SOU 2015:73
Personuppgiftsbehandling på utlännings- och medborgarskapsområdet
Till statsrådet och chefen för Justitiedepartementet
Regeringen beslutade den 28 maj 2014 att ge en särskild utredare i uppdrag att utarbeta ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen m.m. (dir. 2014:76). Samma dag förordnades f.d. lagmannen Sigurd Heuman som särskild utredare.
Hovrättsassessorn Magdalena Petersson anställdes som sekreterare från och med den 25 augusti 2014 (tjänstledig från januari 2015). Hovrättsassessorn Sara Leyde anställdes som sekreterare från och med den 1 januari 2015.
Utredningen har antagit namnet 2014 års utlänningsdatautredning (Ju 2014:11).
Som experter i utredningen förordnades från och med den 28 augusti 2014 advokaten Petter Aasheim, kammarrättsrådet Johan Axelsson, hovrättsassessorn Sara Leyde, juristen Emelie Lindvall, rättssakkunniga Louise Molin Alfredsson, verksjuristen Christer Pettersson, rådmannen Anna Tansjö och juristen Elisabeth Wallin. Genom beslut den 20 oktober 2014 entledigades Petter Aasheim från uppdraget från och med samma dag, och i hans ställe förordnades från och med samma dag advokaten Tomas Fridh som expert. Genom beslut den 5 december 2014 entledigades Louise Molin Alfredsson från uppdraget från och med den 1 januari 2015, och i hennes ställe förordnades från och med samma dag kanslirådet Susanna Pohl Söderman som expert.
Härmed överlämnar utredningen sitt betänkande Personuppgifts-
behandling på utlännings- och medborgarskapsområdet (SOU 2015:73).
Uppdraget är därmed slutfört.
Stockholm i juli 2015
Sigurd Heuman
/Sara Leyde
Förkortningar
AFIS automatiserat fingeravtrycksidentifieringssystem CUD centrala utlänningsdatabasen Dnr diarienummer Ds Departementsserien EU Europeiska unionen EES Europeiska ekonomiska samarbetsområdet HBTQ homosexuella, bisexuella, transpersoner och queer JO Riksdagens ombudsmän OSL offentlighets- och sekretesslagen (2009:400) PDF polisdataförordningen (2010:1155) PDL polisdatalagen (2010:361) prop. regeringens proposition PUF personuppgiftsförordningen (1998:1191) PUL personuppgiftslagen (1998:204) RF regeringsformen SOU Statens offentliga utredningar TF tryckfrihetsförordningen UtlF utlänningsförordning (2006:97) UtlL utlänningslagen (2005:716)
Sammanfattning
Inledning
I detta betänkande redovisar utredningen sitt uppdrag att utarbeta förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (dir. 2014:76). Härvid redovisas även dels en kartläggning av behandlingen av personuppgifter inom denna verksamhet, dels en analys av om den behandling som förekommer är nödvändig och om ytterligare behov av personuppgiftsbehandling finns för att skapa förutsättningar för en effektiv verksamhet.
Utredningen redovisar också i betänkandet några ytterligare frågeställningar som utredningen har fått i uppdrag att analysera särskilt.
En ny lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
Lagens syfte, utformning, m.m.
Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska regleras i en lag, som utformats med beaktande av bland annat skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen (RF), personuppgiftslagen (1998:204, PUL) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Däremot har det inte varit möjligt att anpassa förslagen till det pågående reformarbetet av EU:s regler om skydd
för personuppgifter, eftersom detta arbete ännu inte (juni 2015) är klart.
Lagen, som föreslås heta utlänningsdatalag, samt en föreslagen anslutande förordning ska ersätta den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Lagens övergripande syften föreslås vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen har utformats som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten finns i lagen. Kompletterande bestämmelser finns i författningar på lägre nivå.
Lagförslaget, som gjorts teknikoberoende, syftar till att göra det möjligt för berörda myndigheter att använda moderna och ändamålsenliga it-system för att verksamheten ska kunna bedrivas så effektivt som möjligt.
Lagens tillämpningsområde
Utlänningsdatalagen föreslås vara tillämplig vid behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarlagstiftningen som utförs av Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna.
Vari denna verksamhet består preciseras närmare och uttömmande i lagen. Vad gäller Migrationsverkets och utlandsmyndigheternas verksamhet föreslås att lagen ska tillämpas vid behandling av personuppgifter som rör:
1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska
unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. statusförklaring,
3. mottagande av asylsökande och andra utlänningar,
4. bistånd och stöd till utlänningar,
5. svenskt medborgarskap,
6. statlig ersättning för kostnader för utlänningar eller
7. bosättning av utlänningar.
Vad gäller Polismyndighetens och Säkerhetspolisens verksamhet föreslås lagen tillämpas vid behandling av personuppgifter som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.
Viss personuppgiftsbehandling hos de aktuella myndigheterna föreslås dock falla utanför lagens tillämpningsområde trots att lagen i och för sig hade kunnat vara tillämplig. Det gäller bland annat personuppgiftsbehandling enligt lagen (2000:344) om Schengens informationssystem samt enligt de EU-förordningar som brukar benämnas VIS-förordningen, Viseringskodexen och Eurodacförordningen. Den nya lagen ska inte heller tillämpas då personuppgifter behandlas med stöd av polisdatalagen (2010:361).
I likhet med personuppgiftslagen föreslås lagen gälla då personuppgiftsbehandlingen är helt eller delvis automatiserad samt då personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det föreslagna tillämpningsområdet har alltså i viss mån utvidgats jämfört med vad som gäller enligt nuvarande utlänningsdataförordning, som i första hand gäller personuppgiftsbehandling i olika verksamhetsregister.
Förhållandet till personuppgiftslagen
Bestämmelserna i den nya lagen föreslås som huvudregel ha företräde framför personuppgiftslagens bestämmelser. Vissa bestämmelser i personuppgiftslagen ska dock vara tillämpliga i verksamheten enligt utlännings- och medborgarskapslagstiftningen. I den nya lagen pekas dessa bestämmelser särskilt ut. Det gäller bland annat personuppgiftslagens bestämmelser om förhållandet till offentlighetsprincipen (8 §), grundläggande krav på behandlingen av personuppgifter (9 §), behandling av uppgifter om personnummer (22 §), överföring av personuppgifter till tredjeland (33–35 §§) och skadestånd (48 §).
Personuppgiftsansvar
Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behandlingen. Ett undantag från denna huvudregel föreslås i det att Migrationsverket ska vara personuppgiftsansvarig för utlandsmyndigheternas automatiserade personuppgiftsbehandling.
Migrationsverket, Polismyndigheten och Säkerhetspolisen föreslås vidare vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.
Ändamål m.m.
Personuppgifter föreslås endast få behandlas med stöd av utlänningsdatalagen om det är nödvändigt för vissa särskilt angivna ändamål.
Ändamålen, både primära och sekundära, framgår av lagen. De primära ändamålen för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling föreslås vara följande:
1. handläggning av ärenden eller en myndighets biträde i sådana ären-
den i verksamhet inom lagens tillämpningsområde (se ovan),
2. kontroll av utlänning i samband med inresa och utresa samt kon-
troll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosätt-
ning av asylsökande och andra utlänningar,
4. tillsyn, kontroll, uppföljning, planering av verksamheten, fram-
ställning av statistik samt testverksamhet eller
5. fullgörande av en rättslig skyldighet att registrera eller på annat
sätt dokumentera en personuppgift.
Migrationsverket föreslås därutöver få behandla personuppgifter om det är nödvändigt för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information rörande förhållanden i andra länder.
Vidare föreslås att personuppgifter som behandlas enligt ovan nämnda primära ändamål även ska få behandlas enligt nedan följande
sekundära ändamål om det är nödvändigt för att tillhandahålla in-
formation:
1. till en annan myndighet eller enskild, om utlämnandet sker med
stöd av lag eller förordning eller
2. till en utländsk myndighet, ett EU-organ eller en mellanfolklig
organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
Personuppgifter ska i ett enskilt fall även få behandlas för att tillhandahålla information för något annat ändamål än som nu angetts under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för (finalitetsprincipen).
För Migrationsverkets register över fingeravtryck och fotografier föreslås en särreglering med mer begränsade ändamålsbestämmelser.
Känsliga personuppgifter
Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter måste i stor utsträckning behandlas på utlännings- och medborgarskapsområdet. Utredningen föreslår att känsliga personuppgifter ska få behandlas för i princip alla de ändamål för vilka behandling är tillåtna. En förutsättning är dock, om inte den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna, att uppgifterna är absolut nödvändiga för syftet med behandlingen. Med att uppgifterna ska vara absolut nödvändiga markeras att behandlingen av dem bör ske med försiktighet och aldrig slentrianmässigt.
Tillgången till personuppgifter
Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i enskildas personliga integritet. Som ett led i att stärka
integritetsskyddet föreslås en bestämmelse i lagen om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Migrationsverket, Polismyndigheten, Säkerhetspolisen föreslås vidare få möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Enligt utredningens förslag bör Migrationsverket även få meddela föreskrifter av aktuellt slag när det gäller uppgifter som behandlas automatiserat hos utlandsmyndigheterna.
Sökbegränsningar
Som ytterligare en åtgärd för att stärka integritetsskyddet föreslås begränsningar avseende vilka sökbegrepp som får användas vid sökningar av uppgifter för vissa ändamål i vissa fall.
Känsliga personuppgifter föreslås endast få användas som sökbegrepp för behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet samt för återsökning i vissa fall. Migrationsverket behöver kunna använda känsliga personuppgifter som sökbegrepp för exempelvis framställning av viss statistik och för att förbereda verksamheten med anledning av förväntade flyktingströmmar.
Personuppgifter om lagöverträdelser föreslås med vissa undantag inte få användas som sökbegrepp.
Elektroniskt utlämnande av personuppgifter
Även om ett elektroniskt utlämnande av personuppgifter medför vissa integritetsrisker anser utredningen, med undantag för utlämnande genom direktåtkomst, att det inte finns något behov av att införa en särskild reglering om när elektroniskt utlämnande får förekomma. Några sådana bestämmelser föreslås därför inte.
Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket föreslås för vissa särskilda ändamål få medges direktåtkomst till vissa personuppgifter som behandlas automatiserat hos Migrationsverket. Direktåtkomsten föreslås regleras uttömmande.
