningen har tagit namnet Informationshanteringsutredningen. I utredarens uppdrag ingick bland annat att överväga om definitionen av begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformad när det gäller sådana uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande och, om utredaren anser att definitionen bör ändras, lämna förslag till ändring av denna. Utredningen skulle vidare överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande samt göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. I uppdraget ingick också att, med beaktande av utvecklingen inom EU och Europarådet, utarbeta en generell modell för reglering av registerfrågor och, med modellen som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena.

I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisade utredningen sitt uppdrag vad avser vissa delfrågor. I betänkandet tar utredningen ställning till om överskottsinformation vid direktåtkomst och liknande elektronisk tillgång till annan myndighets elektroniska informationssamling bör undantas

från begreppet allmän handling och, för det fall överskottsinformation inte undantas från begreppet allmän handling, de bestämmelser som förts in i offentlighets- och sekretesslagen (2009:400) med anledning av den nuvarande ordningen (bland annat 11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras. Utredningen skulle även ta ställning till om det fanns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande, men eftersom utredningen inte föreslog någon grundlagsändring i syfte att undanta överskottsinformation vid direktåtkomst från begreppet allmän handling lämnade utredningen inga förslag angående frågan om begreppsbildningen för elektroniska utlämnandeformer utan avsåg att återkomma till frågan om begreppsbildningen i slutbetänkandet.

Genom tilläggsdirektiv i mars 2014 ändrades inriktningen på utredningens uppdrag. Uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på registerförfattningar för dessa verksamheter samt att överväga vilka typer av allmänna handlingar som myndigheterna inom dessa verksamhetsområden ska vara skyldiga att lämna ut i elektronisk form utgick. Utredningen fick i stället i uppdrag att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheternas personuppgiftsbehandling och lämna författningsförslag till en sådan, med beaktande bland annat av den pågående översynen inom EU av regleringen om skyddet för personuppgifter.

Utredningen redovisade sitt uppdrag i april 2015 genom slutbetänkandet Myndighetsdatalag (SOU 2015:39). I betänkandet framgår att utredningen bedömer att dagens regelverk med bland annat olika registerförfattningar är fragmentiserat, svårförståeligt och i vissa fall inte anpassat till annan lagstiftning och tekniska lösningar för hantering av personuppgifter. Utredningen föreslår därför att dagens regler reformeras och huvudsakligen ersätts av en ny lag – myndighetsdatalagen – med generella bestämmelser för myndigheters behandling av personuppgifter. Den nya lagstiftningen föreslås gälla för alla myndigheters hantering av personuppgifter med undantag för myndigheters brottsbekämpande och brottsförebyggande verksamhet. Förslaget innebär en renodlad persondataskyddsreglering och ska alltså inte i något avseende reglera myndigheternas sakverksamhet.

7. En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

7.1. Lagens namn

Utredningens förslag: Lagen ska heta utlänningsdatalag.

Automatiserad behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen). Ett lämpligt namn för lagen hade således kunnat vara lagen om behandling av personuppgifter i verksamhet

enligt utlännings- och medborgarskapslagstiftningen. Namnet har den

fördelen att det tydligt framgår vad lagen handlar om. Utredningen anser det dock lämpligt att den nya lagen får namnet utlänningsdatalagen. Det är konsekvent med tanke på andra lagar på personuppgiftsbehandlingsområdet som tillkommit på senare år, till exempel patientdatalagen (2008:355), polisdatalagen (2010:361, PDL) och kustbevakningsdatalagen (2012:145). Namnet ger också en uppfattning om vad lagen handlar om, nämligen behandling av uppgifter om utlänningar. Vidare innebär namnet en tydlig koppling till utlänningslagen (2005:716, UtlL), som innehåller bestämmelser om en stor del av den verksamhet vars personuppgiftsbehandling ska regleras i den nya lagen. Utlänningsdatalagen är således det lämpligaste namnet.

7.2. Lagens syfte

Utredningens förslag: Syftet med lagen ska vara att ge berörda

myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Enligt 1 § personuppgiftslagen (1998:204, PUL) är syftet med den lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I utlänningsdataförordningen finns det inte någon särskild bestämmelse om syftet med regleringen. En sådan bestämmelse är dock vanligt förekommande i de registerförfattningar som utarbetats på senare år. Två exempel är polisdatalagen och kustbevakningsdatalagen.

I förarbetena till både polisdatalagen och kustbevakningsdatalagen anförs att det finns skäl att i dessa lagar införa särskilda bestämmelser av vilka det framgår att syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (se prop. 2009/10:85 s. 66 och prop. 2011/12:45 s. 67). I förarbetena betonas dock att det utöver integritetsintresset finns andra intressen som ska vägas in. I polisens fall anges att även samhällets rättmätiga krav på att ett rättssäkert och effektivt brottsbekämpande bör komma till uttryck i bestämmelsen om lagens syfte. I kustbevakningsdatalagen anges på motsvarande sätt att lagens syfte utöver integritetsskydd för den enskilde också är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet.

Utlänningsdatalagens bestämmelser kommer att gälla i stället för personuppgiftslagen vid viss behandling av personuppgifter inom utlännings- och medborgarskapsområdet. Personuppgiftslagens bestämmelse som rör syftet med lagen kommer således inte att vara tillämplig. Det är därför lämpligt att i utlänningsdatalagen inledningsvis tydligt ange vad som är syftet med den lagen.

Inom verksamhet på utlännings- och medborgarskapsområdet finns en liknande problematik som inom polisverksamhet och kustbevakningens verksamhet. Myndigheterna har behov av att behandla en stor mängd information, även känsliga personuppgifter, och av att utnyttja modern informationsteknik för att kunna utföra sina

uppgifter på ett korrekt och effektivt sätt. Samtidigt kan personuppgiftsbehandlingen innebära risk för intrång i den personliga integriteten. Skyddet för den enskildes integritet måste dock upprätthållas.

Bestämmelserna i den nya lagen har till syfte att balansera dessa båda intressen: en rättssäker och effektiv verksamhet och skyddet för den enskildes personliga integritet vid personuppgiftsbehandling i sådan verksamhet. Dessa dubbla syften kommer till uttryck i lagens bestämmelser. Lagen gör det visserligen möjligt att behandla personuppgifter på ett sätt som går utöver vad som är möjligt enligt personuppgiftslagen. Integritetsskyddet säkras dock genom kompensatoriska åtgärder, såsom särskilda bestämmelser om ändamål, hur och av vem uppgifterna får användas, hur sökning får ske, direktåtkomst, gallring och avskiljande. Det är därför lämpligt att i den nya lagen införa en särskild bestämmelse om att lagens syfte både är att ge vissa myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En sådan bestämmelse tydliggör lagstiftningens dubbla roll, vilket bland annat kan vara av betydelse i olika tolkningssituationer.

7.3. Lagens tillämpningsområde

Utredningens förslag: Lagen ska tillämpas vid behandling av

personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:

1. utlänningars inresa i Sverige eller i en stat som ingår i Euro-

peiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2. statusförklaring,

3. mottagande av asylsökande och andra utlänningar,

4. bistånd och stöd till utlänningar,

5. svenskt medborgarskap,

6. statlig ersättning för kostnader för utlänningar eller

7. bosättning av utlänningar.

Lagen ska vidare vara tillämplig vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.

7.3.1. Inledning

I utredningens direktiv definieras inte vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det anges dock att verksamhet enligt utlännings- och medborgarskapslagstiftningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna.

Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av utlänningsdataförordningen.

Det finns emellertid andra myndigheter som, även om de inte regleras i utlänningsdataförordningen, antingen utför sådan verksamhet som beskrivs i förordningen eller har uppgifter enligt utlännings-

lagen och lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen), se avsnitten 4.3.6, 4.4.2, 4.5.1 och 4.5.5.

Det finns därför anledning att se närmare på hur utlänningsdatalagens tillämpningsområde bör avgränsas, dels vad gäller vilka myndigheters behandling av personuppgifter som ska regleras av lagen, dels vilken verksamhet hos dessa myndigheter som lagens bestämmelser ska omfatta. Tillämpningsområdet bör begränsas till det som kräver särreglering i förhållande till personuppgiftslagen.

7.3.2. Ska myndigheterna anges i lagen?

En första fråga utredningen har att ta ställning till är om det i lagen uttryckligen ska anges vilka myndigheters personuppgiftsbehandling som regleras av lagen. Ett alternativ är att i stället endast beskriva den verksamhet på vilken lagen ska tillämpas.

I särskilda registerförfattningar som reglerar myndigheters personuppgiftsbehandling är det vanligt att det i lagen specificeras vilka myndigheter som ska tillämpa den. Så är exempelvis fallet i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen. Modellen har ansetts lämplig, eftersom lagens adressat framgår tydligt. Den har vidare fördelen att man slipper skriva in undantagsbestämmelser i lagen för att undvika dubbelreglering av viss verksamhet. Utredningen gör bedömningen att det i lagen bör anges vilka myndigheters personuppgiftsbehandling som regleras av lagen.

7.3.3. Vilka myndigheters behandling av personuppgifter ska regleras av lagen?

Den nya lagen bör, i likhet med den nuvarande utlänningsdataförordningen, enligt utredningens bedömning gälla för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling inom verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Nästa fråga är om den krets av myndigheter som ska tillämpa utlänningsdatalagen bör utvidgas i förhållande till vad som gäller enligt nuvarande reglering. Som framgår av avsnitten 4.3. 4.4, 4.5 och 4.6 finns det utöver Migrationsverket, Polismyndigheten, Säkerhets-

polisen och utlandsmyndigheterna vissa andra myndigheter som utövar verksamhet som faller inom utlännings- och medborgarskapsområdet. Frågan är om utlänningsdatalagen bör omfatta även dessa myndigheters personuppgiftsbehandling.

Domstolarna

Både förvaltningsdomstolarna och de allmänna domstolarna har verksamhet som regleras av utlänningslagen eller medborgarskapslagen.

En förvaltingsmyndighets beslut enligt utlänningslagen och medborgarskapslagen som överklagas prövas i regel av migrationsdomstol (16 kap. UtlL och 26 § medborgarskapslagen).

Allmänna domstolar prövar frågor om utvisning på grund av brott efter talan av allmän åklagare (8 a kap. 6 § UtlL).

Den verksamhet som domstolarna bedriver på utlännings- och medborgarskapsområdet består av rättskipande verksamhet. All automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna regleras i dag i de s.k. Vera-förordningarna: förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling och förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling. Domstolarnas behandling kommer emellertid med all sannolikhet i framtiden att regleras i en särskild domstolsdatalag. Ett förslag till domstolsdatalag bereds för närvarande (maj 2015) inom Regeringskansliet. Den nya domstolsdatalagen kommer sannolikt att gälla vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas samt hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet (se promemorian Ds 2013:10 s. 46 f.). Lagen ska gälla om behandlingen är helt eller delvis automatiserad eller sker i manuella register. Domstolarnas behandling av personuppgifter inom verksamhet enligt utlännings- och medborgarskapslagstiftningen är således redan reglerad, i dagsläget genom de ovan nämnda förordningarna och i framtiden av en domstolsdata-

lag. Domstolarnas personuppgiftsbehandling på utlännings- och medborgarskapsområdet bör därför enligt utredningen falla utanför den kommande utlänningsdatalagens tillämpningsområde.

Regeringskansliet

Regeringskansliet avgör med stöd av 3 kap. 5 § och 5 kap. 20 § UtlL vissa ärenden som rör nationell visering och uppehållstillstånd. I vilka fall Regeringskansliet kan besluta om visering och uppehållstillstånd framgår av Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1). I föreskrifterna framgår att Regeringskansliet kan besluta om visering för bland andra främmande staters beskickningsmedlemmar, konsuler och deras familjemedlemmar.

Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet (7 kap. 8 § UtlL).

Regeringen beslutar vidare vilka kategorier av personer som får ges uppehållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL, utöver dem som omfattas av Europeiska unionens råds beslut. Dessa bestämmelser har dock ännu aldrig tillämpats.

Regeringskansliet bereder härutöver de ärenden som enligt särskilda regler ska överklagas till regeringen. Det gäller Migrationsverkets beslut i säkerhetsärenden enligt 27 § medborgarskapslagen och Migrationsverkets beslut om utvisning, uppehållstillstånd, statusförklaring m.m. i säkerhetsärenden enligt lagen (1991:572) om särskild utlänningskontroll.

Det saknas särreglering för den personuppgiftsbehandling som Regeringskansliet utför i ovan angiven verksamhet. Behandlingen av personuppgifter regleras således i dag av personuppgiftslagen.

Antalet ansökningar om uppehållstillstånd som prövas av Regeringskansliet är tämligen omfattande. Det rör sig om ca 1 300 ärenden per år. Denna ärendehantering innefattar dock inte behandling av känsliga personuppgifter.

När det gäller Regeringskansliets beredning av säkerhetsärenden enligt medborgarskapslagen och lagen om särskild utlänningskontroll kan konstateras att det rör sig om ett fåtal ärenden per år. I ärendena förekommer visserligen känsliga personuppgifter, men de

uppgifter som behandlas elektroniskt behandlas endast i löpande text. De undantag som finns avseende behandling av känsliga personuppgifter i 15−19 §§ PUL och 8 § personuppgiftsförordningen (1998:1191, PUF) torde därför vara tillräckliga.

Sammanfattningsvis gör utredningen bedömningen att Regeringskansliets behandling av personuppgifter inom utlännings- och medborgarskapsområdet varken är så omfattande eller av sådan karaktär att särreglering krävs. Denna personuppgiftsbehandling bör således inte falla under utlänningsdatalagens tillämpningsområde.

Tullverket och Kustbevakningen

Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid kontrollen av utlänningars inresa eller utresa enligt 9 kap. 1 § UtlL. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. När inresekontrollen sköts av särskilt förordnade tulltjänstemän eller tjänstemän vid Kustbevakningen har de samma befogenheter som en polisman har, se 9 kap. 2 § UtlL.

Kustbevakningens personuppgiftsbehandling regleras i kustbevakningsdatalagen. Lagen gäller för samtliga Kustbevakningens operativa verksamheter, däribland brottsbekämpning och övrig sjöövervakning (1 kap. 2 § kustbevakningsdatalagen). Den brottsbekämpande verksamheten innefattar bland annat övervakning för att förhindra brott mot föreskrifter och andra författningar som gäller utlänningars inresa till och utresa från eller vistelse i Sverige (se prop. 2011/12:45 s. 40 f.) Med sjöövervakning avses bland annat verksamhet som innefattar personers inresa i, utresa från eller vistelse i Sverige. För kustbevakningens personuppgiftsbehandling i samband med utlänningsverksamhet finns således redan en särreglering. Det finns därför inte skäl att reglera Kustbevakningens personuppgiftsbehandling i den nya lagen.

Tullverkets personuppgiftsbehandling regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och, vad gäller den brottsbekämpande verksamheten, i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den personuppgiftsbehandling som Tullverket utför i samband med att myndigheten bistår Polismyndigheten i samband med utlänningskontroll

regleras emellertid inte av ovan nämnda författningar. Personuppgiftslagen är således i stället tillämplig på den personuppgiftsbehandling som Tullverket utför i samband med utlänningskontrollen. Vid utredningens kartläggning har framkommit att Tullverket deltar i en mycket liten utsträckning i Polismyndighetens utlänningskontroll och att personuppgiftslagens bestämmelser, dock med undantag för vad som anförs i kapitel 11, ger ett tillräckligt skydd vid den personuppgiftsbehandling som utförs. Det finns därför inte skäl att utvidga den nya lagens tillämpningsområde till att även omfatta Tullverkets personuppgiftsbehandling i samband med utlänningskontroll.

Se dock kapitel 11 i vilket utredningen föreslår visst skadeståndsansvar för Kustbevakningen och Tullverket efter fingeravtryckskontroller vid Schengenviseringar.

Länsstyrelserna

Länsstyrelserna prövar anmälan om svenskt medborgarskap enligt 7, 8, 9, 18 eller 19 §§ medborgarskapslagen som rör medborgare i Danmark, Finland, Island eller Norge. Om en länsstyrelse finner anledning att anta att ett beslut om utvisning enligt 1 § lagen om särskild utlänningskontroll bör meddelas ska myndigheten anmäla det till Säkerhetspolisen.

Länsstyrelsernas behandling av personuppgifter i verksamhet som anges ovan är varken med hänsyn till sin omfattning eller till integritetskänsligheten sådan att den kräver någon särreglering. Länsstyrelsernas personuppgiftsbehandling inom utlännings- och medborgarskapsområdet bör således enligt utredningen inte regleras av utlänningsdatalagen.

Kommunerna

Kommunerna ansvarar för boende för och bistånd till utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas samt ansvarar för boende för ensamkommande flyktingbarn, se 1 § 3 lagen (1994:139) om mottagande av asylsökande m.fl. Det är vidare kommunernas uppgift att erbjuda barn och ungdomar förskoleverksamhet eller ut-

bildning och att erbjuda vissa nyanlända invandrare samhällsorientering.

Den personuppgiftsbehandling som kommunerna utför i samband med ovan beskriven verksamhet är delvis föremål för särreglering. En socialnämnds behandling av personuppgifter vid handläggning av ärenden om bistånd enligt lagstiftning om mottagande av asylsökande m.fl. regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Något ytterligare behov av särreglering av kommunernas verksamhet har enligt utredningen inte framkommit.

Arbetsförmedlingen

Arbetsförmedlingen är ansvarig för insatser för att underlätta nyanlända invandrares etablering i arbets- och samhällslivet, bland annat genom att upprätta etableringsplaner och anordna aktiviteter enligt planen. Arbetsförmedlingen prövar i vissa fall frågor om ersättning till dem som medverkat i upprättande av etableringsplaner och aktiviteter enligt planen.

Arbetsförmedlingens behandling av personuppgifter på utlänningsområdet regleras i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och i viss mån i patientdatalagen. Lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten omfattar Arbetsförmedlingens behandling av uppgifter om arbetssökande, arbetsgivare, kontaktpersoner och andra personer i den arbetsmarknadspolitiska verksamheten. När det gäller frågan vad som ska anses utgöra arbetsmarknadspolitisk verksamhet hänvisas i lagens förarbeten till tre bestämmelser i förordningen (2000:628) om den arbetsmarknadspolitiska verksamheten. Dessa bestämmelser anges utgöra ramen för den arbetsmarknadspolitiska verksamheten (se prop. 2001/02:144 s. 17). Två av dessa bestämmelser upphävdes i samband med att regleringen av Arbetsförmedlingens huvuduppgifter fördes över till Arbetsförmedlingens nya instruktion, förordningen (2007:1030) med instruktion för Arbetsförmedlingen. Ramarna för den arbetsmarknadspolitiska verksamheten får nu i stället anses regleras av de bestämmelser i instruktionen som har ersatt de upphävda bestämmelserna och som beskriver Arbetsförmedlingens uppdrag och uppgifter samt av 5 § förordningen (2000:628) om den arbetsmarknadspoli-

tiska verksamheten. Av dessa bestämmelser framgår att med arbetsmarknadspolitisk verksamhet avses bland annat insatser för att nyanlända invandrare erbjuds insatser som främjar en snabb och effektiv etablering på arbetsmarknaden. I samband med att lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare trädde i kraft den 1 december 2010 utvidgades tillämpningsområdet för Arbetsförmedlingens registerlag till att omfatta även ärenden enligt denna lag samt för ärenden om bosättning av vissa nyanlända. Arbetsförmedlingens verksamhet på utlänningsområdet är således redan särreglerat i förhållande till personuppgiftslagen. Utlänningsdatalagens tillämpningsområde bör därför enligt utredningen inte omfatta Arbetsförmedlingens personuppgiftsbehandling på utlänningsområdet.

Försäkringskassan

Försäkringskassan prövar frågor om etableringstillägg och bostadsersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning enligt förordningen (2010:407) om ersättning till vissa nyanlända invandrare. Försäkringskassans behandling av personuppgifter regleras i 114 kap. socialförsäkringsbalken (2010:110). Denna personuppgiftsbehandling bör därför enligt utredningen inte falla under den nya lagens tillämpningsområde.

Centrala studiestödsnämnden

Enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar handlägger Centrala studiestödsnämnden ärenden om beviljning, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. I 28 och 29 §§ regleras nämndens möjlighet att föra automatiserade personregister för administration av lån enligt förordningen. För nämndens personuppgiftsbehandling i samband med låneärendena finns således redan en särreglering. Personuppgiftsbehandlingen bör därför enligt utredningen inte regleras i utlänningsdatalagen.

Landstingen

Landstingen är skyldiga att erbjuda viss hälso- och sjukvård samt tandvård till asylsökande och vissa andra utlänningar. Vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården tillämpas patientdatalagen. Inte heller landstingens personuppgiftsbehandling bör därför enligt utredningen infogas i utlänningsdatalagens tillämpningsområde

Sammanfattning

Sammanfattningsvis gör utredningen bedömningen att kretsen av myndigheter som ska tillämpa utlänningsdatalagen ska vara densamma som gäller enligt den nuvarande utlänningsdataförordningen.

7.3.4. Vilken personuppgiftsbehandling ska lagen tillämpas på?

Som framgår av avsnitt 6.4.5 föreslår utredningen att den nya lagen ska omfatta all helt eller delvis automatiserad personuppgiftsbehandling samt manuell behandling av personuppgifter i register på utlännings- och medborgarskapsområdet. Utredningen föreslår således att den nuvarande utlänningsdataförordningens reglering som utgår från olika register i verksamheten överges och att ändamålsbestämmelser i stället ska styra vilka uppgifter som får behandlas. Undantag är dock Migrationsverkets fingeravtrycksregister som enligt utredningen även fortsättningsvis bör regleras som ett register, se avsnitt 7.10.

Med begreppen automatiserad behandling avses detsamma som i personuppgiftslagen, se avsnitt 3.5.3 Med personuppgift avses enligt definitionen i 3 § PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen omfattar således inte avlidna personer. Det finns dock ingenting som hindrar att lagen tillämpas även vid behandling av uppgifter som rör avlidna personer.

I gällande utlänningsdataförordning specificeras vad som menas med verksamhet enligt utlännings- och medborgarskapslagstiftningen. I 1 § anges att med sådan verksamhet avses

1. verksamhet som gäller utlänningars vistelse i och avlägsnande från

landet,

2. verksamhet som gäller utlänningars rätt att arbeta i landet,

3. mottagande av asylsökande och vissa andra utlänningar,

4. verksamhet som rör bistånd och stöd till utlänningar som enligt

lag eller annan författning handläggs av Migrationsverket,

5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt

medborgarskap och

6. verksamhet som gäller ersättning för och bosättning av utlänningar

som enligt lag eller annan författning handläggs av Migrationsverket.

Som framgår av avsnitt 4.3 och 4.4. avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen främst den verksamhet som myndigheterna bedriver med stöd av utlänningslagen och medborgarskapslagen. Migrationsverket, utlandsmyndigheterna, Polismyndigheten och Säkerhetspolisen utför därutöver vissa uppgifter på utlännings- och medborgarskapsområdet som inte regleras i nyss nämnda författningar (se avsnitt 4.5 och 4.6). I förtydligande syfte bör det därför även i den nya lagen finnas en specificering av vilken verksamhet som omfattas av lagens tillämpningsområde. Nedan följer en närmare beskrivning av den verksamhet som enligt utredningens mening bör omfattas av den föreslagna lagen. Av tydlighetsskäl bör en uppdelning göras mellan å ena sidan Migrationsverkets och utlandsmyndigheternas verksamhet och å andra sidan Polismyndighetens och Säkerhetspolisens verksamhet.

Migrationsverket och utlandsmyndigheterna

Lagen bör vara tillämplig vid Migrationsverkets och utlandsmyndigheternas verksamhet som beskrivs under nedan angivna rubriker. Viss verksamhet kan falla under flera rubriker.

Utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige

Med denna verksamhet avses främst Migrationsverkets och utlandsmyndigheternas verksamhet enligt utlänningslagen och utlänningsförordningen (2006:97, UtlF), dvs. verksamhet som rör visering, uppehållstillstånd, arbetstillstånd, avvisning, utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen avses. Vidare faller Migrationsverkets behandling av personuppgifter i ärenden om utvisning, förvar m.m. av utlänningar enligt lagen om särskild utlänningskontroll under denna rubrik.

Statusförklaring

Under denna rubrik faller Migrationsverkets behandling av personuppgifter i anledning av beslut om eller återkallelse av statusförklaring enligt 4 kap. 3−3 c och 5 b−5 c §§ UtlL. En utlänning som med åberopande av skyddsskäl ansökt om uppehållstillstånd ska förklaras vara flykting (flyktingstatusförklaring), om han eller hon uppfyller definitionen för flykting och inte är utesluten från att anses som flykting av de skäl som anges i 4 kap. 2 § UtlL (exempelvis om han eller hon har gjort sig skyldig till brott mot freden eller krigsförbrytelser). En utlänning kan också förklaras vara alternativt skyddsbehövande (alternativ skyddsstatusförklaring) eller övrig skyddsbehövande (övrig skyddsstatusförklaring) om utlänningslagens krav för det är uppfyllda. Frågan om statusförklaring prövas vanligtvis samtidigt med frågan om uppehållstillstånd. Frågan ska tas upp till prövning utan särskilt yrkande.

Mottagande av asylsökande och andra utlänningar

Med mottagande av asylsökande och andra utlänningar avses Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Verksamhet som avser ekonomiskt bistånd eller stöd behandlas under en egen rubrik, se nedan. Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar faller också under denna rubrik.

Bistånd och stöd till utlänningar

Här avses Migrationsverkets verksamhet som gäller ekonomiskt bistånd enligt lagen om mottagande av asylsökande m.fl. och anslutande förordning. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses. Migrationsverkets personuppgiftsbehandling som föranleds av bidragsbrottslagen (2007:612) och lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen omfattas också.

Svenskt medborgarskap

Här avses Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen om svenskt medborgarskap och medborgarskapsförordningen (2001:218).

Statlig ersättning för kostnader för utlänningar

I förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. finns bestäm-

melser om statlig ersättning till kommuner, landsting, kommunalförbund och öppenvårdsapotek för vissa kostnader för utlänningar. Det är Migrationsverket som beslutar om sådan ersättning. Migrationsverkets personuppgiftsbehandling i samband med denna handläggning bör också höra till den nya lagens tillämpningsområde.

Bosättning av utlänningar

Härmed avses Migrationsverkets ansvar för bosättning av vissa utlänningar enligt lagen om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare avses.