Reglerna om direktåtkomst har utformats med tanke på de särskilda risker som direktåtkomsten innebär för enskildas integritet. Det innebär bland annat att mottagarmyndigheterna ska ha ett verkligt behov av uppgifterna och att uppgifterna som får göras tillgängliga är så preciserat angivna som möjligt i författning. Vidare ska Migrationsverket innan direktåtkomst medges förvissa sig om att mottagarmyndigheten uppfyller kraven på behörighet och säkerhet. Ytterligare krav som föreslås är att tillgången till uppgifterna hos mottagarmyndigheterna begränsas till vad den enskilde tjänstemannen behöver för att kunna fullgöra sina uppgifter.
Utredningen föreslår några sekretessbrytande bestämmelser med anledning av direktåtkomsten.
Överföring av personuppgifter till tredjeland
Enligt utredningen finns det i vissa fall behov av att föra över personuppgifter till tredjeland oavsett om samtycke från den enskilde till detta föreligger. En bestämmelse om ytterligare undantag från förbudet mot överföring av personuppgifter till tredjeland i 33 § PUL föreslås därför för dessa fall.
Undantaget föreslås innebära att överföring av personuppgifter till tredjeland får ske om det är absolut nödvändigt för 1) handläggning av ärenden eller biträde i sådana ärenden, 2) kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige samt för 3) sådan behandling som sker för ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig information.
Bevarande och gallring samt avskiljande
Automatiserat behandlade personuppgifter i allmänna handlingar i verksamheten bör enligt utredningen, i likhet med hur det är i dag, som huvudregel bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Vad som talar för bevarande är enligt utredningen allmänhetens intresse av insyn i verksamheten. Inte minst finns ett intresse från forskare och journalister. Det är inte heller självklart enligt utredningen att integritetsintresset bäst tillgodoses
genom att personuppgifter förstörs. I verksamheten är det också ofta nödvändigt att ta fram uppgifter från tidigare ärenden.
Utredningen anser dock att det i vissa fall bör göras undantag från denna huvudregel. Undantag från arkivlagens bestämmelser föreslås således gälla 1) för Migrationsverkets fingeravtrycks- och fotografiregister där uppgifter förslås gallras enligt nuvarande ordning, 2) för känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som föreslås gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen och 3) för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag som föreslås gallras efter kort tid.
För att stärka de enskildas personliga integritet föreslår utredningen att tillgången till uppgifter som inte längre behövs för de i lagen angivna ändamålen ska begränsas genom en bestämmelse om
avskiljande av sådana uppgifter. Genom bestämmelsen föreslås att
personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter föreslås vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Ytterligare föreskrifter
Den nya lagen föreslås vara en ramlag som endast innehåller de grundläggande bestämmelserna om skydd för enskildas personliga integritet. I lagförslaget ges möjlighet till föreskrifter på lägre nivå. Sådana föreskrifter kan meddelas när det gäller Migrationsverkets fingeravtrycks- och fotografiregister, tillgången till personuppgifter, direktåtkomst, överföring av personuppgifter till tredjeland, avskiljande, gallring och säkerhetsåtgärder.
Ikraftträdande och övergångsbestämmelser
Utlänningsdatalagen och den nya utlänningsdataförordningen föreslås träda i kraft den 1 januari 2016.
Några särskilda frågor
Registrering av kvalitetsomdömen
Utredningens förslag innebär att Migrationsverket kan registrera identitetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, översättare och språkanalytiker. Med avvikelser avses i huvudsak uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag. Registreringen av aktuella uppgifter syftar till att stärka rättssäkerheten för enskilda i asylprocessen. Av integritetsskäl föreslås dock att uppgifter om avvikelser ska gallras efter kort tid.
Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd
Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Migrationsverket har redan i dag tillgång till de flesta uppgifterna. Det nya är alltså att verket nu föreslås få direktåtkomst till uppgifterna. Utredningen har särskilt analyserat Migrationsverkets behov av direktåtkomst till uppgifterna samt behovet av regler som ger enskilda ett bra skydd för den personliga integriteten vid direktåtkomsten. Sistnämnda regler föreskriver ett ansvar för såväl de utlämnande myndigheterna som mottagarmyndigheten.
Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister
Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716, UtlL). Enligt den sistnämnda paragrafen får
Migrationsverket i vissa fall ta fingeravtryck på en utlänning. Det gäller bland annat om utlänningen inte kan styrka sin identitet. Bakgrunden till utredningens förslag är att kontroller mot Polismyndighetens fingeravtrycksregister förbättrar möjligheterna att fastställa en korrekt identitet på utlänningen. Sammantaget menar utredningen att detta intresse väger tyngre än de eventuella integritetsrisker som kan förknippas med en sådan möjlighet.
Skadeståndsskyldighet efter kontroller av Schengenviseringar
Bestämmelserna i 9 kap. 8 c § UtlL innebär att en utlänning är skyldig att låta en polisman, en särskild förordnat passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av Schengenviseringens äkthet genom sökning i informationssystemet för visering (VIS). Motsvarande skyldighet gäller även för en utlänning som vid en in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras mot VIS i identifieringssyfte. När en kontroll har genomförts ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits i samband med kontrollen.
Utredningen föreslår en klargörande regel om att det är den myndighet som har utfört kontrollen som är ansvarig för att uppgifterna förstörs och att skadestånd kan utgå om förstöringsskyldigheten försummas.
Summary
Introduction
In this report, the Inquiry gives an account of its remit to draw up a proposal for an act on the processing of personal data in activities under the aliens and citizenship legislation (Terms of Reference 2014:76). In connection with this, we also present a survey of the processing of personal data in these activities and an analysis of whether the processing that is done is necessary and whether additional personal data processing is needed to promote effectiveness and efficiency.
The Inquiry also reports on several other issues that it has been specifically instructed to analyse.
A new act on the processing of personal data in activities under the aliens and citizenship legislation
The purpose and design of the act
Under the Inquiry’s proposals, the processing of personal data in activities under the aliens and citizenship legislation will be regulated by an act designed to take account of the protection of personal privacy provided by Chapter 2, Article 6, second paragraph of the Instrument of Government, the Personal Data Act (1998:204) and Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (the ‘Data Protection Directive’). However, it has not been possible to adapt the proposals to the ongoing reform of the EU regulations on protection of personal data, as the work on this reform has not yet been concluded (June 2015).
The act – which it is proposed will be called the ‘Aliens Data Act’ – and a proposed associated ordinance will replace the current Ordinance on the Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).
The proposed overall purpose of the act is to enable relevant authorities to process personal data effectively in their activities under the aliens and citizenship legislation and to protect people from violations of their personal privacy in connection with such processing. The act has been drawn up as a framework law. The basic provisions for the purpose of protecting the data subject against infringements of personal privacy are given in the act. Supplementary provisions are given in subordinate statutes.
The proposed act, which has been made technology-neutral, aims to make it possible for the authorities concerned to use modern and appropriate IT systems to enable the activities to be conducted as effectively as possible.
Scope of the act
Under the proposal, the Aliens Data Act will be applicable to the processing of personal data in activities under the aliens and citizenship legislation conducted by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad.
The act specifies more exactly and exhaustively what these activities consist of. With regard to the activities of the Swedish Migration Agency and Swedish missions abroad, the proposed application of the act will concern personal data processing relating to:
1. the entry of aliens into Sweden or some other state that belongs
to the European Union or the European Economic Area, residence or work in Sweden, and exit from Sweden;
2. status declarations;
3. the reception of asylum seekers and other aliens;
4. financial assistance and allowances paid to aliens;
5. Swedish citizenship;
6. compensation from central government for costs relating to
aliens; and
7. the settlement of aliens.
With regard to the activities of the Swedish Police Authority and the Swedish Security Service, the proposed application of the act will concern personal data processing relating to aliens’ entry into, exit from, residence in or removal from Sweden.
However, under the proposal, certain personal data processing by the authorities concerned will fall outside the scope of the act even though, in and of itself, the act could have applied. This concerns, for example, the processing of personal data under the Schengen Information System Act (2000:344) and the EU regulations generally referred to as the VIS Regulation, the Visa Code and the Eurodac Regulation. Moreover, the act will not be applicable when personal data is processed pursuant to the Police Data Act (2010:361).
Like the Personal Data Act, it is proposed that the act apply when the processing of personal data is wholly or partly automated, and when the personal data is included in, or is intended to form part of, a structured compilation of searchable personal data or a compilation according to particular criteria. The proposed scope has therefore been widened somewhat compared with what applies under the current Aliens Data Ordinance, which primarily concerns the processing of personal data in various records of activities.
Relationship to the Personal Data Act
Under the proposal, the provisions in the new act will generally take precedence over the provisions of the Personal Data Act. However, certain provisions in the Personal Data Act will be applicable to activities under the aliens and citizenship legislation. These provisions are specifically indicated in the new act. They include the provisions of the Personal Data Act on the relationship to the principle of public access to official documents (Section 8), fundamental requirements concerning the processing of personal data (Section 9), the processing of data concerning personal identity numbers (Section 22),
the transfer of personal data to third countries (Sections 33–35) and damages (Section 48).
Control of personal data
It is proposed that the authority undertaking processing or responsible for doing so should be the controller of personal data in the process. As an exception to this general rule, it is proposed that the Swedish Migration Agency should be the controller of personal data for automated processing of personal data by Swedish missions abroad.
In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service should be obliged to appoint one or more personal data representatives for the processing of personal data that they undertake or are responsible for undertaking.
Purposes etc.
Under the proposal, the processing of personal data pursuant to the Aliens Data Act will only be permitted if necessary for certain specifically stated purposes.
The purposes, which may be primary or secondary, will be clarified by the act.
The proposed primary purposes of personal data processing by the Swedish Migration Agency, the Swedish Police Authority, the Swedish Security Service and Swedish missions abroad are as follows:
1. processing of matters or assistance by an authority in such matters
in activities within the scope of the act (see above);
2. controls of aliens in connection with entry and exit and controls
during residence in Sweden;
3. performance of working duties relating to the reception and
settlement of asylum seekers and other aliens;
4. supervision, control, monitoring, planning of activities, pro-
duction of statistics and pilot activities; or
5. fulfilment of a legal obligation to register or otherwise document
personal data.