Polismyndigheten och Säkerhetspolisen

Polismyndigheten

Som framgår av redogörelsen i kapitel 4 utför Polismyndigheten vissa uppgifter enligt utlännings- och medborgarskapslagstiftningen. Polismyndigheten har huvudansvaret för personkontroller vid yttre gräns i samband med inresa och utresa samt för inre utlänningskontroll. Polismyndigheten har behörighet att handlägga och besluta i viseringsärenden. Polismyndigheten får, vid sidan av Migrationsverket, i vissa fall besluta om avvisning. Myndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvisning på grund av brott. Vidare verkställer Polismyndigheten beslut om utvisning och avvisning som har lämnats över från Migrationsverket. Det gäller ärenden som rör personer som håller sig undan eller sådana fall där Migrationsverket bedömer att tvång är nödvändigt för att verkställa beslutet. Det är också Polismyndigheten som verkställer utlämningar och överlämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.

När det gäller Polismyndighetens verksamhet på utlännings- och medborgarskapsområdet finns en annan närliggande lagstiftning som

bör beaktas. Polismyndighetens personuppgiftsbehandling i den brottsbekämpande verksamheten regleras i polisdatalagen, som trädde i kraft den 1 mars 2012. Polisdatalagen gäller från och med den 1 januari 2015 vid behandling av personuppgifter i

1. brottsbekämpande verksamhet vid Polismyndigheten, i Nationellt

forensiskt centrum dock endast vid behandling av personuppgifter i vissa särskilda register,

2. brottsbekämpande verksamhet vid Säkerhetspolisen i den utsträck-

ning som anges i lagen och

3. polisiär verksamhet vid Ekobrottsmyndigheten.

Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Polismyndighetens personuppgiftsbehandling i den brottsbekämpande verksamheten bör således falla utanför den föreslagna lagens tillämpningsområde. Frågan är vad som närmare avses med brottsbekämpande verksamhet.

Med brottsbekämpande verksamhet avses enligt förarbetena till polisdatalagen verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott (se prop. 2009/10:85 s. 74). I propositionen diskuteras vilka polisuppgifter som ryms inom dessa ändamål och därmed bör anses utgöra brottsbekämpande verksamhet. När denna bedömning görs finns det enligt propositionen skäl att utgå från beskrivningen av polisens uppgifter i 2 § polislagen (1984:387), trots att polisen numera tillämpar en något annan indelning av arbetsuppgifterna. Till Polismyndighetens uppgifter hör enligt 2 § polislagen att

1. förebygga, förhindra och upptäcka brottslig verksamhet och andra

störningar av den allmänna ordningen eller säkerheten,

2. övervaka den allmänna ordningen och säkerheten och ingripa

när störningar har inträffat,

3. utreda och beivra brott som hör under allmänt åtal,

4. lämna allmänheten skydd, upplysningar och annan hjälp, när så-

dant bistånd lämpligen kan ges av polisen och

5. fullgöra den verksamhet som ankommer på Polismyndigheten

enligt särskilda bestämmelser.

Den verksamhet som beskrivs i punkterna 1−3 avser som huvudregel brottsbekämpande verksamhet som faller under polisdatalagens tillämpningsområde. Den verksamhet som beskrivs i punkten 4, som brukar kallas polisens serviceverksamhet, och i punkten 5, den s.k. polismyndighetsverksamheten, faller generellt sett utanför polisdatalagens tillämpningsområde. Till polismyndighetsverksamheten räknas till exempel biträde åt andra myndigheter vid tvångsingripanden.

Till de uppgifter som faller utanför den brottsbekämpande verksamheten, och därmed inte omfattas av polisdatalagens tillämpningsområde, hör enligt propositionen bland annat hjälpåtgärder inom trafiken, medverkan vid katastrofer och liknande händelser samt åligganden av skilda slag inom området för offentlig förvaltning, till exempel tillstånds- och tillsynsärenden av olika slag (exempelvis avseende vapen, sprängämnen, offentliga tillställningar och nyttjande av offentlig plats), passärenden och ärenden om delgivning eller annan handräckning. Hit räknas även vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. I propositionen konstateras att begreppet allmän ordning och säkerhet under punkten 1 är vittomfattande och svårdefinierat. Den allmänna ordningen och säkerheten kan störas både genom brott och på andra sätt. Sådana polisuppgifter som innebär att polisen förebygger, hindrar och ingriper mot andra störningar av den allmänna ordningen och säkerheten än som innefattar brott kan enligt propositionen inte anses utgöra brottsbekämpande verksamhet i det här sammanhanget. Detsamma gäller övervakning av den allmänna ordningen och säkerheten som inte syftar till att förebygga brott. Den mer renodlade övervakningen och ordningshållande verksamhet som polisen bedriver ska inte betraktas som brottsbekämpande och faller därmed utanför polisdatalagens tillämpningsområde. I propositionen konstateras således att vissa uppgifter som omfattas av 2 § 1–3 polislagen inte kan anses utgöra brottsbekämpande verksamhet och därmed inte bör omfattas av polisdatalagens tillämpningsområde.

Som framgår av redogörelsen ovan är gränsen mellan Polismyndighetens olika uppgifter inte alltid tydlig. Det medför vissa svårigheter att avgöra vilken verksamhet på utlännings- och medborgar-

skapsområdet som utgör brottsbekämpande verksamhet och därmed faller under polisdatalagens tillämpningsområde och vilken verksamhet som i stället bör regleras av utlänningsdatalagen.

Polismyndigheten har huvudansvaret för den yttre och inre utlänningskontrollen. Sveriges fullvärdiga deltagande i Schengensamarbetet innebar att kontrollen vid s.k. inre gräns, dvs. gräns mot andra Schengenstater som exempelvis Danmark och Norge, i princip upphörde, medan utlänningslagens bestämmelser om kontroll vid yttre gräns, dvs. gräns mot icke-Schengenstat, skärptes bland annat genom att obligatorisk utresekontroll infördes.

När det gäller den yttre utlänningskontrollen anges i en kommentar till polislagen att den övervakning som avses i 2 § 2 polislagen omfattar bland annat gränsövervakning (Berggren, N. m.fl., Polislagen. En kommentar. 1 april 2014 Zeteo, kommentaren till 2 § polislagen). Detta ger intryck av att den personuppgiftsbehandling som utförs i samband med den yttre utlänningskontrollen regleras av polisdatalagen. I sammanhanget bör dock beaktas att den yttre utlänningskontrollen har flera syften. Ett av dem är den traditionella gränskontrollen, dvs. att kontrollera den inresandes identitet och att denne uppfyller de krav som ställs för att få resa in i Sverige och vistas här, dvs. att kontrollera att en utlänning uppfyller de formella och materiella kraven enligt utlänningslagen för rätt till inresa och vistelse i Sverige (se SOU 2004:110 s. 126 f.). Här avses framför allt kontroll av att de i utlänningslagen angivna avvisnings- eller utvisningsgrunderna inte föreligger (se 8 kap. UtlL).

Ett annat syfte med den yttre utlänningskontrollen är att förebygga, förhindra och upptäcka brottslig verksamhet, framför allt gränsöverskridande brottslighet, till exempel människohandel. Kontrollen syftar till att undersöka om utlänningen har eller kan förväntas begå brott, och på så sätt förhindra och bekämpa brottsligheten i Sverige och inom hela Schengenområdet. Kontrollens syfte är också att avvärja hot mot allmän ordning och säkerhet.

Även utresekontrollen har flera syften. Ett av dem är att fastställa utlänningens identitet och att kontrollera att utlänningen har giltiga resehandlingar. Kontrollen omfattar en undersökning av att en utlänning inte vistas längre i Sverige eller Schengenområdet än vad han eller hon haft tillstånd till. Ett annat är att fånga upp efterspanade brottslingar som försöker lämna landet och att hitta efterlyst egendom.

Det kan således konstateras att den yttre utlänningskontrollen innehåller moment av olika karaktär. Som ovan anförs är ett av syftena med verksamheten att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten. Den personuppgiftsbehandling som utförs i sådan verksamhet torde falla under polisdatalagens tillämpningsområde. Den yttre gränskontrollen har emellertid också som ändamål att se till att den som reser in i landet uppfyller villkoren för att få vistas här och att den som begär asyl får sin sak prövad på ett korrekt sätt. Denna typ av verksamhet kan inte sägas utgöra brottsbekämpande verksamhet. Den personuppgiftsbehandling som utförs vid denna typ av kontroll bör i stället falla under utlänningsdatalagens tillämpningsområde. En insats kan även innehålla moment av både brottsbekämpning och utlänningskontroll. Då får polisdatalagen och utlänningsdatalagen tillämpas på respektive verksamhet. Avgörande för gränsdragningen är om det rör sig om brottsbekämpande verksamhet eller inte.

Enligt 1 § Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre

utlänningskontroll en åtgärd som vidtas med stöd av 9 kap. 9 § UtlL.

Bestämmelsen föreskriver bland annat en skyldighet för en utlänning att på begäran till en polisman överlämna pass och andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige samt att på kallelse från Polismyndigheten komma till myndigheten och lämna uppgifter. I de allmänna råden i anslutning till 1 § anges att med inre utlänningskontroll avses alla handlingar som syftar till att kontrollera om en utlänning har rätt att uppehålla sig i landet. Därigenom inbegrips inte enbart en uppmaning till utlänningen att visa upp pass eller andra handlingar, utan även till exempel frågor till utlänningen och kontroller i dataregister. I 3 § anges att den inre utlänningskontrollen ska inriktas mot att övervaka att utlänningar inte vistas eller arbetar här i landet utan att uppfylla föreskrivna villkor och att efterspana utlänningar för vilka det finns ett beslut om avvisning eller utvisning som ska verkställas. Av 4 § följer att kontrollen ska bedrivas över hela det svenska territoriet och vara en integrerad del av Polismyndighetens olika verksamhetsgrenar. Det bör i sammanhanget uppmärksammas att inre utlänningskontroll enligt 9 kap. 9 § tredje stycket UtlL endast får ske om det finns grundad anledning att anta att utlänningen saknar

rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll. Avslutningsvis anges i föreskrifterna, under rubriken Övrigt, att utöver inre utlänningskontroll bör Polismyndighetens uppgift att utreda brott, inklusive brott mot utlänningslagen, beaktas. Denna arbetsuppgift kan utföras både vid in- och utresa över yttre gräns och i anslutning till inre gräns likväl som på det svenska territoriet i övrigt. En kontroll av en misstänkt person under en förundersökning görs ytterst i syfte att lagföra den misstänkte för brottet. Om en kontroll görs eller straffprocessuella tvångsmedel enligt 24–28 kap. rättegångsbalken används under en förundersökning med anledning av misstanke om brott, är det inte att betrakta som en inre utlänningskontroll och inte heller som personkontroll vid in- och utresa över svensk gräns.

Enligt ovan angivna föreskrifter är syftet med den inre utlänningskontrollen att kontrollera om en utlänning har rätt att uppehålla sig i landet. Den inre utlänningskontrollen kan emellertid också ha ett brottsbekämpande syfte. Schengensamarbetet innebär att de inre gränskontrollerna i princip har avskaffats. Människosmuggling och annan gränsöverskridande brottslighet ska i stället förhindras genom kompensatoriska åtgärder. Med sådana åtgärder avses bland annat den inre utlänningskontrollen (se SOU 2004:110 s. 62). I de ovan angivna föreskrifterna anges i de allmänna råden i anslutning till 4 § att den inre utlänningskontrollen är en viktig kompensatorisk åtgärd för avskaffandet av gränskontrollen mellan de länder som deltar i det operativa Schengensamarbetet.

Av redogörelsen ovan framgår att det även när det gäller den inre utlänningskontrollen är svårt att dra en tydlig gräns mellan den brottsbekämpande verksamheten och Polismyndighetens utlänningsverksamhet. Den inre utlänningskontrollen innefattar olika typer av verksamhet. Polismyndigheten genomför personkontroller för att hitta personer som saknar rätt att vistas i landet på grund av att erforderliga tillstånd enligt utlänningslagen saknas, personer som har begått brott eller personer som håller sig undan verkställighet av avvisnings- eller utvisningsbeslut. Polismyndigheten utför arbetsplatskontroller i samverkan med Skatteverket och ibland även med Försäkringskassan för att motverka illegalt arbete. Inre utlänningskontroll sker också till exempel i samband med en trafikkontroll, i samband med ett ingripande eller i samband med en brottsutredning.

Även den inre utlänningskontrollen kan således ha flera ändamål. Ett är att kontrollera invandringen. Detta sker bland annat genom kontroll av att en utlänning innehar de tillstånd, dvs. visering, uppehållstillstånd eller arbetstillstånd, som krävs och efterspaning av utlänningar för vilka det finns ett avvisnings- eller utvisningsbeslut. Sådan verksamhet torde inte utgöra gränsövervakning som innebär polisverksamhet enligt 2 § 2 polislagen. Personuppgiftsbehandling som sker inom denna verksamhet bör i stället regleras av utlänningsdatalagen. En annan del av den inre utlänningskontrollen är att förebygga, förhindra och upptäcka brottslig verksamhet, dvs. brottsbekämpande verksamhet. Personuppgiftsbehandling som förekommer i sådan verksamhet omfattas av polisdatalagen. En polisinsats kan även innehålla moment av både utlänningskontroll och brottsbekämpning. Det medför att de båda lagarna får tillämpas parallellt.

Polismyndigheten utför vidare personuppgiftsbehandling inom verksamhet som avser verkställighet av beslut om förvar, avvisning, utvisning, utlämning eller överföring enligt utlänningslagstiftningen. När Polismyndigheten är handläggande myndighet enligt utlänningslagen får myndigheten fatta beslut om förvar och uppsikt.

I gränspolisverksamheten förs en särskild förteckning, s.k. förvarsliggare, över de personer som sitter frihetsberövade till följd av ett förvarsbeslut. En förvarsliggare innehåller olika uppgifter som till exempel namn, medborgarskap och till vilket land ett visst beslut ska verkställas. Men liggaren kan även innehålla känsliga personuppgifter som exempelvis uppgifter om en persons hälsotillstånd. Syftet med förvarsliggare är bland annat att bevaka olika tidsgränser som kan gälla för förvarsbeslut, ge information om vilket offentligt biträde som har utsetts för den förvarstagne personen eller i övrigt informera om ärendets handläggning (exempelvis om en resa är beställd eller om beslutet är överklagat).

Ett annat exempel på när Polismyndigheten själv behandlar och även lämnar ut uppgifter till andra myndigheter är när myndigheten beställer resor för utlänningar, vanligtvis från Kriminalvårdens Nationella transportenhet (NTE). NTE (och det företag som NTE upphandlat för medicinsk vård) informeras då i vissa fall om den enskildes hälsotillstånd. Informationen syftar till att säkerställa att den enskilde får adekvat medicinsk vård både på resan och efter hemkomsten. I vissa fall kräver även utländska myndigheter att

Polismyndigheten informerar om hälsotillståndet hos de personer som ska återvända till ett särskilt land.

Polismyndighetens ovan nämnda åligganden i form av verkställighet av beslut utgör en del av polismyndighetsverksamheten enligt 2 § 5 polislagen som faller utanför polisdatalagens tillämpningsområde. Personuppgiftsbehandling som utförs inom denna verksamhet bör därför regleras av utlänningsdatalagen.

Säkerhetspolisen

Även Säkerhetspolisen utför vissa uppgifter som regleras i utlänningslagstiftningen. I huvudsak finns bestämmelser härom i utlänningslagen, lagen om särskild utlänningskontroll och lagen om svenskt medborgarskap.

Av 1 kap. 7 § UtlL framgår vilka ärenden som utgör s.k. säkerhetsärenden enligt den lagen. Det är ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlännings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en utlänning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas.

Av 12 kap. 14 § UtlL följer vidare att Säkerhetspolisen ska verkställa beslut om avvisning eller utvisning i säkerhetsärenden. När Säkerhetspolisen fullgör en sådan uppgift är myndigheten handläggande myndighet enligt 10 kap. 13 § andra stycket UtlL från det att myndigheten tar emot ett beslut om avvisning eller utvisning för verkställighet till dess beslutet har verkställts. Det innebär att Säkerhetspolisen kan fatta beslut om till exempel omhändertagande av pass enligt 9 kap. 5 § UtlL samt om förvar och uppsikt enligt 10 kap. UtlL.

Enligt 14 kap. 11 § UtlL får Säkerhetspolisen vidare överklaga Migrationsverkets beslut i fråga om avvisning, utvisning, uppehållstillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende.

Säkerhetspolisen kan även fatta andra beslut eller vidta andra åtgärder enligt utlänningslagen när Säkerhetspolisen leder polisverksamhet, se 3 § andra stycket polislagen.

Säkerhetspolisen får enligt 2 § lagen om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket. Säkerhetspolisen är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande. Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller utvisning i säkerhetsärenden (8 a §, 9 § och 13 § lagen om särskild utlänningskontroll). Även andra bestämmelser i lagen kan bli tillämpliga för Säkerhetspolisen.

När det till sist gäller medborgarskap kan Säkerhetspolisen föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet, se 27 § lagen om svenskt medborgarskap. Migrationsverkets beslut i ett sådant säkerhetsärende får överklagas av Säkerhetspolisen.

En mycket stor del av den ovan beskrivna verksamheten får enligt utredningens bedömning anses höra till Säkerhetspolisens brottsbekämpande verksamhet, som regleras av polisdatalagen. Som framgår av 5 kap 1 § PDL får således personuppgifter behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som

innefattar a) brott mot rikets säkerhet, b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall eller d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt

beslut, annat brott,

3. fullgöra uppgifter i samband med personskydd,

4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5. fullgöra förpliktelser som följer av internationella åtaganden eller

6. lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndig-

heten, Åklagarmyndigheten eller Tullverket.

Regleringen i polisdatalagen av primära ändamål för personuppgiftsbehandling skiljer sig mellan Polismyndigheten och Säkerhetspolisen (se prop. 2014/15:94 s. 83 f.). För Säkerhetspolisens del är uppräkningen av primära ändamål mera detaljerad och omfattar även uppgifter som bara är brottsbekämpande i vid mening. Med brottsbekämpande verksamhet i polisdatalagen avses som tidigare nämnts sådan verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott. Enligt förarbetena i samband med polisens omorganisation anses all verksamhet hos Säkerhetspolisen i någon mening vara brottsbekämpande (se prop. 2013/14:110 s 480 f.)

Även om de områden där Säkerhetspolisen bedriver verksamhet enligt 3 § polislagen torde omfattas av ändamålsbestämmelserna i 5 kap. PDL anser utredningen att det inte kan uteslutas att Säkerhetspolisen även utför viss verksamhet där något brottsbekämpande inslag inte finns. Exempel på sådana situationer kan vara vissa verkställighetsärenden av Migrationsverkets beslut om avvisning eller utvisning. Den personuppgiftsbehandling som förekommer i samband torde därmed inte regleras polisdatalagen. För dessa fall bör den nya utlänningsdatalagen vara tillämplig. I annat fall skulle personuppgiftslagen bli tillämplig, vilket skulle försvåra behandlingen av känsliga personuppgifter.

I avsnitt 7.15 tar utredningen upp frågan om bland annat Säkerhetspolisens direktåtkomst till Migrationsverkets personuppgifter.

Sammanfattning

Sammanfattningsvis bör utlänningsdatalagen vara tillämplig vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som inte är hänförlig till brottsbekämpning och som rör kontroll av utlänningar i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Detta överensstämmer med den reglering som gäller i dag.

7.3.5. Vilken personuppgiftsbehandling faller utanför lagens tillämpningsområde?

Viss personuppgiftsbehandling som Migrationsverket, utlandsmyndigheterna, Polismyndigheten och Säkerhetspolisen utför på utlännings- och medborgarskapsområdet regleras av annan lagstiftning. Det gäller bland annat den personuppgiftsbehandling som sker med stöd av lagen (2000:344) om Schengens informationssystem och EU-förordningar. Dessa undantag kommer att utvecklas närmare i avsnitt 7.4.

Som beskrivs närmare i avsnitt 7.3.4 faller även Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling i den brottsbekämpande verksamheten utanför den föreslagna lagens tillämpningsområde. Se vidare även härom i avsnitt 7.4.

Vidare bör nämnas att personuppgiftsbehandling i samband med de ovan nämnda myndigheternas interna administration inte bör regleras av utlänningsdatalagen. Hos myndigheter finns behov av att behandla uppgifter för rent administrativa ändamål, som inte har samband med något enskilt ärende eller annan sådan verksamhet som avses enligt föregående avsnitt. Det kan röra sig om behandling av personuppgifter om anställda och arbetssökande, men även till exempel uppdragstagare eller leverantörer. Enligt utredningens bedömning kräver denna verksamhet ingen särreglering utan personuppgiftslagens bestämmelser ger ett tillräckligt skydd och en tillräcklig möjlighet att behandla personuppgifter på ett ändamålsenligt sätt.

7.4. Undantag från lagens tillämpningsområde

Utredningens förslag: Lagen ska inte tillämpas när personupp-

gifter behandlas med stöd av

1. lagen (2000:344) om Schengens informationssystem,

2. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),

3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),

4. polisdatalagen (2010:361) eller

5. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ PUL om rättelse m.m. och skadestånd i den mån inte annat följer av den förordningen.

De länder som deltar i Schengensamarbetet har ett gemensamt informationssystem, Schengens informationssystem (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. SIS II är en ny version av det

ursprungliga SIS som tog i bruk den 9 april 2013. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll. Den svenska enheten av Schengens informationssystem regleras i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem. Polismyndigheten ska med hjälp av automatiserad behandling föra ett register som ska vara den svenska delen av SIS (1 § lagen om Schengens informationssystem). I lagen regleras bland annat bestämmelser om för vilka ändamål uppgifter i registret får behandlas, vilka uppgifter som får registreras och förbud mot registrering av känsliga personuppgifter. Syftet med SIS II är att främja samarbete som avser polisära och rättsliga frågor, men också som hjälpmedel för att avgöra om en person ska nekas tillträde till eller uppehållstillstånd i Schengenstaterna (2 §). Den personuppgiftsbehandling som Polismyndigheten utför med stöd av lagen träffas av beskrivningen av utlänningsdatalagens tillämpningsområde. I utlänningsdatalagen bör det därför införas en reglering som anger att lagen om Schengens informationssystem har företräde i händelse av en kollision.

Det finns vidare ett antal EU-förordningar som reglerar sådan verksamhet som i och för sig motsvarar den verksamhet som faller under utlänningsdatalagens tillämpningsområde.

VIS är EU:s gemensamma informationssystem för viseringar. Användningen av VIS regleras i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse, (VIS-förordningen)(1). Migrationsverket är registeransvarigt och har centralt ansvar för Sveriges behandling av personuppgifter i VIS enligt artikel 41.4 VISförordningen.

Sedan införandet av Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemensam viseringskodex (viseringskodexen) handläggs viseringsansökningar som huvudregel av utlandsmyndigheterna. Även Polismyndigheten får med stöd av viseringskodexen handlägga vissa viseringsansökningar.

De ovan nämnda myndigheternas behandling av personuppgifter i VIS regleras i princip uteslutande genom viseringskodexen och VIS-förordningen. Undantagen behandlas nedan.

Migrationsverket är vidare kontaktmyndighet i frågor som rör EU:s databas för identifiering av fingeravtryck, Eurodac. Syftet med Eurodac är att fastställa vilken medlemsstat som ska vara ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller statslös person lämnar in i en medlemsstat. Varje medlemsstat är skyldig att ta fingeravtryck av en person som ansöker om internationellt skydd och som är 14 år eller äldre och överföra uppgifterna tillsammans med vissa andra uppgifter till EU:s centrala system. Behandlingen av uppgifter i Eurodacsystemet regleras fram till den 20 juli 2015 av Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen och därefter av Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).

Den behandling av personuppgifter som ovan nämnda myndigheter utför enligt viseringskodexen, VIS-förordningen och Eurodacförordningen hade i och för sig kunnat falla inom utlänningsdatalagens tillämpningsområde. Som framgår av avsnitt 6.5 blir en EUförordning, när den trätt i kraft, automatiskt en del av medlemsstatens nationella rättssystem. Medlemsstaterna får inte vidta några implementeringsåtgärder, utan förordningen ska tillämpas i sin ursprungliga form. De ovan nämnda förordningarnas bestämmelser om behandling av personuppgifter har därför inte införlivats i den nuvarande utlänningsdataförordningen, och får således inte heller införlivas i den nya utlänningsdatalagen. Behandling av personuppgifter med stöd av förordningarna bör därför, med undantag för vad som anges nedan, inte omfattas av utlänningsdatalagens tillämpningsområde.

Av EU-domstolens praxis följer att EU-rätten har företräde framför nationell rätt (se avsnitt 6.5). I de fall det finns bestämmelser om personuppgiftsbehandling i en EU-förordning ska dessa bestämmelser således ha företräde framför bestämmelser i svensk lag eller förordning. Någon uttrycklig bestämmelse om det i utlänningsdatalagen krävs egentligen inte. I förtydligande syfte bör dock i lagen uttryckligen anges att personuppgiftsbehandling enligt VISförordningen, viseringskodexen och Eurodac-förordningen faller utanför den föreslagna lagens tillämpningsområde.

Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling i brottsbekämpande verksamhet regleras av polisdatalagen. Gränsdragningen mellan brottsbekämpande verksamhet och Polismyndighetens och Säkerhetspolisens verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas i avsnitt 7.3.4. För att undvika överlappande lagstiftning bör det i utlänningslagen införas en bestämmelse som tydliggör att behandling av personuppgifter som regleras av polisdatalagen faller utanför utlänningsdatalagens tillämpningsområde.

Enligt 15 § andra meningen nuvarande utlänningsdataförordning ska bestämmelserna i 28 § och 48 § PUL om rättelse och skadestånd tillämpas vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.

Artikel 38.2 i VIS-förordningen reglerar korrigering och radering av uppgifter. Enligt bestämmelsen får var och en begära att oriktiga uppgifter om honom eller henne korrigeras och att uppgifter som har registrerats på olagligt sätt raderas. Denna korrigering eller radering ska utföras utan dröjsmål av den ansvariga medlemsstaten i enlighet med dess författningar. I svensk rätt finns allmänna bestämmelser om rättelse, blockering och utplåning av personuppgifter i 28 § PUL. Där föreskrivs att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I lagtexten anges inte vilken av de alternativa metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Av detta följer att det i princip är den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som själv får välja vilken av metoderna som ska tillämpas i det enskilda fallet (se prop. 1997/98:44 s. 86). I 28 § PUL föreskrivs vidare att den person-

uppgiftsansvarige ska underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller då mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon underrättelse behöver emellertid inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Enligt VIS-förordningens bestämmelser ska korrigering och radering av personuppgifter utföras i enlighet med nationella bestämmelser. Personuppgiftslagens bestämmelse om rättelse gäller enligt sin ordalydelse endast vid behandling som skett i strid mot personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I utlänningsdatalagen bör därför införas en uttrycklig hänvisning till 28 § PUL.