Furthermore, it is proposed that the Swedish Migration Agency be permitted to process personal data if this is necessary to retrieve decisions, judicial investigations and other legal information or information relating to conditions in other countries.
In addition, it is proposed that personal data processed in accordance with the above-listed primary purposes should also be permitted to be processed in accordance with the secondary purposes listed below if this is necessary to make information available:
1. to another public authority or individual, if the data is disclosed
pursuant to an act or ordinance; or
2. to a foreign authority, an EU body or an international organi-
sation, if the disclosure of data follows from Sweden’s membership of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag.
In an individual case, personal data processing will also be permitted to make information available for a purpose other than those now mentioned, provided that the purpose is not incompatible with the purpose for which the data was obtained (the ‘principle of finality’).
Separate regulations with more limited provisions on purposes are proposed for the records of fingerprints and photographs kept by the Swedish Migration Agency.
Sensitive personal data
The term ‘sensitive personal data’ refers to data that reveals a person’s race or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership and data relating to health and sex life. Such data has to be processed extensively in the aliens and citizenship area. The Inquiry proposes that sensitive personal data should be permitted to be processed, in principle, for all the purposes for which processing is permitted. However, one condition, if the data subject has not given explicit consent to processing or
made the data public in some obvious way, is that the data is absolutely essential for the purpose of the processing. The condition that the data must be absolutely essential underlines that it should be processed with caution, never as a matter of routine.
Access to personal data
Generally speaking, large collections of information stored in a manner that makes them easily searchable by electronic means entail an increased risk of violations of individuals’ privacy. As a step in strengthening the protection of privacy, a provision is proposed in the act to the effect that access to personal data will be limited to what each official needs in order to carry out their duties. In addition, it is proposed that the Swedish Migration Agency, the Swedish Police Authority and the Swedish Security Service be able to issue more detailed regulations on access to personal data for persons working in that authority. Under the Inquiry’s proposals, the Swedish Migration Agency should also be able to issue relevant regulations regarding data processed by automated means at Swedish missions abroad.
Restrictions on searches
As an additional measure to strengthen the protection of privacy, restrictions are proposed on the search terms that may be used when searching personal data for certain purposes in certain cases.
It is proposed that the use of sensitive personal data as search terms will be restricted to processing for the purpose of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, and for data retrieval in certain cases. The Swedish Migration Agency needs to be able to use sensitive personal data as search terms for the production of certain statistics, for example, and in preparing activities in response to expected refugee flows.
With certain exceptions, it is proposed that personal data on violations of the law should not be permitted to be used as search terms.
Electronic disclosure of personal data
Even if electronic disclosure of personal data involves certain risks to privacy, the Inquiry considers that, with the exception of disclosure via direct access, there is no need to introduce special regulations on when electronic disclosure may occur. Consequently, no such provisions are proposed.
It is proposed that for certain special purposes, the Swedish Police Authority, the Swedish Security Service, Swedish missions abroad, the Swedish Social Insurance Agency, the Swedish Pensions Agency and the Swedish Tax Agency be allowed direct access to certain personal data processed by automated means by the Swedish Migration Agency. Exhaustive regulation of direct access is proposed.
The regulations on direct access have been designed bearing in mind the special risks that direct access entails for individuals’ privacy. Among other things, the receiving authorities must have a real need for the data and the data that may be made available is specified by statute as precisely as possible. In addition, before direct access is permitted, the Swedish Migration Agency must make sure that the receiving authority meets the authorisation and security requirements. Further requirements proposed are that access to the data at the receiving authorities be restricted to what the individual official needs to be able to fulfil his or her duties.
The Inquiry proposes some provisions overriding secrecy in consequence of direct access.
Transfer of personal data to third countries
The Inquiry has found that in certain cases personal data needs to be transferred to third countries irrespective of whether the individual has consented to this. A provision on further exceptions to the prohibition against transferring personal data to third countries enacted in Section 33 of the Personal Data Act is therefore proposed for these cases.
The proposed exception will mean that personal data may be transferred to a third country if this is absolutely essential for (1) the processing of a matter or assistance in such a matter; (2) controls of an alien in connection with entry or exit or controls during the alien’s stay in Sweden; or (3) processing undertaken for the
purpose of retrieving decisions, judicial investigations and other legal information.
Retention, deletion and detachment
In the Inquiry’s opinion, personal data processed by automated means in public documents in the activities concerned should in general be retained or deleted as directed by the provisions of the Archives Act (1990:782), as is currently the case. As the Inquiry sees it, the argument in favour of retention is the public interest in the transparency of the activities. This interest is particularly manifested by researchers and journalists. Furthermore, the Inquiry considers it far from obvious that the interests of privacy are best served by destroying personal data. Moreover, in these activities it is often necessary to retrieve data from previous matters.
However, the Inquiry considers that exceptions should be made to this general rule in certain cases. Accordingly, exceptions to the provisions of the Archives Act are proposed for (1) the Swedish Migration Agency’s fingerprint and photograph records, where it is proposed that data be deleted in accordance with the current arrangements; (2) sensitive personal data processed for the purposes of supervision, control, monitoring, planning of activities, production of statistics or pilot activities, where it is proposed that this data be deleted immediately the processing is no longer necessary for any of the purposes stated; and (3) personal data processed by automated means by the Swedish Migration Agency because a public counsel, an interpreter, a translator or a language analyst may be unsuitable for future commissions, where it is proposed that this data be deleted after a short time.
To strengthen individual privacy, the Inquiry proposes that access to data that is no longer needed for the purposes stated in the act be limited by means of a provision on the detachment of such data. The proposed provision will direct that personal data in automated data compilations that are used in the authorities’ day-today activities shall be detached when it is no longer needed for these activities. It is proposed that access to detached data be limited to persons who are in absolute need of the data in order to carry out their duties.
Additional regulations
Under the proposal, the new act will be a framework law containing only the basic provisions on protection of individuals’ personal privacy. The proposed act allows the possibility of regulations at a lower level. Such regulations may be issued with regard to the Swedish Migration Agency’s fingerprint and photograph records, access to personal data, direct access, transfer of personal data to third countries, detachment of data, deletion and security measures.
Entry into force and transitional provisions
The proposed date for entry into force of the new Aliens Data Act and Aliens Data Ordinance is 1 January 2016.
Specific issues
Registration of quality assessments
The Inquiry’s proposal means that the Swedish Migration Agency will be able to register data on the identity, special expertise and defects relating to public counsels other than members of the Swedish Bar Association and legal associates, interpreters, translators and language analysts. The term ‘defects’ refers chiefly to data on negligence, inadequacy and incompetence, but also data showing that a contractor has committed an offence or been declared bankrupt. Such defects can mean that a contractor is unsuitable for commissions. The registration of these types of data is intended to enhance the legal security of individuals in the asylum process. However, for reasons of integrity, it is proposed that data on defects be deleted after a short time.
More efficient information exchange in the processing of residence permits for purposes of employment and work permits
The Inquiry proposes that the Swedish Migration Agency should be allowed direct access to certain personal data in the Swedish Tax Agency’s taxation database, the Swedish Enforcement Authority’s
enforcement and collection database and the Swedish Social Insurance Agency’s and Swedish Pensions Agency’s social insurance database. The Swedish Migration Agency already has access to most of this data. What is new is the proposal that the Agency should now be given direct access to the data. The Inquiry has made a special analysis of the Swedish Migration Agency’s need for direct access to the data and the need for rules that give the individual good privacy protection in the event of direct access. These rules entail a responsibility for both the disclosing authority and the receiving authority.
The right of the Swedish Migration Agency to access data in the Swedish Police Authority’s fingerprint records
The Inquiry proposes that the Swedish Migration Agency should have the right to access data from the Swedish Police Authority’s fingerprint records (the A file in the automated fingerprint identification system, AFIS) when checking fingerprints taken pursuant to Chapter 9, Section 8 of the Aliens Act (2005:716). This section of the Act allows the Swedish Migration Agency to take an alien’s fingerprints in certain cases. This is allowed, for example, if the alien is unable to provide proof of identity. The thinking behind the Inquiry’s proposal is that checking against the Swedish Police Authority’s fingerprint records improves the prospects of establishing the correct identity of the alien. On balance, the Inquiry considers that this interest outweighs the possible integrity risks that may be associated with this possibility.
Liability for damages after controls of Schengen visas
Under the provisions of Chapter 9, Section 8c of the Aliens Act, an alien is obliged to allow a policeman, a specially appointed passport official or an official at the Swedish Customs, the Swedish Coast Guard or the Swedish Migration Agency to take his or her fingerprints in order to check the alien’s identity and the genuineness of the Schengen visa by searching in the Visa Information System (VIS). A corresponding obligation also applies to an alien who is unable to prove his or her identity during entry or exit controls and who may
be checked against the VIS for identification purposes. After a control has been carried out, the fingerprints taken for control purposes must be destroyed immediately. This also applies to biometric data taken in connection with the control.
The Inquiry proposes a regulation clarifying that it is the authority that has carried out the control that is responsible for the data being destroyed and that damages may be payable if the obligation to destroy the data is neglected.
1. Författningsförslag
1.1. Förslag till utlänningsdatalag
Härigenom förskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:
1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. statusförklaring,
3. mottagande av asylsökande och andra utlänningar,
4. bistånd och stöd till utlänningar,
5. svenskt medborgarskap,
6. statlig ersättning för kostnader för utlänningar eller
7. bosättning av utlänningar.
3 § Denna lag gäller också vid behandling av personuppgifter i
Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.
4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då personuppgifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),
3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),
4. polisdatalagen (2010:361) eller
5. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förordningen.
Den registrerades inställning
6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.
Förhållandet till personuppgiftslagen
7 § Om inte annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204) eller föreskrifter som har meddelats i anslutning till den lagen.
8 § Följande bestämmelser i personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter,
4. 22 § om behandling av personnummer,
5. 23 och 25–27 §§ om information till den registrerade,
6. 28 § om rättelse m.m.,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33–35 §§ om överföring av personuppgifter till tredjeland,
9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd och 13. 51 §, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Personuppgiftsansvar
9 § Med undantag för vad som föreskrivs i andra stycket är den myndighet som anges i 2 och 3 §§ personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger den myndigheten att utföra.
Migrationsverket är även personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.
10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får behandla personuppgifter om det är nödvändigt för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet eller
5. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av
1. avgöranden, rättsutredningar och annan rättslig information eller
2. information rörande förhållanden i andra länder.