Det följer av artikel 33 i VIS-förordningen att de nationella bestämmelserna om skadestånd är tillämpliga när det gäller skadeståndsanspråk mot en medlemsstat för skada till följd av otillåten behandling eller av något annat handlande som är oförenligt med bestämmelserna i förordningen. Eftersom skadeståndsbestämmelsen i personuppgiftslagen enligt sin ordalydelse endast gäller vid behandling av personuppgifter i strid mot bestämmelserna i den lagen, bör det i utlänningsdatalagen även införas en bestämmelse som hänvisar till personuppgiftslagens bestämmelse om skadestånd. Personuppgiftslagens bestämmelse avser endast skadestånd till den registrerade, medan VIS-förordningens krets av skadeståndsberättigade är betydligt vidare och omfattar bland annat varje person och medlemsstat. Om en ersättningsfråga inte berörs i personuppgiftslagen bör i stället allmänna skadeståndsrättsliga regler i skadeståndslagen (1972:207) tillämpas.

7.5. Den registrerades inställning

Utredningens förslag: Behandling av personuppgifter som är

tillåten enligt utlänningsdatalagen ska få utföras även om den enskilde motsätter sig den.

Enligt 1 § tredje stycket nuvarande utlänningsdataförordning har en registrerad inte rätt att motsätta sig behandling av personuppgifter enligt förordningen. Bestämmelsen ska ses mot bakgrund av arti-

kel 14 a Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som föreskriver att den enskilde i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. I verksamhet enligt utlännings- och medborgarskapslagstiftningen finns behov av att behandla personuppgifter även om den enskilde motsätter sig sådan behandling. I utlänningsdatalagen bör det därför införas en bestämmelse av vilken det framgår att personuppgiftsbehandling som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den.

7.6. Förhållandet till personuppgiftslagen

Utredningens förslag: Utlänningsdatalagen ska gälla i stället för

personuppgiftslagen inom sitt tillämpningsområde. I lagen hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter enligt lagen.

Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter. Av 2 § PUL följer dock att om det i annan lag eller förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Bestämmelserna i den nya lagen kommer således som huvudregel att ha företräde framför personuppgiftslagens bestämmelser. Finns inga särskilda bestämmelser i lagen ska dock personuppgiftslagens bestämmelser gälla. Frågan är hur de bestämmelser i personuppgiftslagen som ska gälla även för personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska infogas i den nya lagen. I tidigare lagstiftning har olika lösningar valts.

En modell är att ange att den särskilda författningen gäller utöver personuppgiftslagen eller att inte över huvud taget nämna personuppgiftslagen i särlagstiftningen. Det innebär att personuppgiftslagens bestämmelser automatiskt blir tillämpliga när den särskilda författningen inte innehåller någon särbestämmelse. Metoden har använts i bland annat i patientdatalagen och studiestödsdatalagen (2009:287). Metoden har kritiserats, eftersom det anses vara svårt

för den som ska tillämpa lagen att klart och tydligt se vilka bestämmelser i personuppgiftslagen som är tillämpliga.

En annan modell är en heltäckande modell som innebär att de bestämmelser i personuppgiftslagen som ska vara tillämpliga anges uttryckligen i registerförfattningen. Denna typ av reglering har till exempel valts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Fördelen med denna modell är att alla relevanta bestämmelser framgår direkt av lagen. Nackdelen är att identiska bestämmelser upprepas i flera olika författningar och att lagtexten blir omfattande.

Ett tredje sätt är att utöver de bestämmelser som avviker från personuppgiftslagen hänvisa till de lagrum i personuppgiftslagen som är tillämpliga.

I förarbetena till polisdatalagen anges att fördelen med den heltäckande modellen är att tillämparen snabbt kan få klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen (se prop. 2009/10:85 s. 80). Problemet är att det i viss mån blir dubbelreglering, eftersom personuppgiftslagen ändå gäller och att lagstiftningen blir omfattande. Som ett alternativ föreslogs i polisdatapropositionen den modell som finns i lagen om Tullverkets brottsbekämpande verksamhet, nämligen reglering genom hänvisningar till de lagrum i personuppgiftslagen som är tillämpliga. Det konstaterades i propositionen att Lagrådet inte hade några invändningar mot den valda metoden samt att samma lösning nyligen också har föreslagits för Kustbevakningens personuppgiftsbehandling och för åklagarväsendets personuppgiftsbehandling (se SOU 2006:18 och SOU 2008:87). Fördelarna med en sådan lösning är enligt propositionen att lagstiftningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering. För denna modell talar också, enligt propositionen, att det ligger ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet.

Samma argument som anförs ovan rörande polisdatalagen är giltiga även när det gäller utformningen av bestämmelserna i en ny utlänningsdatalag. I den nya lagen bör därför hänvisning göras till

de bestämmelser i personuppgiftslagen som är tillämpliga utöver utlänningsdatalagens bestämmelser.

7.7. Tillämpliga bestämmelser i personuppgiftslagen

Utredningens förslag: Följande bestämmelser i personuppgifts-

lagen ska tillämpas på motsvarande sätt vid behandling av personuppgifter enligt utlänningsdatalagen eller enligt föreskrifter som meddelats i anslutning till lagen:

1. definitioner (3 §),

2. förhållandet till offentlighetsprincipen (8 §),

3. grundläggande krav på behandlingen av personuppgifter (9 §),

4. behandling av uppgifter om personnummer (22 §),

5. information till den registrerade (23 och 25–27 §§),

6. rättelse (28 §),

7. säkerheten vid behandling (30 och 31 §§ samt 32 § första

stycket),

8. överföring av personuppgifter till tredjeland (33–35 §§),

9. personuppgiftsombudets uppgifter m.m. (38–41 §§), 10. upplysningar till allmänheten om vissa behandlingar (42 §), 11. tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första

stycket och 47 §), 12. skadestånd (48 §) och 13. överklagande (51 § första stycket, 52 § första stycket och 53 §).

Om personuppgifter ska gallras enligt utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Datainspektionen ska inte kunna förena ett förbud att utföra viss behandling med vite.

7.7.1. Definitioner

I 3 § PUL finns definitioner av vissa för personuppgiftsbehandling grundläggande begrepp, bland annat behandling, personuppgift, personuppgiftsansvarig, den registrerade och samtycke. Med behand-

ling (av personuppgifter) avses till exempel varje åtgärd eller serie av

åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Exempel på detta är insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Definitionerna i 3 § PUL gäller vid personuppgiftsbehandling med stöd av nuvarande utlänningsdataförordning. Det har inte framkommit skäl att ändra på denna ordning. Vidare är det lämpligt att de begrepp som används i den nya lagen har samma innebörd som i personuppgiftslagen. En hänvisning till 3 § PUL bör därför tas in i den nya lagen.

7.7.2. Förhållande till offentlighetsprincipen

Av 8 § första stycket PUL följer att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (TF). I 2 kap. TF finns bestämmelser om allmänna handlingars offentlighet. Även om grundlagens bestämmelser alltid har företräde framför bestämmelser i vanlig lag, anfördes i förarbetena till personuppgiftslagen att det i klargörande syfte bör tas in en bestämmelse som uttryckligen anger detta förhållande i lagen (se prop. 1997/98:44 s. 46). För tydlighetens skull bör en hänvisning till 8 § första stycket PUL göras i den nya lagen. En myndighet är således alltid skyldig att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser. Tryckfrihetsförordningen innebär dock ingen skyldighet för en myndighet att lämna ut uppgifter i elektronisk form.

I 8 § andra stycket PUL anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndig-

het. I förarbetena till personuppgiftslagen anges att bestämmelsen rör det bevarande av allmänna handlingar som utgör en förutsättning för att offentlighetsprincipen i 2 kap. TF ska kunna uppfylla sina syften (se prop. 1997/98:44 s. 118).

Som ovan angetts finns det i nuvarande utlänningsdataförordning med undantag för en särbestämmelse avseende fingeravtrycksregistret inga bestämmelser om gallring. Utgångspunkten är således att allmänna handlingar i verksamhet enligt utlännings- och medborgarskapslagstiftningen som omfattas av utlänningsdataförordningen ska bevaras. Utredningen gör i avsnitt 7.16.2 därför bedömningen att utgångspunkten även fortsättningsvis bör vara att arkivlagens (1990:782) bestämmelser om bevarande ska gälla i den nya utlänningsdatalagen. Om det i särförfattningar för myndigheters behandling av personuppgifter saknas gallringsbestämmelser, tillämpas arkivlagens bestämmelser om bevarande som huvudprincip och gallring som undantag. Någon särskild bestämmelse om bevarande behövs således egentligen inte i utlänningsdatalagen. I klargörande syfte bör dock en hänvisning till bestämmelserna i 8 § andra stycket PUL tas in i den nya lagen.

Utredningen anser dock att det i den nya lagstiftningen finns behov av gallringsföreskrifter på vissa områden. Som framgår av avsnitt 7.10.3 föreslår utredningen att det även i fortsättningen ska gälla särskilda regler för gallring av uppgifter i Migrationsverkets fingeravtrycks- och fotografiregister. Vidare anser utredningen att särskilda gallringsbestämmelser ska gälla för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag, se kapitel 8. Utredningen anser också att särskilda bestämmelser om gallring ska gälla för känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se avsnitt 7.16.2 och 7.17. Av den nya utlänningsdatalagen bör det således framgå att 8 § andra stycket PUL inte ska tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

7.7.3. Grundläggande krav på behandlingen av personuppgifter

I 9 § PUL föreskrivs vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed (a och b). Vad som är god sed vid behandling av personuppgifter får enligt förarbetena till personuppgiftslagen avgöras i rättstillämpningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig (se prop. 1997/98:44 s. 143). Den nya lagen bör hänvisa till 9 § första stycket a) och b) PUL.

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (c). Bestämmelsen innebär att ändamålen med en behandling måste bestämmas redan när uppgifterna samlas in (se SOU 1997:39 s. 350, prop. 1997/98:44 s 120 f.) Det bör göras en hänvisning även till denna bestämmelse i personuppgiftslagen.

Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (d). I denna bestämmelse kommer den s.k. finalitetsprincipen till uttryck. Bestämmelsen är av central betydelse vid behandling av personuppgifter. Den innebär att vidarebehandling av redan insamlade personuppgifter inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Utredningen kommer att i avsnitt 7.9 föreslå att den nya lagen bör ange vissa primära och sekundära ändamål, att de primära ändamålen ska vara uttömmande samt att vidarebehandling ska vara tillåten förutsatt att behandlingen inte är oförenlig med insamlingsändamålet. Vad som är oförenligt med de ursprungliga ändamålen får enligt förarbetena till personuppgiftslagen bestämmas genom praxis och kompletterande föreskrifter (se SOU 1997:39 s. 351). Det bör finnas en hänvisning även till 9 § första stycket d PUL.

Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen (e). Den personuppgifts-

ansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (h). Enligt utredningen bör den nya lagen hänvisa även till dessa bestämmelser i personuppgiftslagen.

Av 9 § första stycket i PUL följer slutligen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Denna bestämmelse har betydelse för hur personuppgifter som behandlas elektroniskt ska arkiveras och gallras. Personuppgiftslagen innehåller två undantag från bestämmelsen. För det första hindrar personuppgiftslagens bestämmelser aldrig att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket PUL). För det andra följer det av 9 § tredje stycket PUL att personuppgifter får bevaras under längre tid än som anges i punkten i, om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål. Detta undantag gäller för alla personuppgifter, oavsett om det rör sig om uppgifter i en allmän handling eller inte.

Som utredningen närmare kommer att utveckla i avsnitt 7.16 gäller för närvarande arkivlagens regler om bevarande och gallring för personuppgifter på det aktuella verksamhetsområdet, både de som behandlas helt eller delvis automatiserat och de som behandlas manuellt. Utgångspunkten är således att allmänna handlingar ska bevaras. För personuppgifter som inte är allmänna handlingar gäller däremot bestämmelserna i 9 § första stycket i och tredje stycket PUL, dvs. de ska som huvudregel förstöras om de inte längre är nödvändiga för det ändamål de behandlas för. Av skäl som redovisas närmare i avsnitt 7.16.2 anser utredningen att den nuvarande ordningen bör upprätthållas även i den nya lagen. Utredningen föreslår dock särskilda bestämmelser om avskiljande av personuppgifter som inte längre behövs i den löpande verksamheten (se avsnitt 7.16.2). Avskiljande får inte innebära att uppgifterna gallras.

En stor del av den personuppgiftsbehandling som den nya lagen ska reglera torde avse uppgifter i allmänna handlingar. Det enklaste sättet att reglera frågan om bevarande och gallring skulle därför eventuellt vara att i utlänningsdatalagen bara hänvisa till 8 § andra

stycket PUL. En hänvisning till den bestämmelsen innebär att personuppgifter i allmänna handlingar kan bevaras elektroniskt och behandlas för arkivering utan hinder av personuppgiftslagen. Det kan dock förekomma fall av automatiserad personuppgiftsbehandling som inte rör uppgifter i allmänna handlingar. För att regleringen ska bli heltäckande bör därför en hänvisning till bestämmelserna i 9 § första stycket i) och tredje stycket PUL också göras. Det innebär att personuppgifter som inte finns i en allmän handling kan bevaras elektroniskt så länge det är nödvändigt med hänsyn till ändamålen med behandlingen eller om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål. Därefter ska uppgiften förstöras.

Av 9 § andra stycket PUL följer att senare behandling som sker för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Som anges ovan får enligt tredje stycket sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Fjärde stycket föreskriver att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. En hänvisning bör finnas i den nya lagen även till dessa bestämmelser i personuppgiftslagen.

7.7.4. Behandling av personnummer

Enligt 22 § PUL får uppgifter om personnummer eller samordningsnummer behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får dock fritt besluta hur de materiella reglerna ska utformas. Bestämmelsen i personuppgiftslagen har utformats med motsvarande bestämmelse i den tidigare datalagen (1973:289) som förebild.

Uppgift om personnummer eller samordningsnummer utgör inte en känslig personuppgift enligt personuppgiftslagens definition,

men är ändå en typ av uppgift som bör behandlas med försiktighet. Bestämmelsen i 22 § PUL ger uttryck för att behandlingen av personnummer och samordningsnummer bör vara restriktiv och föregås av en avvägning mellan behovet och de integritetsrisker som behandlingen innebär.

I nuvarande utlänningsdataförordning finns inga särskilda bestämmelser som rör personnummer och samordningsnummer. Personuppgiftslagens bestämmelser är således tillämpliga i verksamhet inom utlännings- och medborgarskapslagstiftningen. Vikten av en säker identifiering medför att personnummer och samordningsnummer ofta måste behandlas i den verksamhet som omfattas av utlänningsdatalagen. Utredningen bedömer därför att det inte bör införas några inskränkningar i rätten att behandla personnummer eller samordningsnummer i förhållande till personuppgiftslagens bestämmelse. Den nya lagen bör därför hänvisa till 22 § PUL.

7.7.5. Information till den registrerade

Information till den registrerade regleras i 23−27 §§ PUL.

Enligt 23 § PUL ska den personuppgiftsansvarige självmant informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § PUL uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § PUL, lämnas på begäran av den registrerade. Om uppgifter behandlas, ska information lämnas till sökanden om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Sådan information ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart

för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten föreligger enligt 27 § PUL vid sekretess och tystnadsplikt.

Bestämmelserna i 23 och 25−27 §§ PUL är redan i dag tillämpliga vid myndigheternas behandling av personuppgifter inom utlännings- och medborgarskapsverksamheten. Annat har inte framkommit än att bestämmelserna bör tillämpas även vid en lagreglering av personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet. En hänvisning till bestämmelserna bör därför införas i den nya lagen.

Någon hänvisning till 24 § PUL är emellertid inte nödvändig enligt utredningen, eftersom personuppgiftsbehandlingen i den nya lagen är reglerad på sätt som artikel 11 i dataskyddsdirektivet föreskriver, se vidare härom i SOU 2015:39 s. 494 f.

7.7.6. Rättelse

Den personuppgiftsansvarige är enligt 28 § PUL skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska vidare underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade därigenom kan undvikas. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

I förarbetena till personuppgiftslagen konstateras att redan bestämmelserna i 9 § första punkten e och g PUL medför en skyldighet för den personansvariga myndigheten att vara aktiv för att se till att de behandlade uppgifterna är korrekta (se prop. 1997/98:44 s. 87). Bestämmelsen i 28 § PUL ger dock den registrerade rätt att påkalla den personuppgiftsanvariges aktivitet för att korrigera uppgifter, som gäller utöver de grundläggande kraven i 9 § PUL. I personuppgiftslagen anges inte vilken av metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Det är enligt för-

arbetena den personuppgiftsansvarige som avgör vilken åtgärd som är lämpligast i varje enskilt fall (se prop. 1997/98:44 s. 87).

Bestämmelsen i 28 § PUL gäller i nuläget vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är viktigt att det även i fortsättningen finns en möjlighet för enskilda att se till att personuppgifter som behandlas felaktigt rättas, blockeras eller utplånas. En hänvisning till 28 § PUL bör därför göras i den nya utlänningsdatalagen. En sådan hänvisning är även nödvändig med hänsyn till dataskyddsdirektivet.

7.7.7. Säkerhet vid behandlingen

I 30–32 §§ PUL finns bestämmelser om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Av 30 § följer bland annat att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, ska de bestämmelserna dock ha företräde (30 § tredje stycket). Här avses särskilt bestämmelser om tystnadsplikt och sekretess (se prop. 1997/98:44 s. 136). Enligt 30 § andra stycket PUL ska det i fråga om personuppgiftsbiträden finnas ett skriftligt avtal om biträdets behandling för den personuppgiftsansvariges räkning. Det ska i avtalet särskilt föreskrivas att biträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket PUL. Av 31 § PUL följer bland annat att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade personuppgifter. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Enligt 32 § första stycket PUL får Datainspektionen i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §.

Säkerhetsbestämmelserna är redan tillämpliga vid personuppgiftsbehandling i här aktuell verksamhet och de bör gälla även fortsättningsvis. En hänvisning till bestämmelserna bör alltså föras in i den nya lagen. Undantag bör dock göras för 32 § andra stycket PUL i vilket hänvisas till tillsynsmyndighetens möjlighet att förena förbud med vite. Regler om vite bör enligt allmänna rättsgrundsatser inte tillämpas i förhållandet mellan statliga myndigheter (se prop. 2004/05:164 s. 54, prop. 2006/07:46 s. 105 och 2009/10:85 s. 90). Någon hänvisning till 32 § andra stycket PUL bör därför inte göras i den nya lagen.

7.7.8. Överföring av personuppgifter till tredjeland

Allmänt om överföring av personuppgifter till tredjeland

Överföring av personuppgifter till tredjeland regleras i 33−35 §§ PUL. Regleringen grundas på bestämmelserna i artikel 25 och 26 i dataskyddsdirektivet och ingresspunkt 56−60 till direktivet.

I 33 § PUL finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Med tredjeland avses en stat som inte ingår i EU eller är ansluten till EES, se 3 § PUL.

Från förbudet finns vissa undantag, se 34 § PUL. Av den bestämmelsen följer att det trots förbudet är tillåtet att föra över personuppgifter till tredjeland om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig bland annat för rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Av bestämmelsen följer vidare att det även är tillåtet att föra över personuppgifter för användning i ett land som har anslutit sig till dataskyddskonventionen.

Enligt 35 § PUL har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bland annat om det behövs med hänsyn till ett viktigt allmänt intresse.

I 8 § andra stycket nuvarande utlänningsdataförordning finns en särskild bestämmelse om överföring av uppgifter till tredjeland. Enligt den bestämmelsen får de personuppgifter som finns i ett rättsfalls-

register föras över till en stat som inte ingår i EU eller är ansluten till EES. I övrigt gäller de ovan nämnda bestämmelserna i 33−35 §§ PUL vid behandling av personuppgifter inom utlännings- och medborgarskapsområdet.

Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är i dag till betydande del av internationell karaktär och överföring av uppgifter till andra EUländer eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete och uppfyllande av myndighetsuppdrag.

Det bör inledningsvis anmärkas att informationsutbyten genom direktåtkomst till Migrationsverkets datasystem eller som sker på annat sätt med svenska utlandsmyndigheter belägna i tredjeland enligt utredningens uppfattning inte innebär att personsuppgifter förs över till tredjeland (se artikel 4 i dataskyddsdirektivet som bland annat stadgar att en medlemsstats nationella rätt ska tillämpas även om den registeransvarige inte är etablerad inom medlemsstatens territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten).

Däremot är det fråga om överföring av uppgifter till ett annat land då utlandsmyndigheten i sin tur i olika situationer lämnar ut personuppgifter till mottagare i tredjeland. Exempel på sådan överföring är när utlandsmyndigheten begär biträde av lokala s.k. förtroendeadvokater eller andra utomstående. Sådant biträde kan till exempel begäras för att på ort och ställe kontrollera äktheten av vissa handlingar. Ytterligare exempel på överföring av uppgifter till tredjeland är när Migrationsverket i ärenden om återvändande behöver ordna resehandlingar och mottagande i mottagarlandet. Ett vanligt fall när personuppgifter överförs till tredjeland är vidare när polisen ska verkställa beslut om avvisningar eller utvisningar. Polisen kan då behöva kontakta utländska beskickningar för att kunna fastställa en persons identitet och för att få ut resehandlingar för personen. Olika uppgifter, exempelvis om familjeförhållanden och adresser i utlandet, skickas då över till den utländska beskickningen för att möjliggöra utredningen av identiteten, se bland annat 7 kap. 20 § UtlF. Överföring av personuppgifter till tredjeland sker i sistnämnda fall normalt utan den enskildes samtycke. Vidare kan polisen behöva få uppgifter verifierade hos myndigheter i det land där en utlandsmyndighet finns.

Utredningens övervägande

Utredningens förslag: Förutom med den registrerades samtycke

bör överföring av personuppgifter till tredjeland få ske om det är absolut nödvändig för

1. handläggning av ärenden eller biträde i sådana ärenden,

2. kontroll av utlänning och

3. återsökning av rättslig information.

När det gäller tillhandahållande av information till en utländsk myndighet i tredjeland, se avsnitt 7.9.3.

Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.

Internationellt samarbete och informationsutbyte har, som tidigare nämnts, en stor betydelse i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är därför av allmänt intresse att personuppgifter som behandlas enligt utlänningslagstiftningen bör kunna föras över till tredjeland när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt och rimligt sätt. Förslaget till en ny utlänningsdatalagstiftning bör därför enligt utredningen utformas på ett sådant sätt att den inte hindrar överföring till tredjeland som är befogad utifrån detta allmänintresse.

Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredjeland, om den registrerade samtycker till det. Om en registrerad i tredjeland exempelvis ansöker om visum vid en utlandsmyndighet, får han eller hon anses ha samtyckt till den överföring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredjeland som inleder en elektronisk kommunikation med en myndighet i Sverige, exempelvis via e-post eller via ett särskilt inrättat elektroniskt ansökningsförfarande, anses ha samtyckt till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredjeland.

I bland finns det även, som ovan nämnts, behov för aktuella myndigheter att överföra personuppgifter till tredjeland oavsett om samtycke till detta föreligger. Så kan exempelvis vara fallet vid

utlämnande av personuppgifter till förtroendeadvokater eller andra personer när utlandsmyndigheter i tredjeland biträder svenska myndigheter med utredning i enskilda ärenden, men även vid återvändandeärenden och verkställighetsärenden avseende avvisningar eller utvisningar.

Personuppgifter överförs ibland även till andra EU-länder vid s.k. Joint Return Operations (JRO), dvs. gemensamma återvändaroperationer koordinerade och finansierade genom EU:s gränskontrollbyrå Frontex. Anledningen till överföringen av uppgifter är att en medlemsstat som organiserar en insats behöver information om de som ska återvända för att kunna organisera och möjliggöra ett återvändande hos destinationslandet.

Vidare deltar Migrationsverket, Polismyndigheten och de andra myndigheterna som utför verksamhet enligt utlännings- och medborgarskapslagstiftningen i olika samarbetsorgan rörande asyl- och migrationsfrågor där även tredjeländer medverkar. I dessa fall lämnas dock aldrig några personuppgifter ut. Det rör sig i huvudsak om uppgifter som finns i Migrationsverkets informationssamling Lifos.

Vad nu anförts leder utredningen till slutsatsen att de undantagen från förbudet mot överföring av personuppgifter till tredjeland i 34 § PUL och undantaget i utlänningsdataförordningen inte är tillräckliga för att tillgodose all sådan överföring av personuppgifter som är befogad utifrån ovan nämnda allmänna intressen. Ytterligare undantag behövs alltså i den nya utlänningsdatalagen.

Förutom med den registrerades samtycke anser utredningen att överföring av personuppgifter till tredjeland ska få ske om det är absolut nödvändigt för 1) den överförande myndighetens handläggning av ärende eller biträde i sådana ärenden, 2) kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige och 3) sådan behandling som sker för ändamålet för återsökning av avgöranden, rättsutredningar och annan rättslig information.

Det kompletterande undantaget är enligt utredningens bedömning förenligt med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse, se artikel 26 i dataskyddsdirektivet.

Ett av de sekundära ändamålen i den nya lagstiftningen är tillhandahållande av information till en utländsk myndighet, se avsnitt 7.9.3. Den myndigheten kan finnas i tredjeland. Att sådan överföring får

ske under vissa förutsättningar följer redan av ändamålsbestämmelsen. Möjligheten behöver därför inte anges som ett särskilt undantag från förbudet för överföring av personuppgifter till tredjeland.

En fråga som har diskuterats är om personuppgifter kan anses överföras till tredjeland även om de fortsätter att vara under den personuppgiftsansvariges kontroll. Ett exempel på detta är om den personuppgiftsansvarige på en tillfällig resa till tredjeland tar med sig en bärbar dator i vilken personuppgifter dessförinnan lagrats (se SOU 2003:40 s. 247). Enligt utredningen finns det inget stöd för att tolka dataskyddsdirektivet på detta sätt. Utredningen föreslår därför inga undantag från förbudet mot överföring av personuppgifter till tredjeland som tar sikte på situationer som den nu beskrivna.

Av hänsyn till integritetsintresset bör regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kunna meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.

Eventuella sekretesshinder måste dock alltid övervägas innan personuppgifter lämnas ut till tredjeland, se bland annat SOU 2001:160 s. 66 f. och JO 2012/13 s. 265. I beslutet uttalade JO kritik mot Utrikesdepartementet för brister vid äkthetskontrollen av handlingar i ett asylärende. När det gäller sekretess och överföring av personuppgifter till tredjeland, se även SOU 2015:39 s. 483 f.

7.7.9. Anmälningsskyldighet och personuppgiftsombud

I 36 § första stycket PUL föreskrivs att behandling som är helt eller delvis automatiserad ska anmälas till tillsynsmyndigheten. Regeln bygger på artikel 18.1 i dataskyddsdirektivet. Artikeln är emellertid bara en huvudregel. Undantag är i viss utsträckning tillåtna. Enligt utredningen finns förutsättningar för att undanta personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet från anmälningsskyldighet. Någon hänvisning till 36 § PUL behövs därför inte.