13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas om det är nödvändigt för att tillhandahålla information
1. till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller
2. till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Migrationsverkets fingeravtrycks- och fotografiregister
14 § Migrationsverket får föra automatiserade register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap.1–2 a §§utlänningslagen åberopas, i ärenden om avvisning och utvisning samt i testverksamhet.
Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet fotografi.
Uppgift om fingeravtryck får även behandlas när det är nödvändigt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycksregister som Polismyndigheten för enligt 4 kap.11–17 §§polisdatalagen (2010:361).
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.
Behandling av känsliga personuppgifter
15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Därutöver får känsliga personuppgifter behandlas endast
1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller
2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Sökning
17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 11 § 1−3 och 5 samt 13 §.
Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.
Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.
Direktåtkomst
18 § Direktåtkomst till personuppgifter som behandlas automatiserat hos Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.
Direktåtkomst till personuppgifter som Migrationsverket behandlar får medges
1. Polismyndigheten för ändamål som anges i 11 § 1–3 och 14 §,
2. Säkerhetspolisen för ändamål som anges i 11 § 1–3 samt
3. utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket för ändamål som anges i 11 § 1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Överföring av personuppgifter till tredjeland
19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.
Avskiljande
20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § ska avskiljas från automatiserad behandling i myndighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.
Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter
om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Gallring
21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga biträden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag.
Säkerhetsåtgärder
22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Denna lag träder i kraft den 1 januari 2016.
1.2. Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att det i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet ska införas en ny paragraf, 2 kap. 8 b §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
8 b §
Migrationsverket får medges direktåtkomst till uppgifter som avses i 3 § 1–5 och 11 om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2016.
1.3. Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs att det i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska införas en ny paragraf, 2 kap. 27 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
27 a §
Migrationsverket får medges direktåtkomst till uppgifter som avses i 5 § första stycket 3 om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2016.
1.4. Förslag till lag om ändring av utlänningslagen (2005:716)
Härigenom föreskrivs i fråga om utlänningslagen (2005:716)
dels att 9 kap. 8 c § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 17 kap. 4 §, av följande
lydelse.
Nuvarande lydelse Föreslagen lydelse
9 kap.
8 c §
Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), i den ursprungliga lydelsen.
Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.
När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.
Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör fingeravtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.
17 kap.
4 §
Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att ta del av sådana uppgifter som myndigheterna får medges direktåtkomst till enligt utlänningsdatalagen (0000:00) .
Denna lag träder i kraft den 1 januari 2016.
1.5. Förslag till lag om ändring i socialförsäkringsbalken (2010:110)
Härigenom föreskrivs i fråga om socialförsäkringsbalken (2010:110)
dels att 114 kap. 1 och 17 §§ ska ha följande lydelse,
dels att en ny paragraf, 114 kap. 23 a §, ska införas av följande
lydelse.
Nuvarande lydelse Föreslagen lydelse
114 kap.
1 §
I detta kapitel finns allmänna bestämmelser i 2−5 §§. Vidare finns bestämmelser om – personuppgiftslagen och personuppgiftsansvar i 6 §, – ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,
– tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 §§, – direktåtkomst i 18–23 a §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§, – överföring av personuppgifter till tredjeland i 29 §, – information i 30 §, – gallring i 31 §, – avgifter i 32 §, – rättelse och skadestånd i 33 §, – kontrollverksamhet i 34 §, – tystnadsplikt i 35 §, och – överklagande i 36 §
17 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en sär-
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en sär-
skild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
skild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen och till
personuppgifter hos Migrationsverket ska begränsas till vad som
behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
23 a §
Migrationsverket får medges direktåtkomst till uppgifter i socialförsäkringsdatabasen om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2016.
1.6. Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 2 kap. 8 § och 18 §polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
8 §
Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,
4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,
5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller
6. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift, eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,
6. verksamhet hos Migrationsverket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11– 17 §§ eller
7. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.
I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
18 §
Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11– 17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11– 17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Motsvarande gäller för
Migrationsverket avseende personuppgifter som behandlas i fingeravtrycksregister enligt första stycket,
om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.
Denna lag träder i kraft den 1 januari 2016.
1.7. Förslag till utlänningsdataförordning
Härigenom föreskrivs följande.
Allmän bestämmelse
1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen (0000:00). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.
Migrationsverkets fingeravtrycks- och fotografiregister
2 § Registren får endast innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.
3 § En uppgift i registren ska gallras när den registrerade blir svensk medborgare. I andra fall ska gallring ske senast tio år efter det att uppgiften registrerades.
Tillgången till personuppgifter
4 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive myndigheter. Migrationsverket får även meddela sådana föreskrifter såvitt avser den automatiserade behandlingen av personuppgifter hos utlandsmyndigheterna.
För tilldelning av behörighet för åtkomst till personuppgifter ska särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.
5 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ansvarar för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.
Migrationsverket ansvarar också för att det finns sådana rutiner hos utlandsmyndigheterna såvitt avser den automatiserade behandlingen av personuppgifter.
Direktåtkomst
6 § Migrationsverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 18 § utlänningsdatalagen (0000:00).
Direktåtkomst till uppgifterna får inte medges innan Migrationsverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.
7 § Polismyndighetens och Säkerhetspolisens direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) får inte avse andra uppgifter än sådana som är absolut nödvändiga för att myndigheterna ska kunna utföra de arbetsuppgifter som ankommer på dem.
8 § Försäkringskassans och Pensionsmyndigheten direktåtkomst enligt 18 § utlänningsdatalagen (0000:000) ska begränsas till uppgifter som behövs inom Försäkringskassans och Pensionsmyndighetens verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd.
Direktåtkomsten får endast avse uppgift om
1. namn, personnummer och i förekommande fall samordningsnummer,
2. bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,
3. dag för beslut om uppehållstillstånd, arbetstillstånd eller utfärdande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehållskort har utfärdats,
4. inresedatum,
5. datum för ansökan om uppehållstillstånd, arbetstillstånd eller uppehållskort,
6. särskilt bevis enligt 5 kap. 4 § tredje stycket utlänningsförordningen (2006:97),
7. att uppehållstillstånd har beviljats den enskilde som flykting enligt 4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § utlänningslagen (2005:716) eller motsvarande äldre bestämmelser,
8. att statusförklaring har beviljats enligt 4 kap. 3 c § utlänningslagen eller motsvarande äldre bestämmelser,
9. att uppehållstillstånd har beviljats den enskilde för studier eller som familjemedlem till en sådan person och
10. beslut om återkallelse av uppehållstillstånd eller arbetstillstånd, uppgift om från och med vilket datum uppehållstillstånd eller arbetstillstånd har återkallats och uppgift om vilket datum beslut om återkallelse av uppehållstillstånd eller arbetstillstånd har vunnit laga kraft.
9 § Skatteverkets direktåtkomst enligt 18 § utlänningsdatalagen (0000:00) ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige.
Direktåtkomsten får endast avse uppgift om
1. namn och personnummer,
2. längd,
3. fotografi,
4. underskrift,
5. typ av resehandling, resehandlingens nummer och giltighetstid samt
6. bevis om uppehållstillstånd.
Överföring av personuppgifter till tredjeland
10 § Personuppgifter som behandlas för ändamål som anges i 12 § 1 utlänningsdatalagen (0000:00) får föras över till tredjeland endast om uppgifterna inte direkt pekar ut den registrerade.
Avskiljande
11 § Migrationsverket får meddela föreskrifter om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Gallring
12 § Känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet ska genast gallras när behandlingen inte längre är nödvändig för något av de angivna ändamålen.
13 § Personuppgifter som Migrationsverket behandlar automatiserat därför att offentliga biträden, tolkar, översättare eller språkanalytiker kan vara olämpliga för framtida uppdrag ska gallras senast två år efter det att uppgifterna registrerades.
Säkerhetsåtgärder
14 § Migrationsverket får meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Denna förordning träder i kraft den 1 januari 2016, då förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska upphöra att gälla.
1.8. Förslag till förordning om ändring i folkbokföringsförordning (1991:749)
Härigenom föreskrivs att 5 a § folkbokföringsförordningen (1991:749) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 a §
Samordningsnummer får tilldelas en person om det inte råder osäkerhet om hans eller hennes identitet.
Även om det råder osäkerhet om en persons identitet, får samordningsnummer tilldelas för
1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2010:362) om polisens allmänna spaningsregister och polisdatalagen (2010:361),
2. annan behandling av uppgifter enligt polisdatalagen, eller i övrigt inom rättsväsendets informationssystem,
3. registrering i Migrations-
verkets verksamhetsregister enligt förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen när det
gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller
Samordningsnummer får tilldelas en person om det inte råder osäkerhet om hans eller hennes identitet.
Även om det råder osäkerhet om en persons identitet, får samordningsnummer tilldelas för
1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2010:362) om polisens allmänna spaningsregister och polisdatalagen (2010:361),
2. annan behandling av uppgifter enligt polisdatalagen, eller i övrigt inom rättsväsendets informationssystem,
3. Migrationsverkets behandling
av uppgifter med stöd av utlänningsdatalagen (0000:00)när det
gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller
4. registrering i beskattningsdatabasen.
4. registrering i beskattningsdatabasen.
Denna förordning träder i kraft den 1 januari 2016.
1.9. Förslag till förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs i fråga om förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
dels att det ska införas två nya paragrafer, 7 e § och 17 a §, av
följande lydelse,
dels att rubriken närmast före 17 a § ska lyda ”Direktåtkomst för
myndigheter”.
Nuvarande lydelse Föreslagen lydelse
7 e §
Migrationsverket har rätt att ta del av personuppgifter som avses i 2 kap. 3 § 1–5 och 11 lagen ( 2001:181 ) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
17 a §
Migrationsverket får vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen ( 2001:181 ) om behandling av
uppgifter i Skatteverkets beskattningsverksamhet endast medges rätt att ta del av
1. uppgift om förvärvsinkomst, fastställd och preliminär,
2. uppgift om underlag som lämnats av arbetsgivare avseende person som erhållit förvärvsinkomst,
4. uppgift om skatter och avgifter som överlämnats till Kronofogdemyndigheten för indrivningsåtgärder,
5. beslutade arbetsgivaravgifter,
6. skatteform och
7. återkallelse av godkännande för F-skatt.
Skatteverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.
Direktåtkomst till uppgifterna får inte medges innan Skatteverket har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säkerhet.
Denna förordning träder i kraft den 1 januari 2016.
1.10. Förslag till förordning om ändring i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs att det i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska införas två nya paragrafer, 8 a § och 10 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 a §
Migrationsverket har rätt att ta del av personuppgifter som avses i 2 kap. 5 § första stycket 3 lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
10 a §
Migrationsverket får vid direktåtkomst enligt 2 kap. 27 a § lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet endast medges rätt att ta del av
1. uppgift om fysiska personers skulder i allmänna och enskilda mål och
2. uppgift om att konkursförfarande inletts.
Kronofogdemyndigheten får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.
Direktåtkomst till uppgifterna får inte medges innan Kronofogdemyndigheten har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säkerhet.
Denna förordning träder i kraft den 1 januari 2016.
1.11. Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreskrivs i fråga om förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
dels att 2 § ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 3 d § och 5 b §, av
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
Utöver de fall som anges i 114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt uppgifter om
1. kön,
2. civilstånd,
3. medborgarskap,
4. födelseort,
5. studiemedel och andra ekonomiska förhållanden,
6. värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter,
Utöver de fall som anges i 114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt uppgifter om
1. kön,
2. civilstånd,
3. medborgarskap,
4. födelseort,
5. studiemedel och andra ekonomiska förhållanden,
6. värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter,
7. arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,
8. preliminärskatt, inkomstbeskattning och fastighetstaxering,
9. hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,
10. uppgifter i och formerna för ansökningar eller anmälningar,
11. förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser,
13. åtgärdskoder enligt förordningen (2008:193) om statligt tandvårdsstöd,
15. patientavgifter och tandvårdsersättningar,
16. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
17. nedsatt arbetsförmåga, 18. förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,
19. förmåns- eller ersättningsrelaterad information i rehabiliteringsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner,
20. arten av, kostnaderna och tidpunkterna för föreslagna, planerade och vidtagna rehabilite-
7. arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,
8. preliminärskatt, inkomstbeskattning och fastighetstaxering,
9. hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,
10. uppgifter i och formerna för ansökningar eller anmälningar,
11. förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser,
13. åtgärdskoder enligt förordningen (2008:193) om statligt tandvårdsstöd,
15. patientavgifter och tandvårdsersättningar,
16. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
17. nedsatt arbetsförmåga, 18. förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,
19. förmåns- eller ersättningsrelaterad information i rehabiliteringsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner,
20. arten av, kostnaderna och tidpunkterna för föreslagna, planerade och vidtagna rehabilite-
ringsåtgärder,
21. leverantörer av produkter och tjänster inom rehabiliteringsområdet,
22. vårdgivare, 23. remisser, 24. läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning,
25. diagnoser, 26. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken,
27. bevakningsanledningar, 28. frågor om återbetalningsskyldighet har uppkommit,
29. anledningen till att ett ärende har avslutats,
30. avgöranden av domstol, Försäkringskassan eller Pensionsmyndigheten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgörandet har överklagats,
31. beslut i ärenden, 32. att den registrerade får aktivitetsstöd eller utvecklingsersättning enligt förordningen (1996:1100) om aktivitetsstöd,
33. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,
34. registrerade som får eller har fått vård eller försörjning helt
ringsåtgärder,
21. leverantörer av produkter och tjänster inom rehabiliteringsområdet,
22. vårdgivare, 23. remisser, 24. läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning,
25. diagnoser, 26. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken,
27. bevakningsanledningar, 28. frågor om återbetalningsskyldighet har uppkommit,
29. anledningen till att ett ärende har avslutats,
30. avgöranden av domstol, Försäkringskassan eller Pensionsmyndigheten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgörandet har överklagats,
31. beslut i ärenden, 32. att den registrerade får aktivitetsstöd eller utvecklingsersättning enligt förordningen (1996:1100) om aktivitetsstöd,
33. att den registrerade har rätt till ersättning enligt 16–22 §§ förordningen om aktivitetsstöd,
34. registrerade som får eller har fått vård eller försörjning helt
eller delvis på det allmännas bekostnad,
35. den registrerade från utsöknings- och indrivningsdatabasen,
36. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
37. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,
38. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,
39. vilken personkrets enligt 52 kap.10–13 §§socialförsäkringsbalken som den registrerade hör till,
40. att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,
41. den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,
42. den registrerade i verk-
samhetsregister som förs av Migrationsverket enligt förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, och
43. att den registrerade eller dennes make eller sambo får
eller delvis på det allmännas bekostnad,
35. den registrerade från utsöknings- och indrivningsdatabasen,
36. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
37. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,
38. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,
39. vilken personkrets enligt 52 kap.10–13 §§socialförsäkringsbalken som den registrerade hör till,
40. att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,
41. den registrerade i register hos sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EU-rättsliga regler,
42. den registrerade i ärenden
hos Migrationsverket som behandlas med stöd av utlänningsdatalagen (0000:00)och
43. att den registrerade eller dennes make eller sambo får
vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag.
vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag.
3 d §
Migrationsverket får vid direktåtkomst till socialförsäkringsdatabasen enligt 114 kap. 23 a § socialförsäkringsbalken (2010:110) endast medges rätt att ta del av
1. uppgift om inlämnad ansökan om föräldraledighet till Försäkringskassan och utbetald föräldrapenning från Försäkringskassan,
2. uppgift om omfattning av sjukfrånvaro och av Försäkringskassan utbetald sjukpenning och
3. uppgift om beviljade assistanstimmar.
Försäkringskassan får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för Migrationsverket.
Direktåtkomst till uppgifterna får inte medges innan Försäkringskassan har försäkrat sig om att Migrationsverket uppfyller kraven på behörighet och säkerhet.
5 b §
Migrationsverket har rätt att ta del av personuppgifter till sådana uppgifter i socialförsäkringsdatabasen som avses i 2 § 16, om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
Denna förordning träder i kraft den 1 januari 2016.
1.12. Förslag till förordning om ändring i förordningen (2009:284) om identitetskort för folkbokförda i Sverige
Härigenom föreskrivs att 3 a § och 16 a § i förordningen (2009:284) om identitetskort för folkbokförda i Sverige ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 a §
Om sökanden har uppehållstillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet när det gäller sådana uppgifter som avses i 6 b §
andra stycket förordningen ( 2001:720 ) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.
Om sökanden har uppehållstillstånd i Sverige ska han eller hon, om inte särskilda skäl talar mot det, anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet när det gäller sådana uppgifter som avses i 9 §
utlänningsdataförordningen (0000:00) .
Sökanden ska ange om han eller hon vill styrka identiteten på detta sätt.
16 a §
Migrationsverket ska på begäran av Skatteverket lämna de uppgifter som anges i 6 b § för-
ordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och som
Migrationsverket ska på begäran av Skatteverket lämna de uppgifter som anges i 9 § utlän-
ningsdataförordningen (0000:00)
och som behövs för handläggning av ansökan om identitetskort.
behövs för handläggning av ansökan om identitetskort.
Tillgången till uppgifter som avses i första stycket ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Denna förordning träder i kraft den 1 januari 2016.
2. Utredningens uppdrag och arbete
2.1. Uppdraget
Utredningens huvudsakliga uppdrag har varit att utarbeta ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att anpassa författningsregleringen på området till nationella bestämmelser och internationella åtaganden. I uppdraget har också ingått att analysera förutsättningarna för att ge Migrationsverket en möjlighet att registrera vissa uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker, att analysera behovet av och förutsättningarna för ett effektivare informationsutbyte mellan Migrationsverket och vissa andra myndigheter, att analysera skadeståndsskyldighet efter kontroll vid Schengenviseringar samt att vid behov utforma nödvändiga författningsregleringar, se närmare utredningens direktiv bilaga 1.
Härutöver har utredningen fått i uppdrag av Justitiedepartementet att inom ramen för utredningen behandla frågan om Migrationsverkets rätt att i vissa fall jämföra fotografier (se Migrationsverkets framställan till Justitiedepartementet inkommen den 9 juni 2014, dnr 1.1.2-2014-23927) och Migrationsverkets rätt att ta del av fingeravtryck från polisens fingeravtrycksregister (se dåvarande Rikspolisstyrelsen framställan till Justitiedepartementet daterad den 3 oktober 2014, dnr A377.954/2014).
2.2. Utredningens arbete
Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden. Utredningen har sammanträtt med de förordnade experterna vid sammanlagt sex tillfällen, varav ett i form av ett tvådagars internatsammanträde. Arbetet har även i övrigt bedrivits i nära samråd med experterna.
Den särskilda utredaren och utredningens sekreterare har besökt Migrationsverkets huvudkontor i Norrköping. Syftet med besöket var framför allt att få information om den behandling av personuppgifter som för närvarande pågår eller planeras i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Härutöver har utredningens sekreterare besökt Polismyndigheten (gränspolisenheten) i Malmö.
Vid utförandet av uppdraget har utredningen löpande haft samråd med Migrationsverket, Polismyndigheten och Datainspektionen. Utredningen har även haft samråd med Säkerhetspolisen, Försäkringskassan, Pensionsmyndigheten, Skatteverket, Kronofogdemyndigheten och Informationshanteringsutredningen (Ju 2011:11) i vissa frågeställningar.
2.3. Betänkandets disposition
Betänkandet består i huvudsak av två delar, en del som behandlar frågan om en ny utlänningsdatalag (kapitel 3−7) och en del som tar upp särskilda frågeställningar (kap. 8−11).
I kapitel 3 redogör utredningen för gällande rätt och internationella överenskommelser. I kapitel 4 och 5 redovisas verksamhet enligt utlännings- och medborgarskapslagstiftningen och behandling av personuppgifter inom verksamhetsområdet. I kapitel 6 presenterar utredningen allmänna utgångspunkter vid utformandet av en utlänningsdatalag och i kapitel 7 redovisar utredningen sina närmare överväganden om hur en ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen bör utformas.
I kapitel 8 behandlas frågan om registrering av kvalitetsomdöme av vissa aktörer som har uppdrag i asylprocessen. I kapitel 9 analyserar och lämnar utredningen förslag till ett effektivare informations-
utbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd. I kapitel 10 föreslår utredningen regler som gör det möjligt för Migrationsverket att ta del av uppgifter från Polismyndighetens fingeravtrycksregister. I kapitel 11 behandlar och föreslår utredningen regler om skadestånd efter kontroller av Schengenviseringar.