I avsnitt 7.8 föreslås en särskild bestämmelse med skyldighet för Migrationsverket, Polismyndigheten och Säkerhetspolisen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett

sådant ombud utses och entledigas. Den nya lagen bör hänvisa till 38–40 §§ PUL om personuppgiftsombudets uppgifter.

Ett personuppgiftsombud ska enligt 38 § PUL självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister. Har ett personuppgiftsombud anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla förhållandet till Datainspektionen. Även i övrigt ska personuppgiftsombud samråda med Datainspektionen vid tveksamhet rörande tillämpningen av utlänningsdatalagen eller de bestämmelser i personuppgiftslagen som lagen hänvisar till. Av 39 § PUL följer att personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Slutligen har personuppgiftsombuden också till uppgift att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga, se 40 § PUL.

I 41 § PUL anges att regeringen har möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna ordning bör gälla även fortsättningsvis vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Den nya lagen bör därför innehålla en hänvisning till 41 § PUL.

7.7.10. Upplysningar till allmänheten

Den personuppgiftsansvarige ska enligt 42 § PUL till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan enligt 36 § första stycket PUL skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Den enskilde bör på ett snabbt och enkelt sätt kunna få besked om vilka behandlingar som utförs i den här aktuella verksamheten även i de fall den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § PUL bör därför tas in i den nya lagen.

7.7.11. Tillsynsmyndighetens befogenheter

Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Om Datainspektionen inte efter en begäran enligt 43 § PUL kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. I tidigare lagstiftning har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. Någon sådan möjlighet finns exempelvis inte i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt polisdatalagen.

Bestämmelserna om Datainspektionens befogenheter är i dag tillämpliga vid personuppgiftsbehandling i här aktuell verksamhet. Enligt gällande rätt finns det således redan en möjlighet för Datainspektionen att förbjuda myndigheternas personuppgiftsbehandling. Denna möjlighet bör finnas även fortsättningsvis. En hänvisning bör därför göras också till 43 och 44 §§ PUL.

En annan fråga är om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. Som ovan anförts är huvudprincipen att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter. Ett förbud enligt 44 § PUL bör således inte kunna förenas med vite.

Av 45 § första stycket PUL framgår att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse eller om saken är brådskan-

de, får Datainspektionen förbjuda behandlingen. Bestämmelsen gäller redan inom verksamheten och bör gälla även fortsättningsvis. En hänvisning till 45 § första stycket bör således göras. Däremot bör den nya lagen inte hänvisa till paragrafens andra stycke eller till 46 §. Dessa båda bestämmelser rör vite.

Enligt 47 § PUL har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen har sitt ursprung i dataskyddsdirektivet, som anger att varje nationell tillsynsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Av förarbetena till personuppgiftslagen framgår att vid bedömningen kan beaktas om utplånandet skulle innebära stora praktiska svårigheter för den personuppgiftsansvarige eller ett svårt ekonomiskt avbräck (se prop.1997/98:44 s. 142). När det gäller personuppgifter hos myndigheter är det i praktiken inte möjligt att utplåna uppgifter som behövs för handläggningen av ärenden eller som på grund av grundlagsbestämmelser eller lag ska bevaras.

Bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

7.7.12. Skadestånd och straff

I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen tillämpas vid behandling enligt nuvarande utlänningsdataförordning och bör gälla även fortsättningsvis. En hänvisning till 48 § PUL bör därför tas in i den nya lagen.

I kapitel 11 behandlar utredningen skadeståndsskyldighet efter kontroll vid Schengenviseringar.

I 49 § PUL föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Behandlingen av personuppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid statliga myndigheter. De omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Eftersom det är myndigheter som

kommer att utföra personuppgiftsbehandlingen, torde det inte bli aktuellt att tillämpa straffbestämmelsen (se prop. 1997/98:97 s. 109). Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i den nya lagen.

7.7.13. Överklagande

I 51 § första stycket PUL föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Som anges ovan föreslås Datainspektionen kunna meddela förbud enligt 44 § eller 45 § första stycket PUL. Därmed bör även en hänvisning till 51 § första stycket PUL göras.

Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Datainspektionen bör ges möjlighet att meddela interimistiska beslut i här aktuella fall. Hänvisning i den nya lagen bör därför göras även till 51 § andra stycket PUL.

En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket PUL, överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser anges att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen (se prop. 2005/06:173 s. 53). Den nya lagen bör således inte innehålla någon särskild bestämmelse om överklagande, endast en hänvisning till personuppgiftslagens bestämmelser om överklagande.

7.8. Personuppgiftsansvar

7.8.1. Allmänt om personuppgiftsansvar

Enligt 3 § PUL är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter. I registerförfattningar är det vanligt att

det anges vem som är personuppgiftsansvarig för den personuppgiftsbehandling som regleras.

I 2 § nuvarande utlänningsdataförordning anges att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför. Verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför. Polismyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför och Säkerhetspolisen för den behandling som den utför.

7.8.2. Utredningens överväganden

Utredningens förslag: Den myndighet som utför en behandling

eller som det åligger att utföra en behandling ska vara personuppgiftsansvarig för behandlingen. Migrationsverket bör även vara personuppgiftsansvarigt för utlandsmyndigheternas automatiserade personuppgiftsbehandling.

Migrationsverket, Polismyndigheten och Säkerhetspolisen ska vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.

Den personuppgiftsansvarige ska anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas.

I den nya lagen bör som huvudregel gälla att den som utför själva behandlingen också ska ha personuppgiftsansvaret. Således bör Migrationsverket, Polismyndigheten och Säkerhetspolisen vara personuppgiftsansvariga för den behandling som respektive myndighet utför.

Som framgår ovan gäller för närvarande särskilda regler för utlandsmyndigheternas personuppgiftsbehandling. Det kan diskuteras om Migrationsverket även i fortsättningen bör ha personuppgiftsansvaret för utlandsmyndigheterna. Vid denna bedömning bör beaktas vilken möjlighet Migrationsverket har att utöva kontroll och inflytande över utlandsmyndigheternas personuppgiftsbehandling, till exempel vilken kontroll verket har över säkerheten vid personuppgiftsbehandlingen på utlandsmyndigheterna.

De argument som kan framföras mot nuvarande ordning är att det är Utrikesdepartementet som äger och är anvarigt för utlands-

myndigheternas lokaler och har ansvar för deras externa avtal. Migrationsverket och utlandsmyndigheterna ingår inte i någon gemensam myndighetsorganisation och Migrationsverket har inte en överordnad roll i förhållande till utlandsmyndigheterna. Eftersom utlandsmyndigheterna är underställda Utrikesdepartementet torde departementet ha bättre möjligheter än Migrationsverket till faktisk kontroll och inflytande över verksamheten.

Det som ändå talar för att nuvarande ordning ska bestå är att det är Migrationsverket som är tekniskt ansvarigt för de datasystem som utlandsmyndigheterna använder vid handläggning av sina viseringsärenden och olika tillståndsärenden. Behörigheten till datasystemen Wilma och W2 styrs av Migrationsverket. Uppgifterna hämtas från CUD. Det talar för att ansvaret bör ligga på Migrationsverket. Inget annat har heller framkommit än att nuvarande ordning har fungerat relativt väl. Vidare underlättar det för den enskilde om personuppgiftsansvaret är samlat hos en myndighet. Migrationsverket bör således även i fortsättningen ansvara för utlandsmyndigheternas behandling av personuppgiftsbehandling enligt utlännings- och medborgarskapslagstiftningen. Ansvaret bör begränsas till utlandsmyndigheternas automatiserade behandling, eftersom det är sådan behandling som Migrationsverket har möjlighet att utöva kontroll över. Personuppgiftsansvaret för manuell behandling av personuppgifter i register bör i stället ligga på utlandsmyndigheterna.

En myndighet har enligt 36 § PUL möjlighet att välja om ett personuppgiftsombud ska utses eller inte. Med hänsyn till omfattningen av personuppgiftsbehandlingen och typen av uppgifter som behandlas inom verksamhet på utlännings- och medborgarskapsområdet anser utredningen att det vore lämpligt att de personuppgiftsansvariga myndigheterna var skyldiga att utse personuppgiftsombud. Att en myndighet utser ett personuppgiftsombud innebär att det finns en person som har ansvar för granskning och kontroll av den egna myndighetens verksamhet och för att behandlingen är laglig och korrekt. Det underlättar vidare för de enskilda som vill kontakta myndigheten i frågor som rör personuppgiftsbehandling att ha en särskild person att vända sig till. Migrationsverket, Polismyndigheten och Säkerhetspolisen bör därför enligt utredningen vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det

åligger myndigheten att utföra och anmäla dessa till Datainspektionen.

Utredningen har övervägt om även utlandsmyndigheterna bör vara skyldiga att utse personuppgiftsombud. Med tanke på att dessa myndigheter ser ganska olika ut och ofta är små har utredningen dock kommit till slutsatsen att det bör vara frivilligt för dessa myndigheter om de vill ha ett personuppgiftsombud. I en del fall kan det säkert vara lämpligt.

7.9. Ändamål

7.9.1. Allmänt om ändamål

Personuppgiftslagens regelverk har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I 9 § PUL anges vissa grundläggande krav som den personuppgiftsansvarige måste leva upp till vid behandling av personuppgifter. Enligt punkten c får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. I punkten d anges den s.k. finalitetsprincipen enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Bestämmelserna innebär bland annat att den personuppgiftsansvariga redan vid insamlingen av uppgifterna måste bestämma för vilket eller vilka ändamål insamlingen sker. De innebär också att vidarelämning av uppgifter måste föregås av en prövning av om mottagarens ändamål är oförenligt med de ursprungliga ändamålen eller inte.

Vid behandling av personuppgifter är ändamålsbestämmelsen således av central betydelse för skyddet för den personliga integriteten. Ändamålet definierar vilka uppgifter som får behandlas och hur uppgifterna får behandlas. Ändamålet reglerar också hur länge uppgifterna får bevaras. Ändamålsbestämmelsen är den yttre ram som ska garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt. Bestämda ändamål begränsar den personuppgiftsansvariges handlingsfrihet, vilket ska ge ett skydd för den enskildes personliga integritet.

7.9.2. Primära och sekundära ändamål

Registerlagar innehåller normalt dels ändamål som avser den berörda myndighetens eget behov av att behandla personuppgifter, dels ändamål som reglerar i vilken utsträckning uppgifter som samlats in för myndighetens egen verksamhet får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. De förstnämnda ändamålen brukar kallas för primära och de sistnämnda för sekundära. I registerförfattningar är det också vanligt att man i författningen redovisar de primära och sekundära ändamålen var för sig, se till exempel polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).

Det finns vidare olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilka behandling får ske, både primära och sekundära. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in i enlighet med finalitetsprincipen.

Det finns exempel på båda metoderna i senare lagstiftning. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges uttömmande samtliga de ändamål för vilka behandling får ske, både de som gäller insamling av uppgifter och efterföljande behandling. I polisdatalagen och kustbevakningsdatalagen har i stället den andra metoden valts. I dessa lagar anges att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet. Valet av metod diskuteras bland annat i förarbetena till polisdatalagen och kustbevakningsdatalagen (se prop. 2009/10:85 s. 98 f. och prop. 2011/12:45 s. 101 f.). I propositionerna anförs att de primära ändamålen bör anges uttömmande. En annan fråga enligt propositionerna är om även de sekundära ändamålen bör anges uttömmande. Den fördel som ses med en sådan reglering är att lagstiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart för både tillämpare och andra vilken personuppgiftsbehandling som får förekomma med stöd av den aktuella lagen. Det anförs vidare i propositionerna att man i förarbetena till

flera registerlagar dock har gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Att bedöma nuvarande och förutse framtida behov av att kunna utlämna uppgifter är särskilt svårt i en sådan varierad och omfattande verksamhet som polisens brottsbekämpande verksamhet. Det konstateras att de sekundära ändamålen bör uttryckas så preciserat och fullständigt som möjligt men att vidarebehandling därutöver bör vara möjlig om den är förenlig med finalitetsprincipen. För andra sekundära ändamål än de som anges i lagen bör utlämnande alltså tillåtas under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet att lämna ut uppgifterna.

7.9.3. Utredningens överväganden

Utredningens förslag: Personuppgifter får behandlas bara om

det är nödvändigt för vissa ändamål. Ändamålen ska anges i lagen. Utöver de ändamål som anges i lagen får insamlade personuppgifter även behandlas för att tillhandahålla andra information, om tillhandahållandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Särskilda ändamål

I nuvarande utlänningsdataförordning finns vissa särskilda bestämmelser om ändamål. Enligt 3 § utlänningsdataförordningen får personuppgifter behandlas i verksamhetsregister för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller författning, fullgörande av underrättelseskyldighet som följer av lag eller annan författning samt för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet. Av 8 § framgår att Migrationsverket får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Vidare anges i 9 § att Migrationsverket får föra ett fingeravtrycksregister som får användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl

åberopats, i ärenden om avvisning och utvisning samt i testverksamhet. Ändamålet testverksamhet tillkom genom en ändring i utlänningsdataförordningen som träder i kraft den 15 juli 2015 (SFS 2015:310).

På senare tid har frågan huruvida ändamål bör regleras på det sätt som i dag är brukligt i registerlagar diskuterats. Exempelvis menar Informationshanteringsutredningen att huvudregeln bör vara att det är den personuppgiftsansvariga myndigheten själv som, inom ramen för sitt uppdrag, närmare specificerar för vilket eller vilka ändamål personuppgifter behandlas i verksamheten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen, se SOU 2015:39 s. 277 f. Även om det finns skäl för Informationshanteringsutredningens överväganden i frågan anser utredningen att samma princip för ändamålsreglering som finns i dagens reglering på utlännings- och medborgarskapsområdet bör finnas i den nya lagstiftningen. Utgångspunkten bör alltså vara att den nya lagen ska innehålla ändamålsbestämmelser.

Frågan är då hur ändamålsbestämmelserna ska formuleras. Som ovan anges ska ändamålsbestämmelserna definiera gränserna för den tillåtna personuppgiftsbehandlingen. Bestämmelserna bör därför vara så tydliga och specificerade som möjligt. Enligt 9 § första stycket c PUL får personuppgifter endast samlas in för särskilda ändamål. Av denna bestämmelse följer enligt förarbetena till personuppgiftslagen att en alltför allmänt hållen ändamålsangivelse inte kan godtas (se SOU 1997:39 s. 350 och prop. 1997/98:44 s. 120). Hur detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav får dock enligt förarbetena avgöras i praxis och genom kompletterande föreskrifter. När det gäller hur ändamålen i en registerförfattning ska formuleras har regeringen emellertid uttalat att syftet med ändamålen i en registerförfattning är att ange en yttersta ram inom vilken personuppgifter får behandlas och att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt (se prop. 1997/98:97 s. 121).

Den verksamhet som ska regleras i den nya lagen är både omfattande och mångskiftande och utförs av flera myndigheter. Följden blir att ändamålsbestämmelserna måste formuleras tämligen generellt. Samtidigt ska bestämmelserna uppfylla personuppgiftslagens krav på särskilda ändamål. Ändamålen måste vara tillräckligt preciserade

för att det ska gå att kontrollera att personuppgifter endast behandlas för avsedda ändamål.

Vid den kartläggning som utredningen gjort av användningen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen har framkommit att ändamålsregleringen i nuvarande utlänningsdataförordning stämmer väl överens med Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas behov. Det är därför lämpligt att ändamålsbestämmelserna i den nya lagen har sin utgångspunkt i dessa bestämmelser. Behandling av personuppgifter bör således vara tillåtet för ändamålen handläggning av ärenden i enlighet med vad som följer av lag och förordning, fullgörande av underrättelseskyldighet som följer av lag och förordning samt för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet. Behandling bör också vara tillåten för ändamålen återsökning av avgöranden, rättsutredningar och annan information samt information rörande förhållanden i andra länder. Men även ändamålet att lämna ut insamlade uppgifter till enskilda och andra myndigheter bör regleras.

Utredningen konstaterar i avsnitt 7.11.2 att lagen inte bör innehålla någon uppräkning av vilka uppgifter som får behandlas i verksamheten motsvarande den som i dag finns i 4 § utlänningsdataförordningen. Det ska i stället bestämmas av ändamålet. Endast sådana uppgifter som är nödvändiga för ett i lagen angivet ändamål får behandlas. Det innebär att det är ännu viktigare att ändamålsbestämmelserna är tydliga och inte alltför vida. En ytterligare specificering i förhållande till vad som gäller enligt utlänningsdataförordningen är därför lämpligt. Utredningens förslag på ändamålsbestämmelser beskrivs närmare nedan.

Utöver de i utlänningsdatalagen angivna särskilda ändamålen kommer personuppgiftsbehandlingen styras av de bestämmelser i personuppgiftslagen som ska gälla utöver utlänningsdatalagen. Det innebär att de grundläggande kraven på personuppgiftsbehandlingen i 9 § PUL kommer att gälla även vid personuppgiftsbehandling enligt den nya lagen. Av denna bestämmelse följer bland annat att den personuppgiftsansvarige har ansvar för att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter än

nödvändigt behandlas. Även denna reglering begränsar således personuppgiftsbehandlingen.

Den nya lagens ändamålsreglering och finalitetsprincipen

I den nya lagen kommer det, som närmare kommer att utvecklas nedan, att finnas både primära och sekundära ändamål. När det gäller innebörden av begreppen primära och sekundära ändamål, se avsnitt 7.9.2. Även i den nuvarande utlänningsdataförordningen finns båda slagen av ändamålsbestämmelser. Frågan är då om ändamålen i den nya lagen ska regleras uttömmande eller om myndigheterna ska ha möjlighet att behandla personuppgifter för något annat ändamål under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet.

Ändamålsregleringens utformning har tagits upp i utredningens direktiv. Där anges att det, som bland annat Integritetsskyddskommittén har uppmärksammat i sitt betänkande Skyddet för den

personliga integriteten (SOU 2007:22), numera förekommer att ut-

tömmande ändamålsreglering leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (se SOU 2007:22 s. 464 f.). Utredaren ska därför enligt utredningens direktiv se till att föreslagen reglering inte innehåller några uttömmande ändamålsregleringar. Det finns olika möjligheter att utforma ändamålsregleringen. Det verkar, som har berörts ovan, finnas i princip två olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med de i lagen angivna ändamålet (jfr finalitetsprincipen). Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling får ske, vare sig det är fråga insamling av uppgifter eller efterföljande behandling.

En utgångspunkt för den nya lagen bör enligt utredningen vara att tillåtna ändamål ska anges så tydligt och fullständigt som möjligt. Särskilt viktigt är detta när det gäller de primära ändamålen. Det får således inte råda någon tvekan om vilken personuppgiftsbehandling som är tillåten i kärnverksamheten. Detta talar för att i vart fall de primära ändamålen bör anges uttömmande. Mot en sådan reglering

talar att den nuvarande utlänningsdataförordningen inte är uttömmande i fråga om tillåtna ändamål. Senare behandling får således i dag ske för något annat ändamål än de som anges i förordningen förutsatt att ändamålet inte är oförenligt med det i förordningen angivna ändamålet. Såvitt är känt har denna möjlighet inte föranlett några olägenheter när det enskildas integritetsskydd. Utredningen har ändå stannat för slutsatsen att ett fullgott integritetsskydd kräver att regleringen av de primära ändamålen är uttömmande. En annan ordning skulle kunna leda till otydlighet och oförutsebarhet. De primära ändamålen bör således redovisas uttömmande i lagen. Uttalandet i utredningens direktiv avser rimligen inte de primära ändamålen utan tar sikte på hur de sekundära ändamålen bör utformas.

Vad därefter gäller de sekundära ändamålen finns det förstås fördelar om den regleringen också är uttömmande. Med en uttömmande reglering bestämmer man en gång för alla i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. En sådan reglering blir både tydlig och förutsebar. Det finns emellertid vissa nackdelar med att reglera de sekundära ändamålen uttömmande. Det är nämligen, som har berörts ovan, knappast möjligt att i en lag som den nu aktuella på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Mot den bakgrunden föreslår utredningen i enlighet med direktiven till utredningen att de sekundära ändamålen i den nya lagen inte ska anges uttömmande. Det ska alltså vara möjligt att i vissa fall kunna behandla information för andra sekundära ändamål än de som anges i förslaget under förutsättning att det i det enskilda fallet inte kan anses vara oförenligt med insamlingsändamålet att lämna ut uppgifterna.

Denna möjlighet bör alltså ses som en ventil, eftersom det inte går att förutse alla de fall då uppgifter bör kunna lämnas ut.

I den nya lagen kommer det således att finnas både primära och sekundära ändamål. De förstnämnda, alltså de ändamål som avser den berörda myndighetens eget behov av att behandla personuppgifter, kommer att vara uttömmande. Uppgifter kan alltså inte behandlas för några andra primära ändamål än de särskilt angivna. Däremot kommer myndigheterna att ha möjlighet att lämna ut uppgifter i enlighet med finalitetsprincipen.

Nödvändighetskravet

Många registerförfattningar innehåller ändamålsbestämmelser som anger att en behandling av personuppgifter ska behövas eller vara nödvändig för de ändamål som anges i författningen (se till exempel 2 kap. 4 § patientdatalagen). Kravet att behandlingen ska vara nödvändig följer av dataskyddsdirektivets artikel 7. I bestämmelsen anges de principer som gör att personuppgiftsbehandling kan tillåtas. Av artikeln framgår att personuppgifter endast får behandlas om det är nödvändigt för vissa i artikeln angivna syften, såvida inte den registrerade otvetydigt lämnat sitt samtycke till behandlingen. Artikel 7 har genomförts i svensk rätt genom 10 § PUL och genom särskilda ändamålsbestämmelser i registerförfattningar.

I en kommentar till personuppgiftslagen anförs att nödvändighetskravets närmare innebörd inte är helt klart (Öman. S. m.fl., Personuppgiftslagen. En kommentar, 30 september 2014, Zeteo, kommentaren till 10 § ). Enligt Datalagskommittén, som bland annat hade till uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter i anledning av EU:s dataskyddsdirektiv, kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen. De flesta arbetsuppgifter kan rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt (se SOU 1997:39 s. 359). I senare förarbeten har det konstaterats att nödvändighetskravet inte rimligen kan innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg. En personuppgift torde vara nödvändig att behandla för ett visst ändamål, om ändamålet inte kan realiseras om inte personuppgiften får användas (se SOU 1999:109 s. 156).

Prövning av om en behandling är nödvändig ska göras inte bara då en personuppgift samlas in och registreras utan även vid senare

behandling av uppgiften, såsom vid fortsatt lagring, behandling för framställning av statistik eller utlämnande.

Som framgår ovan är nödvändighetskravet svårt att närmare definiera. Det kan framstå som olämpligt att i lagen införa ett begrepp som har en oklar betydelse. Utredningen bedömer ändå att det är lämpligt att införa ett krav på att personuppgifter får behandlas endast om det är nödvändigt för de i lagen angivna ändamålen. Enligt 4 § nuvarande utlänningsdataförordning får de personuppgifter som anges i paragrafen behandlas i den mån det är nödvändigt för det ändamål för vilket behandlingen utförs. Ett nödvändighetskrav gäller således redan i dag för behandling av personuppgifter i verksamhetsregister i här aktuell verksamhet. Genom nödvändighetskravet betonas att behandling av uppgifter inte ska ske slentrianmässigt och att en bedömning av nödvändigheten måste göras innan en behandling påbörjas. Eftersom begreppet är hämtat från dataskyddsdirektivet och personuppgiftslagen, har viss praxis utvecklats på området. Utredningen anser därför att det är lämpligt att införa ett krav på att behandlingen ska vara nödvändig för de i lagen angivna ändamålen för att vara tillåten.

För vilka ändamål ska personuppgifter få behandlas?

Handläggning av ärenden eller en myndighets biträde i sådana ärenden

En stor del av den personuppgiftsbehandling som sker i dag utförs i samband med de olika myndigheternas handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen. Myndigheterna måste naturligtvis kunna inhämta, ta emot, lagra och på andra sätt behandla personuppgifter i samband med att myndigheten fullgör sina uppgifter enligt lag och förordning.

Begreppet handläggning bör i sammanhanget tolkas ganska vidsträckt och innefatta alla moment som kan bli aktuella vid handläggning av ett ärende. Bestämmelsen ger till exempel stöd åt Migrationsverkets behandling av personuppgifter i samband med mottagande, registrering och beredning av ärenden, förordnande av offentligt biträde, kommunikation med parter, kommunikation med andra tjänstemän inom samma myndighet i anledning av ärendet och upprättande och meddelande av beslut. Under denna punkt faller även

Polismyndighetens personuppgiftsbehandling i kontroll- och verkställighetsärenden. Till sådan verksamhet räknas också till exempel att Polismyndigheten på elektronisk väg får tips om var personer som ska utvisas befinner sig eller att myndigheten själv använder sig av automatiserad behandling i syfte att identifiera och hitta personer vars beslut om avlägsnande ankommer på Polismyndigheten att verkställa. Därutöver ger bestämmelsen stöd för utlandsmyndighets personuppgiftsbehandling i den medverkan med utredning i Migrationsverkets, Polismyndighetens och Säkerhetspolisens handläggning av utlännings- och medborgarskapsärenden som sker med stöd av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepresentationen. Även den personuppgiftsbehandling som utförs i samband med Polismyndighetens och Säkerhetspolisens verkställande av Migrationsverket beslut om förvar faller under denna punkt.

Bestämmelsen ger också stöd åt att personuppgifter som samlats in för ett visst ärende behandlas i ett senare ärende som rör samma person eller i ett ärende som rör en annan person men där den registrerade förekommer som till exempel anhörig.

Den förslagna bestämmelsen avser endast behandling av personuppgifter som behövs för den egna myndighetens handläggning. Utlämnande av uppgifter till andra myndigheter för deras handläggning regleras på annat sätt, se nedan.

Kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige

Polismyndigheten utför personuppgiftsbehandling i samband med den yttre och inre utlänningskontrollen. Migrationsverket kan också medverka vid sådan kontrollverksamhet. Den yttre och inre utlänningskontrollen kan ha brottsbekämpande syfte, till exempel att upptäcka gränsöverskridande brottslighet. I sådana fall regleras personuppgiftsbehandlingen av polisdatalagen. I andra fall är ändamålet med kontrollen att kontrollera den inresandes identitet och att kontrollera att han eller hon uppfyller de formella och materiella kraven enligt utlänningslagen, för rätt till inresa och vistelse i Sverige. I sådana fall bör personuppgiftsbehandlingen regleras av utlänningsdatalagen. Den personuppgiftsbehandling som Migrationsverket utför i samband med kontrollverksamheten omfattas inte av någon annan särlagstiftning. Det bör således finnas en bestämmelse av

vilken det framgår att behandling av personuppgifter är tillåten för ändamålet yttre och inre utlänningskontroll, dvs. kontroll av utlänning i samband med inresa, utresa och kontroll under vistelsen i Sverige.

Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar

Migrationsverket har ett omfattande ansvar när det gäller mottagande och bosättning av och sysselsättning för asylsökande och andra utlänningar. Särskilda bestämmelser om detta finns bland annat i lagen om mottagande av asylsökande m.fl. Bestämmelsen möjliggör personuppgiftsbehandling hos Migrationsverket som avser ombesörjandet av boende och sysselsättning för asylsökande och andra utlänningar, men som inte direkt utförs inom ramen för ett enskilt ärende. Som exempel kan anges myndighetens kontakter med arbetsgivare och andra myndigheter för att ordna praktikplats åt en asylsökande. Inom detta område faller också myndighetens arbete med att ta emot kvotflyktingar. Kvotflyktingar är de flyktingar som FN:s flyktingorgan UNHCR beviljat flyktingstatus och som kommer till Sverige från något av FN:s flyktingläger. Migrationsverket har ansvar för att välja vilka personer som ska väljas ut. Denna verksamhet innefattar praktiskt arbete med mottagande och bosättning i vilken en stor mängd personuppgifter behandlas. En särskild bestämmelse som tillåter behandling av uppgifter för mottagande och bosättning av asylsökande och andra utlänningar bör därför införas. Det torde sällan bli aktuellt för polisen att behandla personuppgifter för detta ändamål. Det kan dock enligt utredningen inte uteslutas att det någon gång skulle kunna bli aktuellt. Även polisen bör därför omfattas av bestämmelsen.

Tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet

Myndigheter har ett behov av att behandla uppgifter inom verksamheten för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet. Med testverksamhet avses användning av personuppgifter, exempelvis fingeravtryck, för

att kunna genomföra olika tester av ny utrustning och teknik. Detta behov finns även hos myndigheter inom verksamhet på utlännings- och medborgarskapsområdet. En myndighet kan till exempel behöva behandla personuppgifter för tillsyn av handläggningen av enskilda ärenden eller kontroll av delar av eller hela verksamheten. Behov finns också av personuppgiftsbehandling för utvärdering och planering av verksamheten på olika nivåer. Det kan till exempel röra sig om utvärdering av en viss del av verksamheten genom framställning av statistik med hjälp av uppgifter från ärendehanteringssystemet. Enligt förordningen (2007:996) med instruktion för Migrationsverket ska verket föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Migrationsverket framställer även statistik till externa mottagare såsom riksdagen, Justitiedepartementet, fackförbund, Eurostat och UNHCR. Ytterligare ett exempel då Migrationsverket kan behöva behandla personuppgifter för tillsyn m.m. är när verket registrerar kvalitetsomdömen om offentliga biträden, tolkar, översättare och språkanalytiker, se vidare kapitel 8.

I lagrådsremissen Behandling av uppgifter i Tullverkets brottsbe-

kämpande verksamhet från år 2005 föreslog regeringen en uttrycklig

bestämmelse om att uppgifter som behandlas för något av de enligt lagförslaget tillåtna primära ändamålen även skulle få behandlas för att planera, följa upp och utvärdera verksamheten. Lagrådet uttalade att en sådan bestämmelse är obehövlig (se prop. 2004/05:164 s. 179). Planering, uppföljning och utvärdering är en integrerad del av själva verksamheten och enligt Lagrådet var det självklart att uppgifter som får användas i verksamheten också får användas för planering m.m. Regeringen delade Lagrådets bedömning (se prop. 2004/05:164 s. 66 f. och 162 samt prop. 2009/10:85 s. 116). Av ovan angivna skäl avstod regeringen från att föreslå en motsvarande bestämmelse i polisdatalagen (se prop. 2009/10:85 s. 116) och kustbevakningsdatalagen (se prop. 2011/12:45 s. 111).

Datainspektionen har emellertid i sitt yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10) (Datainspektionens yttrande 2013-05-31, Diarienr 361-2013) anfört att det bör övervägas att i lagtexten tydliggöra att de primära ändamålen även omfattar vidarebehandling av personuppgifter för planering, uppföljning och utvärdering hos de enskilda myndigheterna. Detta trots Lagrådets uttalande att planering, uppföljning och utvärdering

kan ses som en integrerad del av själva verksamheten. Som den aktuella bestämmelsen var utformad ansåg inspektionen att det förhållandet var alltför otydligt för den enskilde. Ur ett integritetsperspektiv bör det enligt Datainspektionen vara tydligt för den enskilde för vilka ändamål som dennes personuppgifter får behandlas.

Av 9 § andra stycket PUL följer att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med det ändamål för vilket uppgifterna samlades in. Som framgår av avsnitt 7.7.3 föreslår utredningen att bestämmelsen ska vara tillämplig vid behandling av personuppgifter med stöd av utlänningsdatalagen. Det innebär att behandling av personuppgifter för statistiska ändamål alltid är tillåtet, oavsett för vilket ändamål det samlades in. Någon särskild bestämmelse om att uppgifter får behandlas för statistikändamål krävs således egentligen inte i lagen.

Datainspektionens ovan redovisade synpunkter framstår som välgrundade. Det är viktigt att lagens ändamålsbestämmelser är så tydliga som möjligt, inte bara för de myndigheter som ska tillämpa dem utan även för dem vars uppgifter behandlas. Lagen bör därför enligt utredningen innehålla en uttrycklig bestämmelse om att uppgifter i verksamheten även får behandlas för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet.

När det gäller behandling för ändamålet tillsyn etc. torde det normalt vara aktuellt att bara behandla uppgifter som redan har insamlats för något annat ändamål. Det kan dock inte uteslutas att det någon gång kan bli aktuellt att samla in uppgifter som inte finns i verksamheten för tillsyn etc. Ett exempel på detta kan vara om Migrationsverket vill genomföra ett bemötandeprojekt och därför måste ta in uppgifter från utomstående aktörer.

Registrering och annan dokumentationsskyldighet

Viss personuppgiftsbehandling är nödvändig utan att den kan sägas direkt röra verksamheten enligt utlännings- och medborgarskapslagstiftningen. Till myndigheter lämnas av olika anledningar uppgifter, däribland personuppgifter, som inte har betydelse för myndighetens handläggning eller bedömning av ett visst ärende. Det finns

bestämmelser som medför skyldighet för den mottagande myndigheten att behandla inkommande personuppgifter, oavsett om de är nödvändiga för myndighetens verksamhet eller inte. De inkomna uppgifterna kan till exempel utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § OSL gäller som huvudregel att allmänna handlingar som kommit in till en myndighet ska registreras, dvs. diarieföras, så snart som möjligt. I 5 kap. 2 § OSL uppställs vissa minimikrav beträffande uppgifterna i ett sådant register. Av registret ska bland annat framgå uppgifter om handlingens avsändare eller mottagare och i korthet vad handlingen rör. I förvaltningslagen (1986:223, FL) finns vissa regler om anteckningsskyldighet, parts rätt att ta del av det som tillförts ärendet och kommunikationsplikt. Vidare är en myndighet enligt 5 § andra stycket FL skyldig att se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bland annat e-post och att svar kan lämnas på samma sätt. Dessa bestämmelser kan innebära att personuppgifter måste behandlas.

I 2 kap. 9 § PDL finns en bestämmelse som tillåter personuppgiftsbehandling för bland annat diarieföring. En motsvarande ändamålsbestämmelse behövs i den nya lagstiftningen.

Återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder

Enligt gällande utlänningsdataförordning har Migrationsverket rätt att föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Verket får vidare föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder. Inom främst Migrationsverket är tillgången till aktuell rättspraxis och uppdaterad information om länder nödvändig för att myndigheten ska kunna fatta korrekta beslut i enlighet med gällande praxis och i övrigt bedriva verksamheten så effektivt och rättssäkert som möjligt. Tjänstemän och beslutsfattare på Migrationsverket bör även i fortsättningen ha möjlighet att behandla personuppgifter för ändamålet att söka avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder.

I gällande utlänningsdataförordning finns en bestämmelse om att ett rättsfallsregister inte får innehålla personuppgifter som direkt

pekar ut den registrerade (8 § första stycket). Enligt utredningen finns det inget behov av att ha kvar denna begränsning. Kravet på att behandlingen ska vara nödvändig och bestämmelserna i 9 § första stycket e) och f) PUL bör innebära att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas. I enlighet med kravet att behandlingen ska vara nödvändig följer att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas. I rättsfallssamlingar är identiteten på en person oftast oväsentlig för informationsvärdet. Något förbud av det slag som finns i dag behövs därför inte. Titlar på domar från exempelvis EU-domstolen och Europadomstolen får anses nödvändiga att behandla även om de innehåller något namn på en person.

Uppgiftsutlämnande till andra med stöd av bland annat lag

Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna behandlar inte enbart uppgifter för egen del utan även genom utlämnande till andra. Uppgiftsutlämnande kan ske av olika anledningar.

Det finns en rad olika författningar som föreskriver en uppgiftsskyldighet för myndigheterna, dvs. att myndigheterna ska lämna ut uppgifter i vissa angivna situationer. För det första är myndigheterna i vissa fall skyldiga att lämna ut uppgifter till vissa utpekade myndigheter. Till exempel har enligt 17 kap. 3 § UtlL Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Ett annat exempel är att Migrationsverket ska lämna vissa uppgifter om utlänningar till Centrala studiestödsnämnden enligt 30 § förordningen (1990:1361) för prövning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiftsskyldighet följer av lag eller förordning.

Myndigheter är i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är till exempel skyldig att lämna ut personuppgifter som är allmänna handlingar, om inte sekretess gäller för uppgifterna. Det följer av 2 kap. TF och 8 § PUL. Uppgiftsskyldighet kan även följa av bestäm-

melser i offentlighets- och sekretesslagen. Enligt 6 kap. 5 § OSL ska således en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. I tidigare lagstiftningsärenden har denna bestämmelse inte ansetts innebära någon uppgiftsskyldighet i nu aktuellt hänseende. I flera senare lagstiftningsärenden har dock en motsatt bedömning gjorts (se till exempel prop. 2008/09:96 s. 80). Mot den bakgrunden får 6 kap. 5 § OSL anses innefatta en sådan skyldighet att lämna uppgifter som kommer att innefattas i ändamålet uppgiftslämnande med stöd av lag.

Vidare finns det ett antal författningar med bestämmelser som medför att uppgifter får lämnas ut. Bestämmelserna innebär således inte, som de ovan beskrivna, en uppgiftsskyldighet utan att utlämnande är tillåtet. Ett exempel på en sådan bestämmelse är 10 kap. 15 § OSL. I bestämmelsen anges att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen. Vidare finns i 10 kap. 27 § samma lag en generalklausul som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.

Myndigheterna lämnar inte enbart ut uppgifter för att tillgodose andras behov. En myndighet kan även lämna ut uppgifter på eget initiativ, till exempel för att kunna utföra en uppgift i den egna verksamheten. Det kan till exempel ske med stöd av 10 kap. 2 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Ett annat exempel är 10 kap. 18 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiften behövas där för förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat rättsligt förfarande vid myndighet mot någon rörande hans eller hennes deltagande i verksamheten vid den myndighet där uppgiften förekommer.

Gemensamt för de uppgiftslämnande som behandlats i det föregående är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När bestämmelser om sådant uppgiftslämnande har införts, får det förutsättas att det gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda

enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, förhindra att personuppgifter som finns i verksamheten enligt utlännings- och medborgarskapslagstiftningen lämnas ut i dessa fall. Det här beskrivna ändamålet torde i huvudsak motsvara ändamålsbestämmelsen i 3 § nuvarande utlänningsdataförordning.

I avsnitt 4.3.3 redogörs för den utveckling som skett på migrationsområdet inom EU under senare år. Även det internationella samarbetet på detta område blir alltmer omfattande. Samverkan över gränserna innebär att svenska myndigheter i allt högre utsträckning behandlar uppgifter genom utlämnande till myndigheter i andra länder. När det gäller EU-samarbetet är mycket av den personuppgiftshantering som sker reglerad i särskilda förordningar som gäller som svensk lag här i Sverige. För det fall sådana bestämmelser saknas krävs det i den nya lagen en särskild ändamålsbestämmelse som tillåter att uppgifter behandlas genom att lämnas ut enligt bestämmelser som följer av Sveriges medlemskap i EU. En sådan bestämmelse bör också införas när det gäller utlämnande av uppgift som sker på grund av förpliktelser i konventioner eller av riksdagen godkända avtal med främmande stat eller mellanfolkliga organisationer. Denna ändamålsbestämmelse kan även bli tillämplig då information tillhandahålls en utländsk myndighet i tredjeland, se avsnitt 7.7.8.

Utredningen föreslår således bestämmelser som specificerar för vilka ändamål personuppgiftsbehandling är tillåten. Insamlade personuppgifter ska även få behandlas för att tillhandahålla information för något annat ändamål än som framgår av lagen under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Som redovisats i avsnitt 7.3.5 ska den nya lagen inte tillämpas på myndigheternas interna administration, till exempel personaladministration.

7.10. Migrationsverkets register över fingeravtryck och fotografier

7.10.1. Allmänt om fingeravtrycksregistret m.m.

Enligt 9 § nuvarande utlänningsdataförordningen får Migrationsverket föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § UtlL. Registret, som brukar benämnas fingeravtrycksregistret, får föras med hjälp av automatisk databehandling och får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats, i ärenden om avvisning och utvisning samt i testverksamhet. Registret får endast innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift, se 10 § nuvarande utlänningsdataförordningen. Uppgifter från registret får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning. En uppgift i fingeravtrycksregistret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.

I praktiken för Migrationsverket ett särskilt register över fingeravtryck, medan verket registrerar och lagrar fotografierna i den centrala utlänningsdatabasen (CUD) som ägs av och finns hos Migrationsverket. Även verkets samlade fotografier kan ses som ett register.

Nedan kommer utredningen relativt utförligt att redovisa de speciella rutiner som gäller för Migrationsverkets register över fingeravtryck och den konstruktion som valts för registerföringen. Systemet är ganska komplicerat och inte helt lätt att genomskåda. Den valda konstruktionen har inte bara betydelse för Migrationsverkets registrering av uppgifter i registret. Den används också när Migrationsverket genom Polismyndighetens försorg kontrollerar fingeravtryck som Migrationsverket har tagit mot det fingeravtrycksregister som Polismyndigheten för enligt polisdatalagen. Sistnämnda fråga behandlar utredningen i kapitel 10.

Migrationsverkets önskan om att kunna jämföra fotografier vid registrering av inkomna fotografier tas upp i avsnitten 7.10.2 och 7.10.3.

Migrationsverkets register över fingeravtryck utgör tillsammans med Polismyndighetens fingeravtrycksregister det nationella fingeravtrycksregistret.

Migrationsverkets register över fingeravtryck innehåller fingeravtryck som samlats in av Migrationsverket i utlänningsärenden, se nedan. Detta register benämns vanligtvis B-filen.

Polismyndighetens fingeravtrycksregister innehåller fingeravtryck som samlats in med stöd av 4 kap. PDL. Som följer av 4 kap. 11−12 a §§ PDL får det registret innehålla fingeravtryck från en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken eller som har lämnat fingeravtryck enligt 19 § lagen om särskild utlänningskontroll. Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden. Detta register benämns vanligtvis A-filen.

Migrationsverkets fingeravtrycksregister (B-filen) och Polismyndighetens fingeravtrycksregister (A-filen) behandlas och lagras i ett automatiserat fingeravtrycksidentifieringssystem (AFIS), men registren är tekniskt separerade från varandra. Utöver fingeravtryck finns även viss annan information om namn, födelsetid, nationalitet m.m. registrerad i registren.

AFIS är placerat i Polismyndighetens lokaler. Det är endast Polismyndigheten (i praktiken ett fåtal personer på Nationellt Forensiskt centrum, NFC) som har tillgång till Migrationsverkets fingeravtryck i B-filen. För åtkomst till B-filen krävs det en särskild behörighet och tillgång till särskilt anpassade arbetsstationer och programvaror. I praktiken är det alltså Polismyndigheten som handhar, förvaltar och underhåller B-filen genom en överenskommelse mellan Migrationsverket och Polismyndigheten. Verket har alltså ingen möjlighet att registrera, radera eller komma åt uppgifter i sitt eget fingeravtrycksregister utan Polismyndighetens biträde.

Trots det sagda bör Migrationsverket enligt utredningen uppfattas som personuppgiftsansvarigt för sitt fingeravtrycksregister, eftersom verket får anses utföra behandlingen i det. Frågan om vem som är personuppgiftsansvarig ska nämligen bedömas utifrån de faktiska omständigheterna i det särskilda fallet. En personuppgiftsansvarig myndighet får anses utföra en behandling även om den faktiska hanteringen av personuppgifter har överlämnats till ett personuppgiftsbiträde, se SOU 2015:39 s. 699. När det gäller B-

filen är Polismyndigheten personuppgiftsbiträde för den behandling av personuppgifter som utförs i B-filen.

Ett skriftligt personuppgiftsbiträdes- och säkerhetsavtal har ingåtts mellan myndigheterna rörande denna behandling. I avtalet finns bland annat föreskrifter om att Polismyndigheten (dvs. personuppgiftsbiträdet) får behandla personuppgifter bara i enlighet med instruktioner från Migrationsverket (dvs. den personuppgiftsansvarige). Inget annat har i och för sig framkommit än att parterna rättar sig efter detta avtal. Men det får ändå anses tveksamt hur man rättsligen ska se på avtal mellan statliga myndigheter i vilka en statlig myndighet avtalar med en annan statlig myndighet om att den ena myndigheten ska vara personuppgiftsbiträde åt den andra, se SOU 2015:39 s. 359 f. Vilken rättslig betydelse avtalet mellan Migrationsverket och Polismyndigheten har är därför enligt utredningen inte helt klart.

Som följer av 9 kap. 8 § UtlL får Migrationsverket och Polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige (punkten 1), utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande (punkten 2) eller det finns grund för att besluta om förvar (punkten 3). Vad gäller de två sistnämnda punkterna får alltså fingeravtryck tas även om utlänningen kan styrka sin identitet.

Beslut om att Polismyndigheten ska ta aktuella fingeravtryck fattas av den befattningshavare som ansvarar för att utredning genomförs i ett ärende som rör uppehållstillstånd, avvisning eller utvisning eller av den som har till uppgift att fatta beslut om förvar, se 6 kap. 14 § UtlF. Av samma paragraf följer att de fingeravtryck som Polismyndigheten har tagit med stöd av 9 kap. 8 § UtlL härefter ska skickas Migrationsverket. Kravet i bestämmelsen att Polismyndigheten ska skicka fingeravtryck som myndigheten har tagit till Migrationsverket får anses utgöra en sådan sekretessbrytande uppgiftsskyldighet som avses i 10 kap. 28 § OSL.

I de fall Migrationsverket tar fingeravtryck görs detta vid någon av Migrationsverkets fotostationer. Fingeravtrycken förs sedan automatiskt över till en dator som är utrustad med ett slags fingeravtrycksprogram på Migrationsverkets ID-enhet. Fingeravtrycksprogrammet möjliggör manuell kontroll av fingeravtrycken och alfanumerisk information. Härefter skickar ID-enheten finger-

avtrycken till Polismyndigheten för registrering i B-filen och för sökning i A- och B-filen. Så sker även med de fingeravtryck som Polismyndigheten har tagit med stöd av 9 kap. 8 § UtlL och som skickats till Migrationsverket.

Kommunikationen mellan myndigheterna sker via en krypterad kommunikationslina för myndighetsbruk och inte via internet. Transaktionerna sker i form av e-post till vilka en s.k. NIST-fil innehållande fingeravtryck och övrig information är bifogad. Transaktionen inkommer till Polismyndighetens server och omdirigeras till AFIS som automatiskt kodar fingeravtrycken genom en kvalitetskontrollprocess.

Efter den automatiska kvalitetskontrollen söker AFIS de inkomna fingeravtrycken mot A- och B-filen och levererar sedan en lista över de tidigare registrerade fingeravtrycken som mest liknar det sökta. Denna lista presenteras för de personer på NFC som har åtkomstbehörighet till B-filen. Dessa personer jämför sedan fingeravtrycken och avgör om de sökta fingeravtrycken överensstämmer med något eller några av de tidigare transaktionerna som AFIS presenterat. I och med att fingeravtrycken har kodats i kvalitetskontrollen är de sökbara, men det är först efter att fingeravtrycken har granskats som registreringen slutförs.

Resultatet från Polismyndighetens jämförelser levereras automatiskt och elektroniskt till Migrationsverket efter att sökningen är gjord och registreras då i CUD. Resultatet innehåller endast information om träff eller ej träff skett samt, vid träff, referensnummer på träffen/träffarna. Om träff erhållits mot annan identitet i B-filen eller mot A-filen, upprättar NFC ett skriftligt sakkunnigutlåtande i vilket namn, nationalitet, födelsetid och upptagningsort ingår. Handläggare på Migrationsverket ansvarar för att ta kontakt med Polismyndigheten för närmare uppföljning i ärendet. En sådan kontakt kan exempelvis innebära att Polismyndigheten informeras om att någon som har återreseförbud förefaller försöka komma in i landet under annan identitet.

Filerna med fingeravtryck sparas i B-filen i AFIS genom Polismyndighetens biträde.

Fingeravtryck som tas med stöd av 9 kap. 8 § UtlL söks även bland annat mot Eurodac. Eurodac har dock ingen koppling till AFIS utan alla sökningar i Eurodac utförs av ID-enheten på Migrationsverket. Eurodac är ett informationssystem som innehåller finger-

avtryck på alla personer över 14 år som sökt asyl i ett EU-land, se Eurodacförordningen ((EU) nr 603/2013) som även behandlas översiktligt i avsnitten 4.3.3, 6.5 och 7.4.

Syftet med fingeravtryckskontrollerna mot det nationella fingeravtrycksregistret (A- och B-filen) och Eurodac är dels att fastställa ansvarig medlemsstat enligt EU-förordningar, exempelvis Dublinförordningen ((EU) nr 604/2013), dels att fastställa den sökandes identitet. Fastställande av den sökandes identitet är av betydelse för Migrationsverkets handläggning av ärenden både vad gäller prövningen av asylskäl och för att underlätta vid eventuell återresa eller svenskt medborgarskap. Fingeravtryckskontrollerna görs alltså för att kontrollera om sökanden redan finns registrerad under samma eller annan identitet.

Avslutningsvis kan även nämnas att Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) innebär att vissa utländska myndigheter ska ges rätt att göra automatiska sökningar i Polismyndighetens fingeravtrycksregister för jämförelse av fingeravtrycksuppgifter i vissa fall. Denna rätt omfattar emellertid inte sökning i Migrationsverkets fingeravtrycksregister och berörs därför inte ytterligare här.

De fingeravtrycksuppgifter som Migrationsverket lämnar till Polismyndigheten för registrering i Migrationsverkets fingeravtrycksregister (B-filen) torde normalt omfattas av sekretess. Den sekretessbestämmelse som i första hand är tillämplig är 37 kap. 1 § OSL. Reglerna om sekretess hos Migrationsverket redovisas närmare i avsnitt 7.15.2, varför det hänvisas dit. För att uppgifterna ska kunna lämnas till Polismyndigheten fordras det därför något sekretessundantag eller någon sekretessbrytande bestämmelse. Det finns inte något undantag från sekretessen eller någon särskilt sekretessbrytande bestämmelse som tar sikte på just det här aktuella utlämnandet. Det får därför antas att utlämnandet sker med stöd av generalklausulen i 10 kap. 27 § OSL, som medger att en sekretessbelagd uppgift lämnas till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Eventuellt kan utlämnandet grunda sig på 10 kap. 2 § OSL, som innebär att sekretess inte hindrar att en myndighet lämnar ut uppgifter till bland annat andra myndigheter,

om det är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet.

7.10.2. Särskilt om jämförelser av fotografier

Migrationsverket får i dag löpande in ett stort antal underrättelser, tips och identitetshandlingar från myndigheter och privatpersoner rörande olika personer, se bland annat Polismyndighetens underrättelseskyldighet i 6 kap. 14 § och 7 kap. 2 och 3 §§ UtlF. I många av dessa handlingar finns, förutom alfanumeriska data rörande de personer som avses, även ibland kopior på identitetshandlingar med fotografier.

Fotografier utgör personuppgifter, se 1 § nuvarande utlänningsdataförordningen och 3 § PUL.

I 5 kap. 1–4 §§ OSL finns de grundläggande bestämmelserna om myndigheternas skyldighet att registrera allmänna handlingar. Av bestämmelserna följer bland annat att allmänna handlingar som huvudregel ska registreras så snart de har kommit in till eller upprättats hos en myndighet.

Registreringsskyldigheten gäller dock inte för handlingar som inte omfattas av sekretess, om de hålls ordnade så att det utan svårighet kan fastställas om de har kommit in eller upprättats. Registreringsskyldigheten gäller inte heller en allmän handling, om det är uppenbart att den är av ringa betydelse för myndighetens verksamhet.

Av ovan nämnda bestämmelser i offentlighets- och sekretesslagen följer även att åtminstone följande uppgifter ska antecknas vid registrering av allmänna handlingar, nämligen 1) datum då handlingen kom in eller upprättades, 2) diarienummer eller annan beteckning handlingen fått vid registreringen, 3) i förekommande fall uppgifter om handlingens avsändare eller mottagare och 4) i korthet vad handlingen rör.

Myndigheternas skyldighet att registrera allmänna handlingar ska fylla den funktionen att allmänheten därigenom kan få vetskap om vilka handlingar som finns hos en myndighet. Kraven på hur registreringen ska ordnas är dock inte särskilt höga. Myndigheterna har en betydande frihet att ordna registreringen efter vad som är lämpligast för den enskilda myndigheten. Den metod som tillämpas bör dock användas konsekvent.

I många fall kan Migrationsverket endast efter mycket arbete eller i vissa fall inte alls koppla inkomna underrättelser, fotografier och tips till någon fysisk person som finns registrerad hos verket med hjälp av tillgänglig alfanumeriska data. Det finns olika förklaringar till detta. Bland annat kan personerna ha använt sig av falska identiteter vid asylansökan eller kan namnet, födelsedata, medborgarskap m.m. vara felaktigt angivet. I de fall någon koppling inte kan göras läggs handlingarna i det allmänna diariet.

För att öka effektiviteten vid registreringen av aktuella handlingar hos Migrationsverket har verket i testmiljö tagit fram ett fotojämförelseprogram, som är tänkt att användas som ett komplement till de alfanumeriska sökningarna. Det har vid genomförda tester framkommit att träffrekvensen vid de automatiserade fotojämförelserna är hög, även om de har långt ifrån samma träffsäkerhet som fingeravtryckskontroller. Genom jämförelseprogrammet generas en lista med 20–50 kandidater att välja manuellt ifrån. Vid en eventuell träff görs sedan en fotojämförelse med sakkunnigutlåtande där två identiteter kan kopplas samman. Med hjälp av fotojämförelseprogrammet kan alltså ytterligare handlingar, till exempel fotografier, kopplas till fysiska personer med befintliga dossier hos verket.

Mot denna bakgrund har Migrationsverket i framställan till Justitiedepartementet i juni 2014, dnr Ju 2014/3918/L7, efterfrågat ett rättsligt stöd i utlänningsdataförordningen för att få göra automatiserade jämförelser av foton för att kunna uppfylla skyldigheten att kunna diarieföra en inkommen handling under rätt ärende. Migrationsverket har härvid uppgett att verket anser att användande av fotojämförelser medför att Migrationsverket skulle kunna utföra skyldigheten att diarieföra en inkommen allmän handling på ett bättre sätt än vad verket gör i dag och att identitetsarbetet skulle bli effektivare. Detta medför enligt Migrationsverket även att handläggningstiderna i asylprocessen skulle kunna förkortas, eftersom fler uppenbart ogrundade asylansökningar skulle kunna upptäckas, identiteten på fler personer skulle kunna fastställas och arbetet med återresor skulle kunna effektiviseras. Vidare skulle enligt verket färre alias- och dubbeldossier behöva skapas och fler personer skulle även kunna registreras som konstaterat utresta.

Migrationsverket har enligt uppgift inte någon avsikt att lagra de sökta fotografierna i någon särskild databas. Underrättelser med

fotografier som inte gett någon träff ska därför precis som i dag registreras i det allmänna diariet efter sökning.

Utredningen har fått i uppdrag att överväga denna fråga.

7.10.3. Utredningens överväganden

Utredningens förslag: Migrationsverkets fingeravtrycks- och

fotografiregister ska särregleras i förhållande till övrig personuppgiftsbehandling i lagen. Ändamålet för fingeravtrycks- och fotografiregistren anges i lagen. Regeringen meddelar närmare bestämmelser om registrens innehåll och gallring. Särskilda sekretessbrytande bestämmelser föreslås i vissa fall.

Migrationsverkets register för fingeravtryck och fotografier

Som framgår av avsnitt 6.4.5 är utgångspunkten att utlänningsdatalagen ska vara teknikneutral och att lagen ska reglera all helt eller delvis automatiserad behandling av personuppgifter och uppgifter i manuella register. När det gäller behandling av automatiserade uppgifter är målsättningen således att undvika särreglering av vissa personuppgiftssamlingar eller viss typ av personuppgiftsbehandling. Som anförts kan det trots denna utgångspunkt i vissa fall finnas skäl att införa särbestämmelser för vissa personuppgiftssamlingar.

I förarbetena till polisdatalagen konstateras att det kan finnas viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna och att det är nödvändigt att i några fall ha särskilda bestämmelser om vissa register (se prop. 2009/10:85 s. 229). Detta gäller enligt propositionen dels register över DNA-profiler, dels fingeravtrycks- eller signalementsregister. Detsamma bör enligt propositionen gälla för behandling av uppgifter om misstänkt penningtvätt och misstänkt finansiering av terrorism i penningtvättsregister. Vidare finns det enligt propositionen skäl att särreglera viss behandling av uppgifter i det internationella polissamarbetet. Vidare bör det allmänna spaningsregistret enligt propositionen regleras för sig i en särskild lag. Skälen till särreglering varierar. När det gäller fingeravtrycks- och signalementsregistret motiveras

särregleringen av att det rör sig om ett speciellt slag av uppgifter som kräver teknisk lösning för att kunna behandlas.

Enligt utredningens bedömning finns det skäl som talar för att Migrationsverkets fingeravtrycksregister och fotografiregister bör särregleras även i den nya lagen.

Som framgår ovan registreras de fingeravtryck som samlas in av Migrationsverket i B-filen i det nationella fingeravtrycksregistret. Migrationsverket har personuppgiftsansvaret för den behandling av personuppgifter som utförs i B-filen, men det är Polismyndigheten som handhar, förvaltar och underhåller registret genom en överenskommelse med Migrationsverket. Det nationella fingeravtrycksregistret, dvs. både A- och B-filen, är placerat i Polismyndighetens lokaler och Migrationsverket har ingen möjlighet att utan biträde från Polismyndigheten komma åt uppgifterna i B-filen. Migrationsverket har inte någon möjlighet att kontrollera vilka uppgifter som tillförs, raderas eller används i registret. Uppgifterna i Migrationsverkets register över fingeravtryck är alltså avskilda från Migrationsverkets ärendehanteringssystem och andra datasystem hos verket. Vidare är fingeravtrycksregistret utformat som ett traditionellt register. Endast vissa i förordningen specificerade uppgifter får föras in i registret och uppgifterna får endast användas för ett avgränsat ändamål. Slutligen gör sig det argument som anförs för särbehandling av polisens fingeravtrycks- och signalementsregister gällande även när det gäller Migrationsverkets fingeravtrycksregister. Fingeravtryck utgör ett speciellt slag av uppgifter som kräver teknisk lösning för att kunna behandlas.

Sammanfattningsvis bedömer utredningen att övervägande skäl talar för att Migrationsverkets fingeravtrycksregister bör särregleras i den utlänningsdatalag som utredningen föreslår. Utredningen gör även motsvarande bedömning av Migrationsverkets fotografiregister, även om detta förs av verket i CUD.

Tillräckliga skäl att i nuläget införa en teknikoberoende benämning, till exempel biometri, i stället för fingeravtryck saknas.

De särskilda bestämmelserna som gäller för Migrationsverkets register över fingeravtryck och fotografier enligt nuvarande utlänningsdataförordningen bör alltjämt gälla även i den reglering som utredningen föreslår. I utredningens förslag till utlänningsdatalag bör det alltså anges för vilka ändamål personuppgifter får behandlas i Migrationsverkets register över fingeravtryck och fotografier. Som

framgår nedan anser utredningen dock att dessa bör kompletteras bland annat rörande Migrationsverkets önskan att få jämföra fotografier vid registrering av inkomna fotografier. Vidare behövs det enligt utredningen inte längre någon föreskrift motsvarande den i nuvarande utlänningsdataförordning att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning, se avsnitt 7.14.2. Regeringen bör ges möjlighet att meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.

Den omständigheten att Migrationsverket får föra ett fingeravtrycksregister och att Polismyndigheten är personuppgiftsbiträde åt verket innebär att utlämnandet av fingeravtrycksuppgifterna till Polismyndigheten för registrering i B-filen är en tillåten behandling. De uppgifter som Migrationsverket lämnar ut torde normalt vara sekretessbelagda hos verket enligt i vart fall 37 kap. 1 § OSL. För att uppgifterna ska få lämnas till Polismyndigheten för registrering måste därför något undantag från huvudregeln om sekretess mellan myndigheter finnas. Enligt utredningen bör ett sådant undantag föreskrivas som en skyldighet för Migrationsverket att lämna uppgifterna till Polismyndigheten, se 10 kap. 28 § OSL. Den sekretessbrytande bestämmelsen kan lämpligen tas in i en ny paragraf i utlänningslagen.

Utredningen vill avslutningsvis ta upp en fråga som visserligen ligger utanför direktiven men som enligt utredningen bör uppmärksammas i fortsättningen. Den organisatoriska konstruktionen med att låta Polismyndigheten handha, förvalta och underhålla Migrationsverkets fingeravtrycksregister utan att Migrationsverket har någon tillgång till sitt eget register väcker en del frågor. Migrationsverket torde i praktiken inte kunna ha någon insyn i vilka uppgifter som tillförs, raderas eller används i registret. Man kan då fråga sig om det över huvud taget är möjligt för Migrationsverket att kontrollera att Polismyndigheten följer givna instruktioner från verket och att Polismyndigheten genomför de säkerhetsåtgärder som måste vidtas (30 § andra stycket och 31 § andra stycket PUL). En annan fråga som den organisatoriska konstruktionen reser är hur framställningar hos Migrationsverket enligt tryckfrihetsförordningen om utbekommande av uppgifter ur registret hanteras av verket. Registeruppgifterna torde knappast utgöra allmänna handlingar hos Migrationsverket, eftersom de inte kan anses förvarade hos verket. Man kan enligt utredningen inte heller påstå att Polismyndigheten

förvarar uppgifterna endast som ett led i teknisk bearbetning eller teknisk lagring enligt 2 kap. 6 § tredje stycket och 10 § första stycket TF med tanke på det sätt som Polismyndigheten disponerar över uppgifterna. Här kan också tilläggas den ovan beskrivna problematiken med avtal mellan statliga myndigheter om personuppgiftsbiträde, se SOU 2015:39 s. 359 f. Sannolikt är det tekniska skäl som har föranlett den organisatoriska lösningen, men de rättsliga konsekvenserna av den bör enligt utredningen övervägas närmare.

Särskilt om önskade jämförelser av fotografier

Migrationsverket får, som ovan nämnts, regelbundet in allmänna handlingar med fotografier i olika sammanhang, vilka verket har en skyldighet att registrera enligt offentlighets- och sekretesslagen.

I många fall behöver Migrationsverket lägga ner ett omfattande arbete för att handlingarna med hjälp av tillgänglig alfanumeriska data ska kunna registreras och kopplas till en fysisk person som redan är registrerad hos verket. I andra fall kan någon sådan koppling inte göras.

För att öka effektiviteten vid registreringen av aktuella handlingar har Migrationsverket, som tidigare nämnts, i testmiljö tagit fram ett fotojämförelseprogram som ett komplement till de alfanumeriska sökningarna.

Om ett fotografi endast registreras i Migrationsverkets allmänna diarium utan någon närmare information om vem fotografiet föreställer, är det enligt utredningens bedömning tveksamt om fotografiet över huvud taget kan få någon praktisk betydelse i Migrationsverkets verksamhet. Utredningen delar således verkets uppfattning om att det är viktigt att inkomna fotografier om möjligt kan registreras och hänföras till en dossier som eventuellt redan finns beträffande den person som fotografiet avser. Ju fler inkomna allmänna handlingar med fotografier som kan hänföras till en befintlig dossier desto effektivare torde identitetsarbetet bli, vilket i sin tur kan leda till en förkortad asylprocess i vissa fall. Utredningen delar därför Migrationsverkets ståndpunkt att en ”korrekt” registrering av inkomna fotografier skulle kunna innebära effektivitetsvinster för verket.

Migrationsverkets testverksamhet visar enligt utredningen att fotojämförelserna har förhållandevis hög träffsäkerhet. Fotojämförelser kan därmed utgöra ett komplement till andra undersökningar när det gäller att knyta en identitet till ett ingivet fotografi. Goda skäl talar därför enligt utredningen för att Migrationsverket bör få kunna jämföra ingivna fotografier med verkets register över fotografier om osäkerhet råder om identiteten på den person som finns på fotografiet. Sådana jämförelser kan Migrationsverket inte utföra enligt dagens reglering.

Frågan är då om det skulle kunna innebära några integritetsrisker för den enskilde om verket i framtiden tillåts att jämföra inkomna fotografier mot verkets fotografiregister. Det är enligt utredningen svårt att se att jämförelserna skulle kunna innebära några kränkningar för den enskilde. I själva verket bör en säkrare identitetsanalys av inkomna fotografier snarast gynna enskildas integritet, genom att risken för oklarheter och missförstånd om enskildas identitet minskar.

Sammanfattningsvis menar utredningen att Migrationsverket bör ges möjlighet att göra fotojämförelser av aktuellt slag, om det är oklart vilken identitet som en person på ett till verket ingivet fotografi har. Ett sådant ändamål bör därför finnas i den nya lagen.

7.11. Personuppgifter som får behandlas

7.11.1. Allmänt om tillåten behandling av personuppgifter

Vissa registerförfattningar har en eller flera bestämmelser om innehåll, dvs. en specifikation av vilka kategorier av uppgifter som får behandlas. I 4 § nuvarande utlänningsdataförordning anges vilka uppgifter som får behandlas i ett verksamhetsregister, exempelvis namn, personnummer, kön och vårdnadshavare. Denna teknik har ofta ansetts ha fördelar från integritetssynpunkt, eftersom det tydligt framgår vilka uppgifter som får behandlas. I en verksamhet där behandlingen är mycket omfattande och varierande kan en sådan reglering dock vara begränsande. I många registerlagar från senare år har lagstiftaren därför valt att inte specificera vilka personuppgifter som får eller inte får behandlas i en viss verksamhet. I stället får ändamålsbestämmelserna styra vilka uppgifter som får behandlas. De personuppgifter som är nödvändiga för de ändamål för vilken

behandlingen utförs får behandlas. Så är exempelvis fallet i polisdatalagen och kustbevakningsdatalagen.

7.11.2. Utredningens överväganden

Utredningens förslag: Alla personuppgifter som är nödvändiga

för det ändamål för vilken behandlingen utförs får behandlas.

Känsliga personuppgifter som anges i 13 § PUL får dock enbart behandlas i begränsad omfattning, se avsnitt 7.11.4.

En fråga som utredningen har att ta ställning till är om det i den kommande utlänningsdatalagstiftningen bör specificeras vilka personuppgifter som ska få behandlas för de i lagen angivna ändamålen eller om lagens ändamålsbestämmelser i stället bör styra vilka uppgifter som får behandlas.

Från ett integritetsskyddsperspektiv kan det, som ovan nämnts, vara en fördel med en reglering som specificerar de personuppgifter som får behandlas. En innehållsreglering kan fungera särskilt väl när det rör sig om personuppgiftsbehandling av ett register i traditionell mening, dvs. att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt särskilda kriterier och att de är sökbara med särskilda sökord, koder eller liknande. Sådan reglering finns till exempel när det gäller Polismyndighetens fingeravtrycks- och signalementsregister, se 4 kap. 13 § PDL. Den ärendehantering som sker hos Migrationsverket är emellertid inte anpassad till register. Verket tillämpar ett dossiersystem, där all information om en person samlas i en dossier. Alla elektroniska dokument som hör till en person skrivs ut och läggs i dossiern. Migrationsverket har för avsikt att övergå till elektroniska personakter, men än så länge sker ingen systematisk registrering av de uppgifter som kommer in om den enskilde på elektronisk väg.

Den behandling av personuppgifter som sker i verksamhet enligt utlännings- och medborgarskapslagstiftningen är även omfattande och mångsidig. Det talar också för att en reglering med hänvisning endast till ändamålsbestämmelserna är att föredra. Att specificera exakt vilken kategori av uppgifter som ska få behandlas kan bli komplicerat, särskilt i en sådan reglering som utredningen förordar som ska omfatta all helt eller delvis automatiserad behandling (dvs.

inte bara personuppgiftsbehandling i särskilda register). En reglering som specificerar vilka uppgifter som får behandlas torde också vara svår att tillämpa och det finns risk för att bestämmelserna behöver ändras ofta.

Ett argument som kan framföras för en bestämmelse som specificerar vilka personuppgifter som får behandlas är att myndigheternas behandling av personuppgifter annars kan komma att bli alltför vidlyftig. Myndigheternas behandling kommer dock att styras och även begränsas av både de särskilda ändamålen som anges i lagen och de grundläggande kraven på personuppgiftsbehandling som följer av 9 § PUL, se avsnitt 7.9 och 7.7.3. Av den senare bestämmelsen följer bland annat att endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålet får behandlas. Därutöver gäller även till exempel 30 och 31 §§ samt 32 § första stycket PUL om säkerheten vid behandling, se avsnitt 7.7.7. I sammanhanget bör också beaktas att integritetskänsliga uppgifter i verksamheten skyddas av sekretess, som begränsar möjligheten till insyn och spridning.

Utredningen bedömer således sammanfattningsvis att utlänningsdatalagen inte bör innehålla bestämmelser som specificerar vilka personuppgifter som får eller inte får behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I stället bör som ovan nämnts ändamålsbestämmelserna och de grundläggande bestämmelserna i 9 § PUL som huvudregel styra vilka uppgifter som får behandlas.

För vissa typer av personuppgifter anser utredningen dock att det finns skäl att införa särskilda begränsande bestämmelser. Det gäller för personuppgifter som direkt pekar ut den registrerade vid behandling för ändamålet återsökning av avgöranden i vissa fall, se avsnitten 7.11.4 och 7.13.2.

Vad gäller behandling av uppgifter om personnummer och samordningsnummer hänvisas till 22 § PUL, se avsnitt 7.7.4.

I sammanhanget bör även noteras att utredningen föreslår särbestämmelser för Migrationsverkets fingeravtrycks- och fotografiregister, som ska gälla utöver de allmänna bestämmelserna i den föreslagna lagen, se avsnitt 7.10.

7.11.3. Särskilt om känsliga personuppgifter

Det är enligt 13 § PUL som huvudregel förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Det finns dock ett antal undantag från förbudet, se 14−20 §§ PUL. Det följer vidare av artikel 8.4 i dataskyddsdirektivet att medlemsstaterna, under förutsättning att lämpliga skyddsåtgärder vidtas, av hänsyn till ett viktigt allmänt intresse kan besluta om andra undantag, antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten. I svensk rätt har en sådan möjlighet införts i 20 § PUL. Enligt den bestämmelsen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I 8 § PUF har regeringen även föreskrivit att känsliga personuppgifter, utöver de undantag som anges i personuppgiftslagen, får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

I registerlagstiftningen är känsliga personuppgifter ofta föremål för särskild reglering. I verksamhet enligt utlännings- och medborgarskapslagstiftningen förekommer känsliga personuppgifter i stor utsträckning och omfattar alla de kategorier av uppgifter som anges i 13 § PUL. De undantag som finns i personuppgiftslagen eller dess förordning är dock inte tillräckliga för att täcka all den behandling som i dag utförs av de myndigheter som omfattas av den föreslagna lagen. En reglering av behandlingen av känsliga personuppgifter krävs således i den kommande utlänningsdatalagen.

Det finns olika möjliga modeller för en sådan reglering. I vissa registerförfattningar har exempelvis lagstiftaren specificerat vilka känsliga personuppgifter som får behandlas och för vilka ändamål behandling får ske. I vissa senare registerlagar, till exempel polisdatalagen och kustbevakningsdatalagen, är däremot utgångspunkten att känsliga personuppgifter, liksom övriga personuppgifter, får behandlas om det behövs för de ändamål som anges i lagen. Det finns dock en särskild bestämmelse som anger att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om per-

sonens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund, får de alltså kompletteras med sådana uppgifter som avses ovan när det är absolut nödvändigt för syftet med behandlingen. I polisdatalagen anges också att känsliga personuppgifter får behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I nuvarande utlänningsdataförordning finns vissa särskilda bestämmelser som rör behandling av känsliga personuppgifter. Enligt 4 § utlänningsdataförordningen får uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet, hälsotillstånd och sexuell läggning behandlas i verksamhetsregister, om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden eller fullgörande av underrättelseskyldighet. Vidare får uppgifter om hälsotillstånd och andra personliga förhållanden behandlas, om uppgifterna är oundgängligen nödvändiga för tagande i förvar eller verkställighet enligt utlänningslagen. I 5 § finns en generell bestämmelse som rör behandling av känsliga personuppgifter i verksamhetsregister. Enligt bestämmelsen får sådana uppgifter behandlas endast om uppgifterna är oundgängligen nödvändiga för myndigheternas handläggning av ärenden och fullgörande av underrättelseskyldighet. Av 7 § följer vidare att känsliga personuppgifter inte får användas som sökbegrepp i myndigheternas verksamhetsregister. I Migrationsverkets landinformationsregister får känsliga personuppgifter endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra uppgifter i verksamhet inom utlännings- och medborgarskapslagstiftningen, se 12 § nuvarande utlänningsdataförordningen.

7.11.4. Utredningens överväganden

Utredningens förslag: Känsliga personuppgifter som anges i 13 §

PUL får, förutom då den registrerade har lämnat sitt samtycke eller offentliggjort uppgifterna, behandlas endast om det är absolut nödvändigt för de ändamål som anges i lagen.

Känsliga personuppgifter får dock inte behandlas för återsökning av rättslig information. Vid återsökning av information rörande förhållanden i andra länder får känsliga personuppgifter behandlas bara i löpande text.

Som ovan nämnts medför verksamhet på utlännings- och medborgarskapslagsområdet behandling av känsliga personuppgifter i stor omfattning och behandlingen omfattar alla de kategorier av uppgifter som anges i 13 § PUL. Till exempel kräver handläggningen av asylärenden hos Migrationsverket behandling av känsliga personuppgifter, eftersom den asylsökandens hälsotillstånd, etnicitet eller sexuella läggning är uppgifter som kan ha betydelse för en mängd beslut som fattas i asylprocessen. Uppgifterna härrör i sådana fall ofta från vad den sökande själv har uppgett till myndigheten. Ett annat exempel på ärenden som kräver behandling av känsliga personuppgifter är verkställighetsärenden, där bland annat behandling av uppgifter om den enskildes hälsa kan vara nödvändig. Inte sällan ligger det i den registrerades eget intresse att sådana uppgifter om honom eller henne kan behandlas och beaktas. Myndigheterna måste således kunna behandla känsliga personuppgifter med hjälp av modern informationsteknik.

Annat har inte framkommit än att myndigheternas behov av behandling av känsliga personuppgifter i huvudsak tillgodoses genom de undantag från det generella förbudet att behandla känsliga personuppgifter som följer av nuvarande utlänningsdataförordning. Motsvarande undantag bör därför införas i den nya lagen.

Behandling av känsliga personuppgifter bör alltså vara tillåten om den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Det är troligt att samtycke till behandling av känsliga personuppgifter på utlännings- och medborgarskapsområdet inte kommer att ha någon större praktisk betydelse. Ett giltigt samtycke förutsätter nämligen en frivillig, särskild och otvetydig viljeyttring genom vilken de registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne (3 § PUL). Det är inte heller så naturligt att tala om samtycke i dessa sammanhang. Det skulle därför kunna övervägas att i den nya lagstiftningen inte ge ett samtycke någon rättsverkan. Regler om samtycke till behandling av känsliga personuppgifter finns dock i artikel 8.2 punkt a

dataskyddsdirektivet. Dessa regler innebär att behandling av känsliga personuppgifter är tillåten om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Eftersom ett syfte med dataskyddsdirektivet är att inte hindra det fria flödet av personuppgifter inom unionen, bör enligt utredningen motsvarande regler om samtycke gälla i utlänningsdatalagen.

Därutöver bör känsliga personuppgifter endast få behandlas för handläggning av ärenden eller en myndighets biträde i sådana ärenden, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar, tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik, testverksamhet samt uppgiftsutlämnande i vissa fall, om uppgifterna är absolut nödvändiga för syftet med behandlingen. Känsliga personuppgifter bör även få behandlas av Migrationsverket i löpande text för återsökning av information rörande förhållanden i andra länder, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i Migrationsverkets verksamhet såsom den anges i 2 § i utredningens förslag till kommande utlänningsdatalag.

Vad gäller regleringen av i vilka fall som känsliga personuppgifter får behandlas används i nuvarande utlänningsdataförordning rekvisitet om det är oundgängligen nödvändigt. Utredningen föreslår i stället, som ovan nämnts, att det mer moderna begreppet absolut

nödvändigt ska används i den nya lagen. Syftet med rekvisiten är

dock det samma, det vill säga att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisiten innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Som ovan anförs kräver verksamheten på utlännings- och medborgarskapsområdet ofta att känsliga personuppgifter behandlas. Genom rekvisitet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda ärendet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.

Känsliga personuppgifter får alltså i dag inte behandlas för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se 5 § nuvarande utlän-

ningsdataförordning. Migrationsverket har dock uppgett att det föreligger ett behov av att kunna behandla känsliga personuppgifter även för dessa ändamål för att kunna tillgodose både externa och interna intressen i vissa fall.

Som tidigare nämnts är det nödvändigt i verksamheten på utlännings- och medborgarskapsområdet att behandla känsliga personuppgifter i stor omfattning. Ofta är ärendena hos verket av det slag att känsliga personuppgifter måste behandlas för att verksamheten ska fungera, vilket som ovan nämnts även är tillåtet. Verksamhet som syftar till ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet är starkt integrerad med Migrationsverkets ärendehantering. Verket ska fortlöpande bevaka effektiviteten och kvaliteten i verksamheten. Detta åtagande förutsätter uppföljning och kontroll av olika slag och då kan känsliga personuppgifter många gånger vara relevanta. Migrationsverket har vidare krav på sig att föra statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Vidare kan utländska organ, exempelvis UNCHR, begära viss statistik som bygger på känsliga personuppgifter (exempelvis rörande verkets handläggning av asylärenden som rör HBTQ-personer, dvs. homosexuella, bisexuella, trans- och queerpersoner). Rimligen finns det enligt utredningens bedömning ett lika stort behov för Migrationsverket att kunna behandla känsliga personuppgifter för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som för ärendehanteringen. En effektiv hantering av dessa frågor torde därför förutsätta att verket får behandla även känsliga personuppgifter i sådan verksamhet.

Behandlingen av känsliga personuppgifter kan dock även i detta fall medföra integritetsrisker. Utredningen anser emellertid att Migrationsverkets rutiner för dataskydd och säkerhet vid behandlingen bör kunna utgöra en tillräcklig garanti för att hanteringen av känsliga personuppgifter blir lika god vid aktuella ändamål som vid ärendehanteringen. Migrationsverket bör därför enligt utredningen ges rätt att behandla känsliga personuppgifter även för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Känsliga personuppgifter som behandlas för dessa ändamål bör dock genast gallras när behandlingen inte längre är nödvändig för ändamålet. En föreskrift om detta bör tas in i den nya utlänningsdataförordningen.

7.12. Tillgången till personuppgifter

7.12.1. Allmänt om behörighetsbegränsningar

Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i den personliga integriteten. Ett sätt att stärka integritetsskyddet är att begränsa antalet personer som har tillgång till uppgifterna samt att begränsa deras hantering av uppgifterna.

Modern teknik har gjort det möjligt att begränsa en enskild tjänstemans tillgång till personuppgifter som behandlas automatiserat till en viss information så att denne endast har behörighet till de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. I registerförfattningar av senare datum är det vanligt att det finns en särskild bestämmelse som reglerar tillgången till personuppgifter. Exempel på detta är polisdatalagen och kustbevakningsdatalagen i vilka det finns bestämmelser om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Myndigheterna som behandlar personuppgifter på utlännings- och medborgarskapsområdet har redan i dag behörighetssystem som ska reglera de anställdas tillgång till personuppgifter. Behörigheterna kan anpassas till den anställdes behov med hänsyn till tjänstenivå och arbetsuppgifter.