De avslutande kapitlen, kapitel 12 och 13, innehåller en konsekvensutredning och en författningskommentar.
EN NY UTLÄNNINGSDATALAG
3. Gällande rätt och internationella överenskommelser
3.1. Inledning
För att myndigheter ska kunna fullgöra sina uppgifter på ett effektivt sätt är det viktigt att de kan utnyttja modern informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Samtidigt medför möjligheten att samla en stor mängd information om enskilda att uppgifter kan sökas och sammanställas på ett enklare sätt. Därmed kan också risken för intrång i enskildas personliga integritet öka.
Vikten av ett effektivt myndighetsarbete måste således vägas mot en ökad risk för integritetsintrång. Både i internationella sammanhang och i nationell lagstiftning har det antagits regler för behandling av personuppgifter, som syftar till att balansera intressena och skydda den personliga integriteten vid sådan behandling.
Följande avsnitt innehåller en beskrivning av gällande rätt och internationella åtaganden på dataskyddsområdet samt en redogörelse för nuvarande reglering av personuppgiftsbehandlingen i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
3.2. Regeringsformen
Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten.
Enligt målsättningsstadgandet i 1 kap. 2 § första stycket RF ska den offentliga makten utövas med respekt bland annat för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. Bestämmelsen anger några av de viktigaste målen för samhällets verk-
samhet, men har inte någon bindande verkan för det allmänna. Den kan därför inte ligga till grund för några individuella rättigheter (se prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173).
I 2 kap. 4 och 5 §§ RF finns bestämmelser om förbud mot allvarliga fysiska integritetsintrång (bland annat dödsstraff och kroppsstraff) och enligt 2 kap. 6 § RF är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.
För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. För andra än svenska medborgare här i riket får särskilda begränsningar göras genom lag (se 2 kap. 25 § första stycket 3 RF).
Grundlagsändringen innebär att regler om behandling av information om enskildas personliga förhållanden som sker från det allmännas sida utan den enskildes samtycke och som innebär ett betydande intrång i den personliga integriteten i vissa fall måste anges i lag.
Bestämmelsen och motiven till denna behandlas vidare i avsnitt 6.2.
3.3. Internationella konventioner m.m.
3.3.1. FN:s allmänna förklaring om de mänskliga rättigheterna m.m.
Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och medborgerliga rättigheter men även sociala, ekonomiska och kulturella rättigheter. Den allmänna förklaringen är inte bindande för medlemsstaterna, men ses numera som ett uttryck för sedvanerättsliga regler.
Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.
Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
FN har också antagit den internationella konventionen om medborgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen.
I artikel 17 i konventionen upprepas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kontroller införts, bland annat rapporteringsskyldighet för medlemsstaterna. Kommittén för mänskliga rättigheter (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.
I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter (Guidelines concerning computerized personal data files).
Riktlinjerna anger tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta är för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.
3.3.2. Europakonventionen
De rättigheter som anges i FN:s allmänna förklaring om de mänskliga rättigheterna har utvecklats vidare i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Konventionen inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.
Av 2 kap. 19 § RF framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förbyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri och rättigheter.
Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.). Bestämmelsen medför en skyldighet för medlemsstaterna att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyldighet för myndigheter att agera i enskilda fall.
En inskränkning i en konventionsskyddad rättighet ska ha stöd i inhemsk lag. Med det följer också krav på att lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Intrånget ska vidare vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.
3.3.3. Europarådets dataskyddskonvention
Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i Europeiska unionen (EU) har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden. Rekommendationerna är inte bindande.
Dataskyddskonventionen innehåller principer för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning.
Konventionen har enligt artikel 1 till syfte att säkerställa respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionens tillämpningsområde är enligt artikel 2 automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet.
Den centrala delen av konventionen är kapitel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter som undergår automatisk databehandling ska hämtas in och behandlas på ett korrekt och lagligt sätt för särskilt angivna ändamål. Uppgifterna ska vara relevanta för dessa ändamål och får inte senare användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna får inte bevaras längre tid än vad som är nödvändigt med avseende på ändamålet. Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd. Konventionen innehåller också bestämmelser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel vid brott mot en konventionsskyddad rättighet. Konventionens bestämmelser kan ses som en precisering av skyddet för enskilda vid användning av automatisk databehandling enligt artikel 8 i Europakonventionen.
Det grundläggande skyddet vid automatiserad behandling av personuppgifter inom EU regleras i dag främst genom dataskyddsdirektivet (se avsnitt 3.4). Direktivet gäller dock inte vid behandling
av personuppgifter på områden som faller utanför EU:s kompetensområde, till exempel allmän säkerhet, försvar och statens säkerhet. På sådana områden är dataskyddskonventionen således fortfarande relevant.
3.3.4. OECD:s riktlinjer
Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integritetsskyddet och flödet av personuppgifter över gränserna (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data).
Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs en rekommendation till medlemsländernas regeringar att beakta riktlinjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna.
Riktlinjerna, som är att uppfatta som minimiregler, motsvarar i princip de bestämmelser som finns i dataskyddskonventionen. De är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras automatiskt och uppgifter som förs manuellt. Riktlinjerna innehåller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.
3.3.5. Europeiska unionens stadga om de grundläggande rättigheterna
Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlemsstater Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Lissabonfördraget, som trädde i kraft 2009, innebär att EU-stadgan numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler. Genom stadgan
kodifierades de grundläggande fri- och rättigheterna som EU redan hade erkänt.
I stadgan anges de grundläggande rättigheterna under sex huvudrubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och den ger ett skydd för människans rätt till frihet och säkerhet och rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, till exempel personuppgiftsskydd.
När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (artikel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för personuppgifter som rör honom eller henne (artikel 8).
I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. I artikeln stadgas också att en oberoende myndighet ska kontrollera att reglerna efterlevs.
Stadgan är enligt artikel 51 tillämplig i verksamhet som utförs av unionens institutioner, organ och byråer samt av medlemsstaterna när dessa tillämpar unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.
Av artikel 52 följer att varje begränsning av stadgans fri- och rättigheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och begränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. I de fall stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd.
3.4. Dataskyddsdirektivet
Inom EU regleras behandling av personuppgifter i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Syftet med direktivet är enligt artikel 1.1 att skydda fysiska personers grundläggande fri- och rättigheter (särskilt rätten till privatliv) i samband med behandling av personuppgifter. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma, men de inhemska reglerna får inte hindra det fria flödet av personuppgifter inom unionen.
Direktivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automatisk behandling av personuppgifter om de ingår eller är avsedda att ingå i ett register. Med register avses i sammanhanget varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område eller register för privat bruk. Även behandling av personuppgifter för uteslutande journalistiska, konstnärliga och litterära ändamål undantas.
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.
Personuppgifter får behandlas när den enskilde lämnat sitt samtycke. Därutöver får personuppgifter behandlas endast 1) när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, 2) när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, 3) när det är nödvändigt för att skydda den enskildes grundläggande intressen, 4) när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller 5) om det i övrigt
skett en intresseavvägning som resulterat i att behandling av personuppgifter ska få ske.
Medlemsstaterna ska förbjuda behandling av känsliga personuppgifter, dvs. uppgifter som avslöjar ras, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration.
Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.
När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon information i de fall den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den registrerade har också rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller vidare regler om säkerhet vid behandlingen.
All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten.
Den registrerade ska ha rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och av domstol. Tillsynsmyndigheten ska vara ett oberoende organ. Den ska ha befogenhet att undersöka och ingripa effektivt mot otillåten behandling av personuppgifter.
Överföring av personuppgifter till ett tredjeland, dvs. ett land utanför EU, får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.
Reformarbete
Europeiska kommissionen presenterade i november 2010 meddelandet Ett samlat grepp på skyddet av personuppgifter i Europeiska
unionen (KOM/2010/0609) som innehöll en strategi för att stärka
EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I början av år 2012 lade kommissionen fram ett förslag till reform av EU:s regler om skydd för personuppgifter. Syftet var att modernisera reglerna i dataskyddsdirektivet och få till stånd en mer enhetlig tillämpning inom EU. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en uppgiftsskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även nationell lagstiftning. För Sveriges del berörs bland annat personuppgiftslagen (1998:204).
I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Ett förslag till betänkande lades fram i december 2012 och i oktober 2013 röstade LIBE-utskottet fram ett förslag.
Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för förslaget till uppgiftsskyddsförordning. I resolutionen beträffande uppgiftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg.
Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande (juni 2015). Hittills har emellertid tre delöverenskommelser uppnåtts och det synes föreligga en relativt stor enighet inom rådet om bland annat att det finns behov av att skapa ytterligare flexibilitet för den offentliga sektorn.
Den fortsatta processen med uppgiftsskyddsförordningen är beroende av att förhandlingarna inom rådet kan slutföras. Ambitionen synes vara att RIF-rådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Europeiska rådet
(stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under år 2015.
Ett införande av förordningen har bedömts viktigt för att förverkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för år 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om införande av förordningen inom en inte alltför avlägsen tid. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.
3.5. Personuppgiftslagen
Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204, PUL) och personuppgiftsförordningen (1998:1191, PUF). Personuppgiftslagen följer i princip dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, skadestånd och straff. Syftet med lagen är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som avviker från personuppgiftslagen, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i särskilda registerförfattningar som reglerar behandling av personuppgifter hos vissa myndigheter eller inom viss verksamhet på det offentliga området.
3.5.1. Några viktiga begrepp
I 3 § PUL finns definitioner av vissa grundläggande begrepp. Be-
handling (av personuppgifter) avser varje åtgärd eller serie av åtgär-
der som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i bestämmelsen insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter,
sammanställning eller samkörning, blockering, utplåning eller förstöring.
Så snart personuppgifter på något sätt hanteras är det enligt förarbetena fråga om en behandling som faller inom personuppgiftslagens tillämpningsområde, oavsett om behandlingen är automatisk eller avser ett manuellt personregister (se SOU 1997:39 s. 332). Avsikten är att alla former av hantering ska omfattas.