Migrationsverket har till exempel i dag system för autentisering som innebär att det krävs ett ”smartkort” med en tillhörande pinkod för att få tillgång till Migrationsverkets interna datasystem. Vidare finns ett system för auktorisering, genom vilket behörigheten till olika datasystem begränsas till vad varje enskild person behöver med hänsyn till hans eller hennes befattning, vilken uppgift han eller hon utför och var i arbetsprocessen han eller hon befinner sig.

Under år 2009 granskade Datainspektionen hur ett antal stora statliga myndigheter behandlar personuppgifter i sina verksamheter (Datainspektionens åtkomstprojekt). Inom ramen för detta projekt genomförde Datainspektionen i januari 2009 en inspektion av Migrationsverkets personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik (logg) och åtkomstkontroll (logguppföljning) samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem (ärende dnr

1807-2008). Härefter har Datainspektionen gjort uppföljningar (ärende dnr 1601-2011, dnr 1332-2012 och dnr 761-2013). Datainspektionen har förelagt Migrationsverket att inkomma med skriftliga åtgärdsplaner avseende bland annat vilka åtgärder myndigheten avser vidta för att begränsa åtkomsten till skyddade personuppgifter och skriftliga redogörelser för vilka konkreta åtgärder Migrationsverket är berett att vidta för att säkerställa verkningsfulla loggkontroller m.m. Samtliga ärenden har numera avslutats då Datainspektionen fått in den redovisning som begärts.

7.12.2. Utredningens överväganden

Utredningens förslag: Tillgången till personuppgifter ska begrän-

sas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.

I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas en stor mängd personuppgifter. Många av dessa är känsliga personuppgifter enligt 13 § PUL eller i övrigt av integritetskänslig karaktär. Det är viktigt att så långt som möjligt motverka att uppgifterna sprids till någon som inte är behörig att ta del av dem. Enligt utredningens bedömning är det lämpligt att en sådan bestämmelse som beskrivs ovan införs även i den nya utlänningsdatalagen. Det är dock svårt att i detalj förutse och reglera vilken information varje anställd bör få tillgång till i olika sammanhang. Bestämmelsen måste därför bli allmänt formulerad. Det bör i stället vara den enskilda myndighetens ansvar att, med utgångspunkt i den egna myndighetens organisation och behov, se till att tillgången till personuppgifter begränsas i enlighet med den föreslagna bestämmelsen. Regeringen eller den myndighet som regeringen bestämmer bör därför ha möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter. Migrationsverket, Polismyndigheten och Säkerhetspolisen bör således få möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Migrationsverket bör också få meddela sådana föreskrifter för utlandsmyndigheterna när det gäller uppgifter som

behandlas automatiserat. Enligt utredningens förslag till förordning ska vid tilldelning av behörighet för åtkomst till personuppgifter särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ansvarar vidare enligt utredningens förslag för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Migrationsverket bör vidare ansvara för utlandsmyndigheternas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter vid automatiserad behandling av personuppgifter.

7.13. Sökbegränsningar

7.13.1. Allmänt om sökbegränsningar

I nuvarande utlänningsdataförordning finns vissa bestämmelser som rör sökbegrepp. Enligt 7 § får känsliga personuppgifter som anges i 13 § PUL inte användas som sökbegrepp i verksamhetsregister. I fråga om register som förs för ändamålet att återsöka information om förhållanden i andra länder (landinformationsregister) får personuppgifter som direkt pekar ut den registrerade, till exempel namn, inte användas som sökbegrepp, se 13 § utlänningsdataförordning.

Vid behandling av personuppgifter är det från ett integritetsperspektiv viktigt i vilken utsträckning uppgifter kan sökas och sammanställas. Generellt kan sägas att ju större möjligheter det finns att på olika sätt sammanställa uppgifter om enskilda, desto större blir riskerna för intrång i enskildas integritet. Ett förbud mot att använda vissa sökbegrepp kan å andra sidan försvåra en myndighets effektiva arbete.

7.13.2. Utredningens överväganden

Utredningens förslag: Känsliga personuppgifter som anges i

13 § PUL får användas som sökbegrepp vid behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.

Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information rörande förhållanden i andra länder. Personuppgifter om lagöverträdelse m.m. får inte användas som sökbegrepp. Uppgift om beslut om förvar enligt utlänningslagen bör dock få användas som sökbegrepp.

Sökningar på känsliga personuppgifter är typiskt sett förknippade med särskilda risker i integritetshänseende. I många registerlagar är det därför förbjudet att använda känsliga personuppgifter som sökbegrepp. Skälet till detta är att det inte helt kan uteslutas att sammanställningar över känsliga personuppgifter kan komma att missbrukas med risk för allvarliga intrång i enskildas personliga integritet.

Ett annat viktigare skäl till att vissa sökbegrepp ofta är förbjudna att använda har samband med den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF. Den innebär att en potentiell handling inte är förvarad hos myndigheten, och den är därmed inte en allmän handling, om sammanställningen innehåller personuppgifter och myndigheten inte enligt lag eller förordning har rättslig befogenhet att göra sammanställningen tillgänglig. Syftet med begränsningsregeln är att hindra allmänheten från att göra anspråk på att få del av sammanställningar av uppgifter ur upptagningar hos myndigheten som myndigheten själv, av integritetsskäl, är rättsligen förhindrad att ta fram i sin egen verksamhet. Integritetsskyddet ska alltså upprätthållas även om 2 kap. TF åberopas (se SOU 2010:4 s. 143 och SOU 2012:90 s. 115).

Inskränkningar i myndigheternas möjligheter att söka i sina uppgiftssamlingar behövs således för att skydda den enskildes integritet. Men följden av sådana inskränkningar blir också att användbarheten av myndigheternas uppgiftssamlingar begränsas.

Enligt utredningens förslag får känsliga personuppgifter över huvud taget inte behandlas för återsökning av avgöranden, rättsut-

redningar och annan rättslig information, se avsnitt 7.11.4. Det innebär att känsliga personuppgifter inte heller kan användas som sökbegrepp för detta ändamål.

Migrationsverket har framhållit att användningen av känsliga personuppgifter som sökbegrepp kan utgöra ett viktigt verktyg för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Verket har som exempel pekat på UNCHR:s framställningar om information om verkets handläggning av asylärenden som rör HBTQ-personer (se avsnitt 7.11.6). För att tillhandahålla begärd statistik anser sig verket behöva söka på känsliga personuppgifter som rör sexuell läggning av aktuellt slag. Det är enligt verket knappast möjligt att genom manuella sökningar få fram begärd information.

Utredningen har förståelse för att det högst avsevärt skulle underlätta för verket om det var möjligt att söka på känsliga personuppgifter vid framställning om statistik av berört slag. Det finns enligt utredningen goda skäl för att verket bör ha möjlighet att söka på beskrivna uppgifter för att kunna efterkomma kraven på statistik.

Det finns också andra liknande situationer då det framstår som lika rimligt att Migrationsverket för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet bör få behandla känsliga personuppgifter. Verket bör således enligt utredningen ha möjlighet att mäta tendenser som är av betydelse för verksamheten. Det kan till exempel finnas anledning att följa upp och planera för flyktingströmmar från en viss etnisk konflikt eller för att kunna bereda verksamheten på att ta emot stora strömmar av asylsökande som är HIV-bärare eller drabbade av svåra miljökatastrofer.

Sammanfattningsvis menar utredningen att känsliga personuppgifter bör få användas som sökbegrepp när det gäller personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering, framställning av statistik samt testverksamhet. Med tanke på att personuppgifterna normalt torde omfattas av sekretess och på att endast ett fåtal anställda är sysselsatta med den verksamhet som det här är fråga om bör detta vara acceptabelt från integritetssynpunkt. Utredningen föreslår även att en särskild bestämmelse om gallring ska införas för sådana personuppgifter, se avsnitt 7.11.4.

I dag får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information rörande förhållanden i andra länder. Enligt utredningen bör den sökbegränsningen gälla fortfarande.

Enligt utredningen bör vidare sökningar inte få göras på andra personuppgifter om lagöverträdelser m.m. som avses i 21 § PUL än uppgifter som avser beslut om förvar enligt utlänningslagen. Förvar är ett frihetsberövande som vidtas inom det egna verksamhetsområdet. Det är därför naturligt och acceptabelt utifrån integritetssynpunkt att uppgifter om förvar får sökas och sammanställas av myndigheter som är inbegripna i verksamheten.

7.14. Annat elektroniskt utlämnande än genom direktåtkomst

7.14.1. Allmänt om annat elektroniskt utlämnande än genom direktåtkomst

Personuppgifter som behandlas hos myndigheter kan lämnas ut på olika sätt, till exempel muntligen, på papper eller i elektronisk form. Alla dessa sätt utgör behandling av personuppgifter enligt personuppgiftslagens definition. Utlämnande i elektronisk form, dvs. på medium för automatiserad behandling, kan innebära att elektronisk information till exempel överförs via e-post, genom utlämnande av uppgifter på cd-rom, DVD, USB-minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. Begreppet utlämnande på medium för automatiserad behandling har dock i takt med att tekniken utvecklats ibland getts en vidare innebörd (se SOU 2012:90 s. 198). I förarbetsuttalanden har som exempel på sådant utlämnande exempelvis framhållits s.k. batchkörningar, ett automatiskt utlämnande efter sökningar och sammanställningar där svar lämnas med viss tidsfördröjning (se prop. 2000/01:129 s. 76 och prop. 2007/08:160 s. 60). Begreppet utlämnande på medium för automatiserad behandling får i dag anses som omodernt och bör därför inte användas, se SOU 2015:39 s. 442.

Personuppgiftslagen skiljer inte på elektroniskt utlämnande och utlämnande i annan form och innehåller inga särskilda regler för utlämnande i elektronisk form. Något krav på särskild reglering för utlämnande på medium för automatiserad behandling i författningar

som innehåller särreglering i förhållande till personuppgiftslagen finns således egentligen inte heller. Utlämnande av personuppgifter på medium för automatiserad behandling anses emellertid medföra särskilda risker från integritetssynpunkt (se prop. 2009/10:85 s. 184 f. och prop. 20011/12:45 s. 96 f.). Sådant utlämnande medför vanligtvis att mottagaren på ett enkelt sätt kan bearbeta informationen, till exempel genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det anses öka riskerna för att uppgifterna ska behandlas på ett sätt som innebär att den enskildes integritet kränks.

7.14.2. Utredningens överväganden

Utredningens bedömning: Någon regel som tillåter eller för-

bjuder att personuppgifter lämnas ut genom annat elektroniskt utlämnande än direktåtkomst behövs inte i lagen.

I nuvarande utlänningsdataförordning finns inga särskilda regler om annat elektroniskt utlämnande än genom direktåtkomst. Ett undantag finns dock i bestämmelsen i 10 § andra stycket, av vilken det framgår att uppgifter ur Migrationsverkets fingeravtrycksregister får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning.

I praktiken sker elektroniskt utlämnande på annat sätt än genom direktåtkomst i många olika situationer inom verksamhet för utlännings- och medborgarskapslagstiftningen. Uppgifter lämnas ut av exempelvis Migrationsverket på begäran av andra myndigheter för att användas i den mottagande myndighetens verksamhet eller för att verket ska kunna fullgöra sina uppgifter inom utlännings- och medborgarskapsverksamheten. Exempelvis lämnar Migrationsverket personuppgifter till Skatteverket via cd-rom. Utlämnande av uppgifter på medium för automatiserad behandling sker också till privata bolag. Migrationsverket skickar till exempel filer som innehåller personuppgifter till passleverantören Gemalto AB och till Strålfors svenska AB som skriver ut och kuverterar kallelser, beslut m.m. för myndighetens räkning. Myndigheternas kommunikation med exempelvis parter och ombud via e-post kan också innebära utlämnande av personuppgifter.

Som anförts anses även annat elektroniskt utlämnande än genom direktåtkomst medföra vissa integritetsrisker. Det är dock från ett effektivitetsperspektiv viktigt att myndigheterna har möjlighet att utnyttja automatiserade förfaranden i sin verksamhet. Om elektroniskt utlämnande inte får ske, måste den utlämnande myndigheten göra utskrifter på papper och skicka till mottagaren. Mottagaren måste därefter eventuellt vidta åtgärder för att överföra uppgifterna till elektronisk form igen. Denna ordning framstår som onödigt ineffektiv och tidskrävande, särskild som exempelvis myndigheter i allt större utsträckning övergår till helt elektronisk informationshantering.

Skyddet för den personliga integriteten bör enligt utredningens bedömning kunna upprätthållas på andra sätt än genom begränsning av formen för utlämnande. De utlämnande myndigheterna får endast behandla personuppgifter för utlämnande för vissa i lagen angivna ändamål eller för ändamål som inte är oförenliga med dessa ändamål. Även de mottagande myndigheternas behandling av personuppgifterna styrs vanligtvis av särskilda författningar med ändamålsbestämmelser som reglerar för vilka ändamål behandling får ske. Vidare är den personuppgiftsansvariga myndigheten skyldig att vidta lämpliga tekniska åtgärder för att skydda de uppgifter som behandlas (31 § PUL). Myndigheten ansvarar således för att överföringen sker på ett säkert sätt, till exempel att uppgifterna krypteras innan de överförs till mottagaren. Utlämnande av uppgifter ska också föregås av en sekretessprövning. Det bör därför sammanfattningsvis inte införas någon särskild regel om utlämnande av personuppgifter i annan elektroniskt form än genom direktåtkomst i den nya lagen, se även SOU 2015:39 s. 44 f. Det bör inte heller införas någon motsvarande konstruktion som den som finns i polisdatalagen att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling (se 2 kap. 20 § PDL). En sådan modell skulle enligt utredningen kunna försvåra Migrationsverkets arbete utan att egentligen främja enskildas integritet. Utredningens principiella slutsats när det gäller utlämnande på medium för automatiserad behandling innebär också att någon motsvarighet inte behövs till föreskriften i nuvarande utlänningsdataförordning att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning, se avsnitt 7.10.

7.15. Direktåtkomst

7.15.1. Allmänt om direktåtkomst

En typ av utlämnande i elektronisk form som brukar förknippas med särskilda risker är direktåtkomst. Någon legaldefinition av begreppet direktåtkomst finns inte (se SOU 2012:90 s. 198 och SOU 2015:39 s. 389 f.). Enligt Informationshanteringsutredningen bör begreppet, liksom hittills gjorts, definieras på så sätt att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF (se SOU 2015:39 s. 390 f.). Utredningen utgår från denna definition i sina fortsatta överväganden.

Ett skäl till att direktåtkomst anses innebära särskilda risker för otillbörligt integritetsintrång är att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos en mottagande myndighet (se SOU 2012:90 s. 64 f. och 123 f. samt SOU 2015:39 s. 134 f.). Allmänna handlingar är som huvudregel offentliga och rätten att ta del av dem får begränsas endast av de skäl som anges i 2 kap. TF och endast om det anges i lag. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således allmänhetens möjlighet att få tillgång till dessa uppgifter (se SOU 2003:40 s. 201).

Bestämmelser om direktåtkomst är ofta begränsade på så sätt att direktåtkomst bara medges till vissa typer av uppgifter som behövs i en viss typ av ärenden eller verksamhet hos den mottagande myndigheten. För att den mottagande myndigheten ska kunna utnyttja direktåtkomsten måste myndigheten dock ha teknisk tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas i myndighetens verksamhet. Sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten anses förvarade hos myndigheten och utgör således en allmän handling hos den myndigheten, se 2 kap. 3 § andra stycket TF. Detta gäller även om den mottagande myndigheten inte använder uppgiften i sin egen verksamhet.

Generellt kan sägas att möjligheten till direktåtkomst ökar riskerna för intrång i den personliga integriteten, eftersom det typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar.

I registerförfattningar finns ofta särskilda bestämmelser avseende utlämnande på medium för automatiserad behandling och direktåtkomst. Genom informationsteknikens utveckling har emellertid gränserna mellan de olika utlämnandeformerna blivit svårare att dra (se SOU 2012:90 s. 198 f.). Gränsdragningsproblematiken har under senare år behandlats vid ett antal tillfällen i samband med lagstiftning på registerförfattningsområdet (se prop. 2002/03:135 s. 89, SOU 2006:82 s. 221 f. och prop. 2011/12:45 s. 132 f.). Regeringen har i olika motivuttalanden konstaterat att begreppsbildningen avseende olika former av elektroniskt utlämnande i registerförfattningar är oklar, att mycket står att vinna med en mer enhetlig och tydlig begreppsbildning, men att frågan inte bör lösas inom ramen för ett enskilt lagstiftningsärende (se prop. 2007/08:160 s. 58). Lagstiftaren har således fortsatt att i de olika registerförfattningarna göra åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Exempel på en sådan reglering finns i nuvarande utlänningsdataförordningen, lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, polisdatalagen och kustbevakningsdatalagen.

För att komma tillrätta med bland annat denna problematik tillsattes år 2011 Informationshanteringsutredningen (dir. 2011:86) (se avsnitt 6.9). Utredningen fick enligt tilläggsdirektiv bland annat i uppdrag att utreda förutsättningarna för att skapa en generell, enhetlig och helt eller i vart fall delvis samlad reglering för myndigheternas personuppgiftsbehandling (dir. 2014:31). Utredningen fick i samband därmed i uppdrag att behandla frågan om det finns skäl att behålla åtskillnad mellan olika former av elektroniskt utlämnande (se SOU 2012:90 s. 197 f.). I sitt slutbetänkande Myndighets-

datalag gör utredningen bedömningen att det från både principiella

och rättsliga synpunkter finns starkt vägande skäl för att behålla en begreppsmässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form (se SOU 2015:39 s. 149 f.). I konsekvens härmed innehåller den av utredningen föreslagna lagstiftningen olika reglering för direktåtkomst respektive annat utlämnande i elektronisk form. När det gäller begreppet direktåtkomst anser utredningen att direktåtkomst, liksom i dag, bör som sagts ovan definieras på så sätt att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk till-

gång till upptagningar som avses i 2 kap. 3 § andra stycket TF (a.a. s. 390 f.).

Enligt 6 § nuvarande utlänningsdataförordning får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåtkomst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har för närvarande direktåtkomst till Migrationsverkets centrala utlänningsdatabas, CUD.

Migrationsverket har träffat en överenskommelse, den s.k. Wilmaöverenskommelsen (inklusive bilagorna Wilma I-III), med Rikspolisstyrelsen avseende polisverksamheternas åtkomst till CUD. Överenskommelsen innehåller bland annat uppgift om vilka uppgifter Rikspolisstyrelsen får ta del av genom direktåtkomst, begränsning av användningen av uppgifterna och krav på de personer som ska få tillgång till uppgifterna genom direktåtkomst. Med anledning av polisens nya organisation från och med den 1 januari 2015 har Migrationsverket och de nya myndigheterna Polismyndigheten och Säkerhetspolisen inlett en dialog avseende ändring av överenskommelserna.

Utlandsmyndigheternas direktåtkomst är inte reglerad av någon särskild överenskommelse mellan myndigheterna. Tillgången till personuppgifter regleras i stället genom en uppdelning av behörighet på olika grupper, som bestäms av Migrationsverket.

Även Försäkringskassan och Pensionsmyndigheten får i dag ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § nuvarande utlänningsdataförordning. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda. Vidare får direktåtkomsten endast avse uppgift om

1. namn, personnummer och i förekommande fall samordnings-

nummer,

2. bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,

3. dag för beslut om uppehållstillstånd, arbetstillstånd eller utfär-

dande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehållskort har utfärdats,

4. inresedatum,

5. datum för ansökan om uppehållstillstånd, arbetstillstånd eller

uppehållskort,

6. särskilt bevis enligt 5 kap. 4 § tredje stycket UtlF,

7. att uppehållstillstånd har beviljats den enskilde som flykting enligt

4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § UtlL eller motsvarande äldre bestämmelser,

8. att statusförklaring har beviljats enligt 4 kap. 3 c § UtlL eller mot-

svarande äldre bestämmelser,

9. att uppehållstillstånd har beviljats den enskilde för studier eller

som familjemedlem till en sådan person och 10. beslut om återkallelse av uppehållstillstånd eller arbetstillstånd,

uppgift om från och med vilket datum uppehållstillstånd eller arbetstillstånd har återkallats samt uppgift om från och med vilket datum beslut om återkallelse av uppehållstillstånd eller arbetstillstånd har vunnit laga kraft.

Försäkringskassan och Pensionsmyndigheten har ännu inte någon direktåtkomst till Migrationsverkets verksamhetsregister och det finns inte heller någon överenskommelse mellan myndigheterna härom. För närvarande pågår dock arbetet med att etablera direktåtkomst för Försäkringskassan.

Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 b § nuvarande utlänningsdataförordning. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identi-

tetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige1. Direktåtkomsten får endast avse uppgift om namn och personnummer, längd, fotografi, underskrift, typ av resehandling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd. Skatteverket har även i praktiken direktåtkomst till Migrationsverkets verksamhetsregister och myndigheterna har träffat en överenskommelse som reglerar direktåtkomsten. I överenskommelsen specificeras vilka uppgifter som direktåtkomsten avser. I överenskommelsen anges angående säkerhet och spårbarhet att Skatteverket ansvarar för att individer med sekretesskyddade personuppgifter endast handläggs av särskilda sekretesshandläggare. Migrationsverket loggar alla slagningar från Skatteverket. Skatteverket ska vid förfrågan kunna ange vem som utfört en slagning och varför slagning skett.

7.15.2. Utredningens överväganden

Utredningens förslag: Polismyndigheten, Säkerhetspolisen, ut-

landsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket får för vissa särskilda ändamål medges direktåtkomst till Migrationsverkets personuppgifter som behandlas automatiserat. Inhämtade uppgifter får endast behandlas för dessa särskilda ändamål.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

I utlänningslagen föreslås en sekretessbrytande bestämmelse enligt vilken Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att ta del av uppgifter om enskilda hos Migrationsverket.

1 Behandlingen av uppgifter enligt förordningen kommer sannolikt i framtiden delvis att regleras i en särskild lag om identitetskort för folkbokförda i Sverige. Ett förslag till lag bereds för närvarande inom Regeringskansliet. Se promemorian Vissa registerfrågor (Finansdepartementet, april 2015).

Enligt utredningen bör utgångspunkten för en kommande reglering vara att terminologin bör överensstämma med den som Informationshanteringsutredningen har föreslagit. Det innebär att begreppet direktåtkomst bör ges den innebörd som får anses vara den redan etablerade.

Nästa fråga är hur tillgången till uppgifter genom direktåtkomst bör regleras i den nya lagen. Som framgår av föregående avsnitt får enligt nuvarande utlänningsdataförordning Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket ha direktåtkomst till vissa uppgifter hos Migrationsverket. Frågan om lämpligheten av direktåtkomst för berörda myndigheter har således redan övervägts av regeringen. Utredningen har inte någon anledning att ifrågasätta dessa överväganden och utgår från att dagens reglering i huvudsak ska bestå. Det innebär att dessa myndigheter bör få ha direktåtkomst för samma ändamål och i samma utsträckning som i dag. Utredningen vill ändå något beröra nuvarande ordning. Som kommer att framgå menar utredningen att det finns anledning till vissa mindre justeringar av gällande reglering.

Innan utredningen resonerar kring nuvarande ordning ska dock en annan fråga tas upp. En fråga att överväga är om det finns andra än ovannämnda myndigheter som bör kunna medges direktåtkomst till Migrationsverkets uppgifter. Migrationsverket har upplyst om att verket för närvarande arbetar med en s.k. visningstjänst, som innebär att enskilda genom direktåtkomst till Migrationsverket skulle kunna få tillgång till vissa uppgifter om sig själva, framför allt sådana som rör handläggningen av deras ärenden. Verket har dock inte (juni 2015) presenterat något egentligt underlag för hur denna direktåtkomst är tänkt att se ut enligt verket. Utredningen anser i och för sig att tanken att enskilda ska kunna få viss direktåtkomst till uppgifter om sig själva är god. En sådan möjlighet kräver dock åtskilliga rättsliga överväganden. Eftersom Migrationsverkets arbete, som utredningen förstår det, med visningstjänsten än så länge inte har kommit så långt, är det inte möjligt att på befintligt underlag göra de överväganden som krävs. Utredningen kan därför inte lägga fram något förslag om direktåtkomst för enskilda. Avslutningsvis i detta avsnitt tar utredningen upp frågan om regleringen i lag av direktåtkomst bör vara uttömmande.

Modern teknik har medfört att information på ett enkelt sätt kan sökas, sammanställas och överföras mellan myndigheter. Direktåtkomst kan innebära effektivitetsvinster för den mottagande myndigheten, eftersom handläggande tjänstemän inte behöver begära ut de uppgifter som behövs för bedömningen av ett enskilt fall från den utlämnande myndigheten utan själv kan söka den information som krävs i den utlämnande myndighetens personuppgiftssamling. Direktåtkomst kan också innebära fördelar för den utlämnande myndigheten, eftersom den inte behöver avsätta resurser för att hantera de förfrågningar om utlämnande som kommer in från andra myndigheter. Det kan även innebära fördelar från informationssäkerhetssynpunkt, då överföring av information vid direktåtkomst kan ske på ett säkrare sätt än till exempel genom e-post.

Samtidigt anses direktåtkomst, som ovan framförts, typiskt sett innebära att risken för kränkningar av den enskildes integritet blir större. För att intrånget i den personliga integriteten vid direktåtkomst ska bli acceptabelt måste därför vissa krav ställas på denna (se prop. 2007/08:160 s.46 f., s. 56 f., SOU 2012:90 s. 123 f. samt SOU 2015:39 s. 138 f. och 387 f.). Vad det i princip handlar om är att skyddet för personuppgifterna vid direktåtkomst ska säkerställas på olika sätt. Om det skyddet kan garanteras, behöver enligt utredningen direktåtkomst inte vara så mycket känsligare än andra former av informationsutbyten. Det finns några aspekter som är särskilt viktiga.

En viktig fråga vid direktåtkomst är hur uppgifterna sprids och används hos den mottagande myndigheten. Om kretsen av personer som har tillgång till uppgifterna kan begränsas, är risken för integritetsintrång generellt sett mindre. Den mottagande myndigheten måste därför begränsa åtkomstmöjligheterna så mycket som möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Anställda inom en myndighet bör endast ha elektronisk tillgång till de personuppgifter som de behöver i sitt arbete.