Mottagare definieras som den till vilken personuppgifter lämnas
ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Som exempel på personuppgifter kan nämnas personnummer, registreringsnummer för fordon och kundnummer. Definitionen av personuppgifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena till personuppgiftslagen anförs att en uppgift om en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer, eftersom denna uppgift i kombination med andra uppgifter kan ge upplysning om den personens föräldrar och avkomma (se SOU 1997:39 s. 338). Enligt förarbetena omfattas även krypterade personuppgifter av lagen om uppgifterna kan göras läsbara och därmed identifiera individer. Även sådana uppgifter som i sig är anonyma, men som möjliggör identifikation genom s.k. bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifieringen möjlig.
Personuppgiftsansvarig är den som ensam eller tillsammans med
andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av personuppgifter i lagens mening finns det en eller flera personuppgiftsansvariga för den behandlingen. Den personuppgiftsansvarige har ansvar för att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Om behandling sker i strid med lagen kan den personuppgiftsansvarige bli skadeståndsskyldig. Som huvudregel kan
därför bara fysiska och juridiska personer, utländska filialer och myndigheter betraktas som personuppgiftsansvariga.
Personuppgiftsbiträde är den som behandlar personuppgifter för
den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträden. Den personuppgiftsansvarige har skadeståndsansvar gentemot de registrerade för personuppgiftsbiträdets behandling av personuppgifter. Personuppgiftsbiträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.
Ett personuppgiftsombud är en fysisk person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registrerade är den som en personuppgift avser. Av defini-
tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.
Med samtycke avses enligt definitionen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I personuppgiftslagen finns inte några särskilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade (se SOU 1997:39 s. 342) Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen, kan lämna ett rättsligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv. Frågan om när någon har sådan mognad att han eller hon förstår vad samtycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.
Tillsynsmyndigheten är den myndighet som regeringen utser för
att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyndighet.
Tredjeland är en stat som inte ingår i EU eller är ansluten till
Europeiska ekonomiska samarbetsområdet (EES).
3.5.2. Det territoriella tillämpningsområdet
Det följer av 4 § PUL att bestämmelserna gäller för sådana personuppgiftsansvariga som är etablerade i Sverige. Lagen ska som huvudregel också tillämpas när den personuppgiftsansvarige är etablerad i en stat som inte ingår i EU eller är ansluten till EES, men som för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.
3.5.3. Behandling av uppgifter som omfattas av lagen
I 5 § PUL slås det fast att lagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binärform), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som automatiserad behandling (se SOU 1997:39 s. 344). Så snart en personuppgift har kommit in i en dator eller motsvarande maskin är det att betrakta som sådan automatiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bilduppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller avses att ingå i ett register.
Även delvis automatiserad behandling av personuppgifter omfattas av lagen. Exempel på sådan användning är att personuppgifter samlas in manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat.
Av andra stycket 5 § PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automatiserad. Den behandling som avses är manuellt behandlade personuppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett register, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Ett register är enligt förarbetena en samling av personuppgifter som innehåller uppgifter om fler än en person (se SOU 1997:39 s. 339). För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. De kan till exempel inte röra sig om en hög med lösa papper på ett skrivbord, även om pappren för tillfället är sorterade i bokstavsordning efter efternamn. Uppgiftssamlingen måste också vara strukturerad. Det innebär att uppgifterna ska vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkterna 15 och 27 i ingressen till dataskyddsdirektivet framgår att kriterierna ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter, men som inte är sökbart med hjälp av någon personuppgift (till exempel namn eller personnummer) omfattas således inte.
3.5.4. Undantag från personuppgiftslagen
Undantag för behandling av personuppgifter i ostrukturerat material
Enligt 5 a § PUL behöver vissa i bestämmelsen angivna regler i lagen inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, s.k. ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behandling emellertid inte får utföras om den innebär en kränkning av den registrerades personliga integritet.
Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. I det undantagna området ingår till exempel löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem (se SOU 2004:6 s. 12
och prop. 2005/06:173 s. 21). Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.
Undantag för privat behandling av personuppgifter
Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Förhållandet till tryck- och yttrandefriheten
Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).
Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av personuppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel i en tryckt skrift eller ett radioprogram.
Bestämmelsen innebär vidare undantag för den grundlagsskyddade rätten att sprida yttranden, meddelarfriheten och anskaffarfriheten.
Enligt bestämmelsens andra stycke ska vissa bestämmelser i personuppgiftslagen inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behandling.
Förhållandet till offentlighetsprincipen
Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelserna om offentlighetsprincipen i 2 kap. TF att lämna ut personuppgifter.
Offentlighetsprincipen innebär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar i den utsträckning handlingarna inte innehåller uppgifter som är sekretessbelagda. Av betydelse för principen är också myndigheternas skyldighet enligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym.
Offentlighetsprincipen innebär således en skyldighet för myndigheter att bevara ett stort antal uppgifter under en icke förutbestämd tid samt att som huvudregel lämna ut sådana uppgifter utan att veta för vilket ändamål de ska behandlas. Det är tydligt att förhållandet mellan dataskyddsdirektivet och offentlighetsprincipen inte är helt klart och frågan behandlades bland annat under lagstiftningsarbetet inför införandet av personuppgiftslagen (se prop. 1997/98:44 s. 43 f.). Bland annat invände Lagrådet mot tolkningen att direktivet gick att förena med offentlighetsprincipen.
Förhållandet till arkivlagstiftningen
Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Utgångspunkten i arkivlagstiftningen är att myndigheter ska bevara uppgifter och inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Även i detta sammanhang har fråga uppkommit om hur de olika regelverken förhåller sig till varandra. Hur arkivlagstiftningens krav på bevarande ska tillämpas i förhållande till personuppgiftslagens krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras diskuteras bland annat i förarbetena till personuppgiftslagen (se prop. 1997/98:44 s. 47 f.).
Regeringens möjlighet att meddela föreskrifter om undantag
Av 8 a § PUL följer att regeringen får meddela föreskrifter om undantag från flera bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.
3.5.5. Krav på behandlingen av personuppgifter
9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt och att de alltid behandlas på ett korrekt sätt och i enlighet med god sed (punkten a och b). Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). Bestämmelsen innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen, men det finns inte något krav på att ändamålsangivelsen ska nedtecknas.
Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkten d). Denna s.k. finalitetsprincipen är av central betydelse vid behandling av personuppgifter. Den innebär att det, när behandling för nya ändamål ska ske, måste göras en prövning av om dessa ändamål är oförenliga med de ursprungligen angivna ändamålen. Den som utlämnar personuppgifterna måste beakta vad mottagaren ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen.
Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen (punkten e). Den personuppgiftsansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (punkterna f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (punkten h). Slutligen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (punkten i). Bestämmelsen innebär att uppgifterna därefter måste avidentifieras eller förstöras. Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras.
För personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler. Behandling av sådana uppgifter ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter
kan användas för till exempel vetenskaplig forskning oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Vidare får sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Det är som anges ovan den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen.
3.5.6. Tillåten behandling av personuppgifter
I 9 § PUL anges de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av personuppgifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL föreligga. Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Vid behandling av känsliga personuppgifter, uppgifter om lagöverträdelser m.m. samt personnummer eller samordningsnummer krävs det dessutom att behandlingen är tillåten enligt de bestämmelser som gäller för behandling av sådana uppgifter (13–22 §§ PUL).
Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som avses med samtycke framgår av definitionen i 3 § PUL. Om den registrerade återkallar sitt samtycke får ytterligare personuppgifter om den registrerade inte behandlas därefter (12 § första stycket PUL).
Personuppgifter får under vissa förutsättningar behandlas även om den enskilde inte lämnat sitt samtycke. I sådana fall krävs det att behandlingen är nödvändig för ett i lagen angivet syfte. Vad som avses med att behandlingen är nödvändig är inte helt klart. Som anförs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mer och tar betydligt längre tid än att behandla personuppgifterna automatiserat (se SOU 1997:39 s. 359). I senare förarbeten
har det konstaterats att nödvändighetskravet inte rimligen kan innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg.
Om nödvändighetskravet är uppfyllt får personuppgifter behandlas utan den enskildes samtycke i följande fall.
a) Ett avtal med den registrerade ska kunna fullgöras eller åtgärder
som den registrerade begärt ska kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl-
dighet,
c) vitala intressen för den registrerade ska kunna skyddas,
d) en arbetsuppgift av allmänt intresse ska kunna utföras,
e) om det är nödvändigt för att den personuppgiftsansvarige eller
en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning och
f) ett ändamål som rör ett berättigat intresse hos den personupp-
giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
3.5.7. Förbud mot behandling av känsliga personuppgifter
Enligt 13 § PUL är det förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga personuppgifter.
3.5.8. Undantag från förbudet mot behandling av känsliga personuppgifter
Det följer av 14 § PUL att det trots förbudet i 13 § är tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§. Så kan till exempel ske om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna, se 15 § PUL.
Om den enskilde inte lämnat sitt samtycke får känsliga personuppgifter behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, se 16 § PUL. Personuppgifter får dock i sådana fall lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet. Förbudet mot behandling av känsliga personuppgifter gäller vidare inte om den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, se 16 § PUL.
Enligt 17 § PUL får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.
Det följer av 18 § PUL att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.
Slutligen gäller att känsliga personuppgifter under vissa förhållanden får behandlas för forsknings- och statistikändamål, se 19 § PUL.
Regeringen eller den myndighet som regeringen bestämmer, i det här fallet Datainspektionen, får meddela föreskrifter om ytterligare undantag från förbudet i 13 § PUL, om det behövs med hänsyn till ett viktigt allmänt intresse, se 20 § PUL.
3.5.9. Särskilt om begreppet ras
Användningen av begreppet ras har diskuterats i olika sammahang under senare år. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och från biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor (se bet. 1997/98:KU 29 s. 7). Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det i princip uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EU-direktiv. I propositionen En reformerad grundlag föreslog regeringen att begreppet ras skulle utmönstras ur regeringsformen (se prop. 2009/10:80 s. 152). Riksdagen antog förslaget och i regeringsformen används i dag i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (se 2 kap. 12 och 24 §§ RF). I förarbetena till kustbevakningsdatalagen konstateras att unionsrätten inte kräver att ett direktiv införlivas ordagrant i nationell rätt utan snarare att ändamålet med regleringen uppfylls. Det torde därmed i och för sig inte finnas något omedelbart hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med ett annat begrepp som har samma ändamål (se prop. 2011/12:45 s. 94). Det anses, enligt propositionen, emellertid inte lämpligt att endast i ett specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter. Det anförs att det dock är regeringens avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning.