En närliggande fråga rör behovet av risk- och sårbarhetsanalys då direktåtkomst medges. I förarbetena till bestämmelsen om Försäkringskassans direktåtkomst till Migrationsverkets verksamhetsregister konstateras att det med dagens teknik är möjligt att utforma system som innebär att det vid direktåtkomst bara är möjligt för handläggarna att söka på uppgifter om en viss person om den personen är aktuell i den verksamhet där direktåtkomst tillåts (se

prop. 2007/08:160 s. 97 f). För att säkerställa att sådana tekniska spärrar införs föreskrevs i paragrafen som reglerar Försäkringskassans direktåtkomst till Migrationsverkets uppgifter en bestämmelse som anger att direktåtkomst får medges först sedan Migrationsverket försäkrat sig om att handläggare hos Försäkringskassan bara kan ta del av uppgifter om enskilda som är aktuella i ärenden eller i verksamhet som avser registrering av enskilda hos Försäkringskassan (se 6 a § första stycket nuvarande utlänningsdataförordning). Motsvarande gäller i dag när Pensionsmyndigheten ska medges direktåtkomst till Migrationsverkets personuppgifter. När det gäller kravet på risk- och sårbarhetsanalyser, se också SOU 2015:39 s. 387 f.

Ytterligare en aspekt att beakta vid direktåtkomst är att den mottagande myndigheten endast har direktåtkomst till sådana uppgifter som myndigheten verkligen kan antas ha behov av. Införandet av direktåtkomst bör därför föregås av en analys av vilka uppgifter som är nödvändiga med hänsyn till ändamålen med behandlingen. Från ett integritetsperspektiv är det också en fördel om det framgår av författningstexten vilka uppgifter som får inhämtas genom direktåtkomst.

En omständighet som också bör beaktas då direktåtkomst övervägs är, i de fall direktåtkomsten avser sekretessbelagda uppgifter, vilka sekretessbestämmelser som blir tillämpliga hos de mottagande myndigheterna.

När det till en början gäller de anställdas elektroniska tillgång till personuppgifter föreslår utredningen att det i den kommande lagen införs en särskild bestämmelse, 16 §, enligt vilken den personuppgiftsansvariga myndigheten har ansvar för att begränsa tillgången till personuppgifter till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 7.12). Denna bestämmelse får anses uppfylla kravet på att uppgifterna inte sprids hos mottagarmyndigheterna på ett oacceptabelt sätt. Bestämmelsen kommer att bli tillämplig hos Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. Den kommer däremot inte att bli tillämplig hos Försäkringskassan, Pensionsmyndigheten och Skatteverket, eftersom den nya lagen inte ska tillämpas av dessa myndigheter. En motsvarande åtkomstregel bör därför finnas för dessa myndigheter. En sådan regel kan för Försäkringskassan och Pensionsmyndigheten lämpligen tas in i 114 kap. socialförsäkringsbalken (2010:110), som innehåller regler om behandling av personuppgifter hos dessa myndig-

heter. I 114 kap. 17 § finns en åtkomstregel, som dock inte är tillämplig på den direktåtkomst som myndigheterna har till Migrationsverkets personuppgifter. Utredningen föreslår att regeln ändras så att den blir tillämplig även vid åtkomst av uppgifter från Migrationsverket.

När det gäller Skatteverket finns det ingen särskild regel om åtkomstbegränsning. Utredningen föreslår att 16 a § förordningen (2009:284) om identitetskort för folkbokförda i Sverige kompletteras med ett andra stycke som anger att tillgången till aktuella uppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Innan Migrationsverket medger direktåtkomst till personuppgifter bör verket göra en risk- och sårbarhetsanalys. Migrationsverket ska då kontrollera att mottagande myndigheter har ett tillräckligt skydd för mottagna personuppgifter. En bestämmelse bör därför finnas om att verket inte får medge någon direktåtkomst innan verket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet. En sådan bestämmelse motsvarar i huvudsak 6 a § första stycket nuvarande utlänningsdataförordning. Viktiga instrument för risk- och sårbarhetsanalyserna är också de överenskommelser som finns mellan Migrationsverket och mottagande myndigheter rörande behörighet och säkerhet vid direktåtkomst.

Migrationsverket bör vidare ha möjlighet att meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att verket ska kunna medge direktåtkomst, jmf. 14 § polisdataförordningen (2010:1155). Syftet med en sådan bestämmelse är att betona vikten av att verket inte lättvindigt får för sig att medge direktåtkomst utan att ha funderat över säkerhetsaspekterna.

Vad sedan avser mottagande myndigheters behov av uppgifter kan det konstateras att det i 6 a och 6 b §§ i nuvarande utlänningsdataförordning specificeras vilka uppgifter som Försäkringskassans, Pensionsmyndighetens och Skatteverkets direktåtkomst får avse. Någon motsvarande begränsning av direktåtkomsten finns inte avseende Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. Utredningen har övervägt om inte även sistnämnda myndigheters direktåtkomst borde preciseras genom att i den kommande utlänningsdatalagstiftningen ange vilka slags uppgifter som myndigheterna får ha direktåtkomst till. Tillgången skulle då inte som i dag

begränsas till personuppgifter som är nödvändiga för att en tjänsteman ska fullgöra sina arbetsuppgifter.

Vad som talar för att precisera vilka uppgifter som Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får ha direktåtkomst till är att en sådan reglering bör minska risken för att myndigheternas direktåtkomst blir alltför vid. Utredningens undersökningar visar dock att myndigheternas direktåtkomst i praktiken har begränsats till uppgifter som myndigheterna har behov av i sin verksamhet. Det är även svårt att säkert förutse vilka slags uppgifter som Polismyndigheten och Säkerhetspolisen kan ha behov av. Utredningen har mot denna bakgrund kommit till slutsatsen att Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till Migrationsverkets personuppgifter bör utformas på i princip samma sätt som i dag, se 6 § nuvarande utlänningsdataförordning. Inom ramen härför ligger även att Polismyndigheten får medges direktåtkomst till Migrationsverkets fingeravtrycksregister för att biträda verket med att registrera och kontrollera fingeravtryck mot detta register, se närmare härom i avsnitt 7.10.

Sammanfattningsvis bör alltså Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket på motsvarande sätt som gäller i dag få ha direktåtkomst till vissa uppgifter som Migrationsverket behandlar i sin verksamhet. Direktåtkomst får dock inte omfatta avskilda uppgifter, se avsnitt 7.16.2. Myndigheterna får inte använda direktåtkomsten för andra ändamål än de som bestämmelserna tillåter myndigheterna att ha direktåtkomst för. Det innebär till exempel att Polismyndigheten i brottsutredande syfte inte får använda direktåtkomsten till Migrationsverkets uppgifter för att kontrollera en brottsmisstänkt utlänning. Ibland kan man tänka sig att Polismyndighetens insats har dubbla syften. Om Polismyndigheten exempelvis stoppar en bil med utlänningar, kan omständigheterna vara sådana att det finnas anledning att kontrollera såväl om utlänningarna har rätt att uppehålla sig i landet som om bilen är stulen. När det gäller den förstnämnda frågan kan Polismyndigheten utnyttja sin direktåtkomst till Migrationsverkets uppgifter. Den personuppgiftsbehandling som måste utföras därför att bilen kan vara stulen måste dock göras med stöd av polisdatalagen. Polismyndigheten får vägledning i frågor av berört slag i den s.k. Wilmaöverenskommelsen, se avsnitt 7.15.1.

En ytterligare fråga som är av betydelse för direktåtkomsten är, som sagts ovan, vad sekretessregleringen innebär för en sådan direktåtkomst. Frågan är viktig, eftersom handlingar som är åtkomliga genom direktåtkomst utgör allmänna handlingar även hos den mottagande myndigheten och det gäller alla de handlingar som görs tillgängliga genom direktåtkomsten, även de som utgör överskottsinformation. Till en början kan konstateras att sekretess kan gälla hos Migrationsverket för de uppgifter som kommer att vara åtkomliga för de myndigheter som får direktåtkomst. De sekretessbestämmelser som i första hand kan vara aktuella hos verket är följande. Enligt 21 kap. 5 § första stycket OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen gäller alltså med s.k. rakt skaderekvisit, dvs. presumtionen är att uppgifterna är offentliga. Den gäller oavsett i vilket sammanhang uppgiften förekommer.

Enligt 37 kap. 1 § första stycket OSL gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller i detta fall med ett omvänt skaderekvisit och presumtionen är att uppgifterna inte är offentliga. Enligt 37 kap. 1 § andra stycket OSL gäller sekretess i verksamhet för kontroll över utlänningar också för uppgift i en anmälan eller utsaga av en enskild, om det kan antas att fara uppkommer för att den som lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Sekretessen gäller här med rakt skaderekvisit.

Med ”verksamhet för kontroll över utlänningar” avses ärenden om visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning, men också kontroll- och verkställighetsåtgärder (se prop. 1979/80:2 del A s. 210).

Beträffande beslut i ärenden gäller sekretessen i 37 kap 1 § första och andra styckena OSL endast för uppgifter i skälen, se 37 kap. 1 § tredje stycket OSL.

Uppgift i ärende om arbetstillstånd för utlänning omfattas av sekretess även enligt 28 kap. 15 § första stycket OSL. Slutligen gäller

sekretess enligt 26 kap. 1 § OSL i ärenden om bistånd åt asylsökanden och andra utlänningar.

Bestämmelserna om sekretess hos Migrationsverket kan innebära att uppgifter inte kan lämnas till de myndigheter som får direktåtkomst. För att uppgifter för vilka sekretess gäller ska kunna bli tillgängliga för dessa myndigheter krävs författningsstöd i någon sekretessbrytande regel, eftersom sekretess även gäller mellan myndigheter, se 8 kap. 1 § OSL. Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan, se exempelvis prop. 2004/05:164 s. 83. Regler om direktåtkomst brukar därför ofta kompletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet, se 10 kap. 28 § OSL. Dessa formuleras ofta som en rätt för mottagande myndighet att ta del av uppgifter, se till exempel 2 kap. 16 § PDL och 4 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.

Informationshanteringsutredningen föreslår i sitt slutbetänkande,

Myndighetsdatalag, att det i offentlighets- och sekretesslagen införs

en generellt sekretessbrytande bestämmelse som innebär att föreskrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbrytande effekt. Därigenom skulle det inte längre behöva införas särskilda sekretessbrytande bestämmelser för att möjliggöra direktåtkomst, se SOU 2015:39 s. 407 f.

När det gäller Försäkringskassan och Pensionsmyndigheten finns en sekretessbrytande bestämmelse i 17 kap. 3 § UtlL. Enligt bestämmelsen har Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Om det finns skäl för det, ska Migrationsverket på eget initiativ lämna sådana uppgifter till Försäkringskassan och Pensionsmyndigheten. I 7 kap. 15 a § UtlF specificeras vilka uppgifter som Försäkringskassan och Pensionsmyndigheten har rätt att ta del av genom direktåtkomst.

Enligt 16 a § förordningen om identitetskort för folkbokförda i Sverige ska Migrationsverket på begäran av Skatteverket lämna de uppgifter som anges i 6 b § nuvarande utlänningsdataförordning och som behövs för handläggning av ansökan om identitetskort. I 7 kap. 15 b § UtlF finns också en bestämmelse som föreskriver att Migrationsverket på begäran av Skatteverket ska lämna ut vissa uppgifter, om de behövs för Skatteverkets handläggning av ett ärende om folkbokföring. Denna reglering bör i sak vara kvar. I förhållande till

Skatteverket kommer det alltså att finnas sekretessbrytande bestämmelser.

När det gäller Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst enligt 6 § gällande utlänningsdataförordning saknas en korresponderande bestämmelse om uppgiftsskyldighet för Migrationsverket till nämnda myndigheter. Utlämnandet genom direktåtkomst av sekretessbelagda personuppgifter sker i stället med stöd av den sekretessbrytande generalklausulen i 10 kap. 27 § OSL. Generalklausulen föreskriver sekretessgenombrott om det vid en bedömning framstår som uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. Sekretessbelagda uppgifter hos Migrationsverket omfattas, som sagts ovan, normalt av sekretess enligt 37 kap. 1 § OSL. Bestämmelsen innehåller ett omvänt skaderekvisit, vilket innebär en presumtion för att uppgifterna omfattas av sekretess. Omfattande utlämnande av sekretessbelagda uppgifter bör enligt utredningens bedömning inte ske enbart med stöd av den sekretessbrytande generalklausulen. Enligt utredningens mening bör därför en sådan sekretessbrytande föreskrift om uppgiftsskyldighet som avses i 10 kap. 28 § OSL införas. Bestämmelsen om uppgiftsskyldighet bör tas in i den författning som reglerar Migrationsverket verksamhet, dvs. i utlänningslagen. Eftersom utredningen inte föreslår någon precisering av vilka uppgifter som Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst ska avse, saknas det anledning att i den sekretessbrytande bestämmelsen ge regeringen möjlighet att meddela ytterligare föreskrifter om vilka uppgifter som kan lämnas ut.

En ytterligare förutsättning för att Migrationsverket ska kunna lämna ut uppgifter genom direktåtkomst är att uppgifterna omfattas av ett tillfredsställande sekretesskydd även hos de mottagande myndigheterna. Med tanke på den starka sekretess som gäller hos Migrationsverket är det viktigt att sekretesskyddet för uppgifterna inte urholkas hos de mottagande myndigheterna.

Bestämmelsen om utlänningssekretess i 21 kap. 5 § OSL gäller hos alla myndigheter för uppgifter som rör utlänningar, således även hos de mottagande myndigheterna.

Sekretessen enligt 37 kap. 1 § OSL gäller generellt i verksamhet för kontroll av utlänningar och i ärenden om svenskt medborgarskap. Bestämmelsen är tillämplig på en stor del av de uppgifter som

Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna behandlar när de handlägger utlännings- och medborgarskapsärenden eller annars uppfyller åligganden enligt utlänningslagen och medborgarskapslagen. Sekretessen gäller enligt fjärde stycket samma bestämmelse också hos myndighet som lämnar biträde i ärende eller verksamhet som avses där. Sekretessen gäller således även när en utlandsmyndighet medverkar i verksamhet för kontroll över utlänningar och i ärenden om svenskt medborgarskap genom att biträda Migrationsverket eller Polismyndigheten med utredning.

Sammanfattningsvis får sekretesskyddet hos Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna anses vara tillräckligt.

För Försäkringskassans och Pensionsmyndighetens del är det dock inte fråga om verksamhet för kontroll av utlänningar (se prop. 2007/08:160 s.93 f.) Utöver utlänningssekretess enligt 21 kap. 5 § OSL omfattas de uppgifter som Migrationsverket kan medge direktåtkomst till efter utlämnandet till Försäkringskassan och Pensionsmyndigheten av sekretess enligt 28 kap. 1 § OSL. Sekretess gäller enligt den bestämmelsen hos Försäkringskassan, Pensionsmyndigheten och domstol för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende enligt lagstiftningen om allmän försäkring, allmän pension, arbetsskadeförsäkring, handikappersättning och vårdbidrag, statligt tandvårdsstöd, läkarvårdsersättning, ersättning för fysioterapi, jämställdhetsbonus, annan ekonomisk förmån för enskild eller särskild sjukförsäkringsavgift. Enligt tredje stycket samma bestämmelse gäller sekretess hos Försäkringskassan och Pensionsmyndigheten även i verksamhet som avser registrering av enskilda för uppgift om en enskilds personliga förhållanden som myndigheten fått från Migrationsverket, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.

För uppgift hos Skatteverket gäller, utöver sekretess enligt 21 kap. 5 § OSL, sekretess enligt 22 kap. 1 § OSL, den s.k. folkbokföringssekretessen. Bestämmelsen föreskriver sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser bland annat folkbokföringen eller annan liknande registrering

av befolkningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Enligt samma paragraf gäller sekretess i sådan verksamhet för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Med stöd av bestämmelsen föreskrivs vidare i 6 § offentlighets- och sekretessförordningen (2009:641) att sekretess gäller ibland annat Skatteverkets databas över identitetskort för folkbokförda i Sverige, för uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (p 1), och för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (p 2). Sekretessen för uppgift om enskilds personliga förhållanden gäller alltså med ett rakt kvalificerat skaderekvisit, medan det för fotografi gäller ett starkare sekretesskydd i form av ett omvänt skaderekvisit.

Utöver ovan nämnda sekretessbestämmelser som är direkt tillämpliga hos de mottagande myndigheterna finns i 11 kap. 4 § OSL en särskild bestämmelse om överföring av sekretess vid direktåtkomst. I bestämmelsen anges att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Undantag gäller dock för uppgift som ingår i ett beslut hos den mottagande myndigheten. Av 11 kap. 8 § OSL följer emellertid att sekretessen inte överförs, om en sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten. Om den finns en sekretessbestämmelse som är direkt tillämplig hos den mottagande myndigheten, en s.k. primär sekretessbestämmelse, ska således den bestämmelsen tillämpas, oavsett om den är svagare eller starkare än den överförda sekretessen. Bestämmelsen i 11 kap. 4 § OSL har dock betydelse för sekretesskyddet för uppgifter som den mottagande myndigheten har teknisk tillgång till men som myndigheten inte för in i den verksamhet som omfattas av den primära sekretessen. Sådana uppgifter skulle annars bli offentliga hos den mottagande myndigheten trots att uppgifter-

na inte används i den mottagande myndighetens verksamhet och trots att de är sekretessbelagda hos den utlämnande myndigheten.

Vid införandet av bestämmelserna om direktåtkomst för Försäkringskassan, Pensionsmyndigheten och Skatteverket övervägdes sekretesskyddet för uppgifterna hos de mottagande myndigheterna. Bland annat gjordes en ändring av dåvarande sekretesslagen som nu finns i 28 kap. 1 § tredje stycket OSL (se prop. 2007/08:160 s. 93 f.) Behovet av ändringar med anledning av Skatteverkets direktåtkomst har övervägts i Finansdepartementets promemoria Vissa id-kortsfrågor, 2010-04-21, dnr Fi2010/2345. Där gjordes bedömningen att några ändringar inte behövdes i sekretesslagstiftningen med anledning av Skatteverkets direktåtkomst.

Utredningen anser sammanfattningsvis att det behövs en särskilt sekretessbrytande föreskrift som tar sikte på Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till Migrationsverkets uppgifter. Utredningen menar vidare att sekretesskyddet hos de mottagande myndigheterna är tillfredsställande. Några ytterligare föreskrifter om sekretess behövs därför inte.

En särskild fråga är om regleringen i lagen om när direktåtkomst får förekomma bör vara uttömmande, dvs. om Migrationsverket bör vara förhindrat att medge direktåtkomst i andra fall än som lagen tillåter. Med tanke på de speciella integritetsrisker som är förknippade med direktåtkomst anser utredningen att regleringen i lagen bör vara uttömmande. Inte heller bör regeringen kunna föreskriva att Migrationsverket får medge direktåtkomst. Däremot bör regeringen eller den myndighet som regeringen bestämmer kunna meddela närmare föreskrifter om omfattningen av den direktåtkomst som medges i lagen samt om behörighet och säkerhet. För att undvika missförstånd bör det av lagen klart framgå att Migrationsverket inte kan medge direktåtkomst i andra fall än de som tillåts i lagen (se SOU 2015:39 s. 393 f.).

I kapitel 9 behandlar utredningen frågan om Migrationsverkets direktåtkomst till vissa uppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas för handläggning för uppehållstillstånd för arbete och arbetstillstånd.

7.16. Bevarande och gallring m.m.

7.16.1. Allmänt om bevarande och gallring

Enligt utredningens direktiv ska utredningen uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål.

Varje svensk medborgare har enligt 2 kap. 1 § TF en grundlagsfäst rätt att ta del av allmänna handlingar. En förutsättning för att denna handlingsoffentlighet ska kunna utnyttjas är att handlingar bevaras hos myndigheterna. Redan bestämmelserna i tryckfrihetsförordningen kan således sägas medföra en skyldighet för myndigheterna att bevara och ordna allmänna handlingar så att det går att hitta bland dem och att vårda dem så att de inte skingras och förstörs. Enligt 2 kap. 18 § TF ska bestämmelser om hur allmänna handlingar ska bevaras och om gallring av sådana handlingar meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara allmänna handlingar och på vilket sätt det ska ske finns i arkivlagen, arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). I dessa bestämmelser anges bland annat hur en handling ska framställas, förvaras och skyddas. Där finns också bestämmelser om gallring och avhändande av allmänna handlingar.

En myndighets arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § TF, (dvs. exempelvis minnesanteckningar och utkast) som myndigheten beslutar ska tas om hand för arkivering.

För vissa elektroniska handlingar gäller en särskild regel. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter så att de där utgör allmänna handlingar ska bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Om en eller flera statliga myndigheter svarar för ungefär lika stora delar av upptagningen, får Riksarkivet meddela föreskrifter om hos vilken myndighet upptagningen ska bilda arkiv (4 § arkivförordningen).

Huvudprincipen enligt arkivlagstiftningen är att allmänna handlingar ska bevaras. Det kommer till uttryck i 3 § arkivlagen, enligt vilken myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen

att allmänna handlingar under vissa förutsättningar får gallras. Med gallring avses att en handling förstörs på ett eller annat sätt. Vanliga pappershandlingar förstörs fysiskt. För elektroniska handlingar innebär gallring vanligtvis att viss information raderas från databäraren. Med gallring menas inte bara att rent faktiskt förstöra en allmän handling eller uppgifter i en sådan handling. Gallring innebär också att vidta åtgärder med en allmän handling som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att bedöma handlingens autenticitet (RA-FS 1997:4 ändrad genom RA-FS 2008:4). Det kan till exempel innebära gallring att skriva ut en elektronisk handling i pappersform och därefter förstöra den elektroniska handlingen. Även om informationen finns kvar på papper kan möjligheten att få fram informationen ha försämrats.

Vid gallringen ska det beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).

Av 14 § arkivförordningen framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.

Grundprincipen i arkivlagstiftningen är således att allmänna handlingar ska bevaras. Några särskilda hänsyn till vilken risk bevarandet kan medföra ur integritetshänseende ska inte tas. Bestämmelser om gallring föranleds i stället vanligtvis av kostnads- och utrymmesskäl.

I personuppgiftslagen är utgångspunkten en annan. Enligt 9 § första stycket i PUL får en personuppgift inte bevaras längre än nödvändigt med hänsyn till ändamålet för vilket personuppgifterna samlades in. Tryckfrihetsförordningens och arkivlagens bestämmelser har dock företräde framför personuppgiftslagens bestämmelser.

Det följer av 8 § första stycket PUL att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I paragrafens andra stycke anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Personuppgiftslagens bestämmelser medför således inte att personuppgifter som är allmänna handlingar ska utplånas eller gallras. För personuppgifter som inte är allmänna handlingar gäller emellertid regeln i 9 § första stycket PUL, vilket innebär att personuppgiften inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

När stora mängder uppgifter om enskilda personer samlas och bevaras hos myndigheter uppstår integritetsrisker, särskilt som dagens teknik tillåter att sammanställningar av information görs på ett enkelt sätt. I de författningar som reglerar myndigheternas behandling av personuppgifter finns därför ofta särskilda bestämmelser om gallring. Där är principen vanligtvis den motsatta i förhållande till arkivlagen, dvs. att materialet ska förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. Denna omvända princip har i förarbetena till arkivlagen ansetts motiverad av integritetsskäl (se prop. 1989/90:72 s. 50 f.). Exempel på sådana bestämmelser finns i polisdatalagen och kustbevakningsdatalagen. Där anges att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Regeringen eller den myndighet som regeringen bestämmer (dvs. Riksarkivet) ges möjlighet att meddela föreskrifter om att uppgifter, trots bestämmelsen om gallring, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

I kapitel 8 föreslår utredningen bestämmelser om gallring av personuppgifter som Migrationsverket behandlar automatiserat därför att ett offentligt biträde, en tolk, en översättare eller en språkanalytiker kan vara olämplig för framtida uppdrag. Vad gäller frågan om gallring av känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se avsnitt 7.11.4.

7.16.2. Utredningens överväganden

Utredningens förslag: Personuppgifter i verksamhet enligt utlän-

nings- och medborgarskapslagstiftningen ska, med undantag för nedan angivna fall, bevaras eller gallras i enlighet med arkivlagens bestämmelser. Någon särskild bestämmelse om detta behövs inte i utlänningsdatalagen.

Från denna reglering bör undantag göras för 1) Migrationsverkets fingeravtrycks- och fotografiregister (som ska gallras enligt nuvarande ordning), 2) känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet (som ska gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen) och för 3) personuppgifter som Migrationsverket behandlar automatiskt därför att vissa offentliga biträden, tolkar, översättare eller språkanalytiker kan vara olämpliga för framtida uppdrag (som ska gallras efter viss tid). Bestämmelser om gallring bör intas i den förordning som utfärdas i anslutning till utlänningsdatalagen.

Personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter ska vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Det finns inte några särbestämmelser om gallring i utlänningslagen eller någon annan författning som reglerar den verksamhet som föreslås omfattas av den nya lagen. I nuvarande utlänningsdataförordning finns dock en bestämmelse om gallring. Enligt 11 § ska en uppgift i Migrationsverkets fingeravtrycksregister gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. I övrigt finns inga särskilda bestämmelser om gallring i förordningen. Som huvudregel gäller såldes arkivlagens bestämmelser om bevarande och gallring för verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utgångspunkten är därmed att allmänna handlingar inte ska gallras.

Gallring får endast ske i enlighet med föreskrifter eller beslut av Riksarkivet eller, avseende utlandsmyndigheter, av Regeringskansliet.

Frågan för utredningen är hur reglerna för bevarande och gallring bör utformas i den nya lagen. Ska arkivlagens principer om bevarande gälla eller bör utgångspunkten vara den omvända? Vid denna bedömning ställs olika intressen mot varandra. I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas stora mängder information om ett stort antal individer. Det rör sig i stor utsträckning om uppgifter av integritetskänslig natur. Dessa omständigheter talar för en specialreglering med gallring som utgångspunkt. Å andra sidan finns det skäl, till exempel möjligheten att tillgodose allmänhetens intresse av insyn i verksamheten, som talar för att bevarande bör vara utgångspunkten.

Personuppgifter som inte är allmänna handlingar

Som angetts ovan gäller för personuppgifter som inte är allmänna handlingar för närvarande bestämmelserna i 9 § första stycket i och tredje stycket PUL. Av de bestämmelserna följer att personuppgifter inte får bevaras längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Utredningen anser att det saknas skäl att ändra på denna ordning. Det medför bland annat att personuppgifter i minnesanteckningar eller utkast till beslut eller skrivelse som behandlas av en tjänsteman i ett ordbehandlingsprogram och som inte har tagits om hand för arkivering ska tas bort ut systemet eller avidentifieras när det inte längre behövs för sitt ändamål.

I avsnitt 7.7.3 föreslår utredningen att det i den nya lagen ska göras en hänvisning till bestämmelserna i 9 § PUL. Någon särskild bestämmelse i detta avseende behövs således inte.

Manuellt behandlade personuppgifter i allmänna handlingar

För personuppgifter i allmänna handlingar som behandlas manuellt gäller i dag att de som huvudregel ska bevaras. Gallring får dock ske om det finns stö