Mot denna bakgrund använder utredningen begreppet ras i detta betänkande.
3.5.10. Behandling av personuppgifter om lagöverträdelser m.m.
I 21 § PUL regleras behandling av personuppgifter som rör lagöverträdelser m.m. Enligt bestämmelsen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling. Sådana uppgifter får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får enligt i 21 § tredje och fjärde stycket PUL meddela föreskrifter om undantag från förbudet och de får även besluta om undantag i enskilda fall.
3.5.11. Behandling av uppgifter om personnummer
Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får däremot fritt besluta hur de materiella reglerna ska utformas.
Behandling av personnummer och samordningsnummer utan den enskildes samtycke regleras i 22 § PUL. Enligt bestämmelsen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
3.5.12. Rätt till information
Personuppgiftslagen medför vissa skyldigheter för den personuppgiftsansvarige. Den personuppgiftsansvarige ska, om personuppgiften samlas in från personen själv, självmant lämna den registrerade information om behandlingen av uppgifterna, se 23 § PUL. Om uppgifterna har samlats in från någon annan källa ska sådan information lämnas till den registrerade när uppgifterna registreras, se 24 § PUL. Är uppgifterna avsedda att lämnas ut till tredje man behöver informationen dock inte ges förrän uppgifterna lämnas ut första gången.
Informationskravet gäller inte om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade ska dock information lämnas senast i samband med att åtgärden vidtas.
Den information som lämnas till den registrerade ska innehålla all information som kan behövas för att den registrerade ska kunna ta tillvara sina rättigheter under behandlingen, till exempel uppgift om den personuppgiftsansvariges identitet och ändamålet med behandlingen, se 25 § PUL. Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per år gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte, se 26 § PUL. Behandlas sådana uppgifter ska information lämnas om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vem de lämnas ut. Sådan information behöver dock inte lämnas avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör en minnesanteckning eller liknande i vissa fall. Åsyftade situationer är om inte uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller om uppgifterna har behandlats under längre tid än ett år.
Av 27 § PUL följer att bestämmelserna om informationsplikt inte gäller om uppgifterna om sekretess eller tystnadsplikt är föreskriven för uppgifterna.
3.5.13. Rättelse
Den personuppgiftsansvarige är på begäran av den registrerade skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som meddelats med stöd av lagen, se 28 § PUL. Med
blockering avses enligt definitionen i 3 § PUL en åtgärd som vidtas
för att personuppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och för att
personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF.
Om felaktiga uppgifter har lämnats ut till tredje man är den personuppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
3.5.14. Säkerhet vid behandling
För att säkerställa en hög säkerhetsnivå vid behandling av personuppgifter finns särskilda bestämmelser om detta i 30−32 §§ PUL. Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Behandlingen ska framgå av ett skriftligt avtal. Den personuppgiftsansvarige är vidare skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska garantera en säkerhetsnivå som är lämplig med hänsyn till de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Ett sådant beslut får förenas med vite.
3.5.15. Överföring av uppgifter till tredjeland
Det är enligt 33 § PUL förbjudet att föra över personuppgifter till tredjeland, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyddet av personuppgifterna.
Vid bedömningen om ett land har adekvat skyddsnivå ska hänsyn tas till samtliga omständigheter som har samband med överföringen. Av särskild betydelse är uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga
bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.
I 34 och 35 §§ PUL finns undantag från förbudet mot överföring till tredjeland, bland annat vid den enskildes samtycke. Överföring till tredjeland får också ske om överföringen bedöms nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas eller ett avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras. Undantag gäller vidare om överföring krävs för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen.
Regeringen får meddela föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen och, i de fall regeringen förordnat om det, Datainspektionen, får vidare meddela föreskrifter om undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller Datainspektionen får också under vissa förutsättningar i enskilda fall besluta om undantag från förbudet.
3.5.16. Anmälan till datainspektionen
Den personuppgiftsansvarige ska göra en skriftlig anmälan till Datainspektionen innan en behandling av personuppgifter som är helt eller delvis automatiserad påbörjas, se 36 § PUL. Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till inspektionen behöver sådan anmälan emellertid inte göras, se 37 §. Personuppgiftsombudet ska dock föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.
Vidare får regeringen eller, om regeringen bestämmer det, Datainspektionen, meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte
kommer att leda till otillbörligt intrång i den personliga integriteten. Regeringen får också meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhandskontroll till Datainspektionen. I sådana fall måste anmälan göras även om det finns ett personuppgiftsombud.
Den personuppgiftsansvarige är skyldig att till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om behandling av personuppgifter som inte har anmälts till Datainspektionen, se 42 § PUL. Skyldighet föreligger dock inte om uppgifterna är belagda med sekretess eller tystnadsplikt.
3.5.17. Personuppgiftsombud
Som framgår ovan har en personuppgiftsansvarig möjlighet att utse ett personuppgiftsombud och anmäla det till Datainspektionen.
Personuppgiftsombudets uppgift är att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att påpeka eventuella brister för honom eller henne, se 38 §.
Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse efter påpekande, ska personuppgiftsombudet anmäla förhållandet till Datainspektionen. Personuppgiftsombudet ska vidare samråda med Datainspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas. I personuppgiftsombudets uppgifter ingår också att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
3.5.18. Datainspektionens befogenheter
Tillsynsmyndigheten har för det första rätt att utöva tillsyn. Myndigheten har således rätt att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter, se 43 § PUL. Om dessa åtgärder inte är tillräckliga får Datainspektionen vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, se 44 § PUL.
I de fall Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt ska myndigheten i första hand genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Sker inte rättelse eller är saken brådskande får Datainspektionen under vissa omständigheter vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem, se 46 § PUL. Inspektionen får också ansöka hos förvaltningsrätten om att personuppgifter som behandlats på ett olagligt sätt ska utplånas, se 47 §.
3.5.19. Skadestånd och straff
Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock jämkas, om det är skäligt och om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
I 49 § PUL finns bestämmelser om straff vid överträdelse av vissa bestämmelser i lagen. Straffskalan är böter eller fängelse i högst sex månader eller, vid grovt brott, högst två år. I ringa fall ska dock inte dömas till ansvar.
3.6. Särskilda registerförfattningar
Personuppgiftslagen är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde, se 2 § PUL. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetas en stor mängd specialförfattningar med bestämmelser som rör behandling av personuppgifter, s.k. särskilda registerförfattningar. Exempel på sådana är förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, patientdatalagen
(2008:355), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145). Syftet med de särskilda registerförfattningarna är att anpassa lagstiftningen efter de särskilda behov som finns inom olika verksamhetsområden i den offentliga sektorn. Ibland kan det finnas behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger. Det kan till exempel röra sig om en typ av behandling som inte är tillåten enligt personuppgiftslagen eller att det finns ett behov av att precisera den reglering som finns i personuppgiftslagen. I sådana fall kan en registerförfattning ge ett anpassat integritetsskydd vid en myndighets hantering av personuppgifter. Det bör i sammanhanget noteras att det länge har varit ett uttalat mål från riksdagen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41).
Här ska dock nämnas att det i olika sammanhang har framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och fragmenterat rättsområde. Det är mot den bakgrunden som man ska se Informationshanteringsutredningens betänkande Myndig-
hetsdatalag, SOU 2015:39.
3.7. Utlänningsdataförordningen
3.7.1. Tillämpningsområde
Personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapsområdet regleras i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen).
Enligt 1 § utlänningsdataförordningen gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. Med sådan verksamhet avses i förordningen följande.
1. Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,
2. verksamhet som gäller utlänningars rätt att arbeta i landet,
3. mottagande av asylsökande och vissa andra utlänningar,
4. verksamhet som rör bistånd och stöd till utlänningar som enligt
lag eller annan författning handläggs av Migrationsverket,
5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt
medborgarskap och
6. verksamhet som gäller ersättning för och bosättning av utlänningar
som enligt lag eller annan författning handläggs av Migrationsverket.
En registrerad har inte rätt att motsätta sig behandling av personuppgifter som sker i enlighet med förordningen.
I bestämmelsen finns också en erinran om att det i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) finns bestämmelser om behandling av personuppgifter i VIS för viseringsmyndigheter, myndigheter som ansvarar för kontroll av personers gränspassage, myndigheter som ansvarar för kontroll av utlänningars rätt att uppehålla sig i medlemsstaten samt för den centrala utlänningsmyndigheten, dvs. Migrationsverket (se vidare om VIS-förordningen i avsnitten 4.3.3 och 7.4.1).
3.7.2. Personuppgiftsansvar
Migrationsverket, Polismyndigheten och Säkerhetspolisen är personuppgiftsansvariga för den personuppgiftsbehandling som respektive myndighet utför, se 2 § utlänningsdataförordningen. Migrationsverket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför.
3.7.3. Verksamhetsregister
Enligt 3 § utlänningsdataförordningen får automatiserade register föras i ärenden som handläggs av respektive myndighet (s.k. verksamhetsregister). I ett verksamhetsregister får personuppgifter behandlas för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning eller fullgörande av
underrättelseskyldighet som följer av lag eller annan författning. Personuppgifter får också behandlas för tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik.
Personuppgifter får endast behandlas om det är nödvändigt för det ändamål för vilket behandlingen utförs, se 4 § utlänningsdataförordningen.
De uppgifter som får behandlas i ett verksamhetsregister delas in i sex kategorier. Till identitetsuppgifter hör bland annat namn, person- eller samordningsnummer, födelsetid, kön, vårdnadshavare och civilstånd. Med uppgifter som behövs för handläggningen av ären-
den avses till exempel uppgifter som rör utlänningens resa och an-
komst till Sverige och uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet och hälsotillstånd om uppgifterna är oundgängligen nödvändiga för de ändamål som anges i 3 § utlänningsdataförordningen. Till kategorin uppgifter som behövs för mottagandet av
asylsökande m.fl. hör uppgifter om inskrivning vid boendeenhet och
om utbildning, yrke och anställning. Under uppgifter som behövs för
förvar och andra tvångsåtgärder enligt utlänningslagen (2005:716)
anges uppgifter om inskrivning vid förvarsenhet och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för förvarstagandet. Även uppgifter som
behövs för verkställighet enligt 12 kap. utlänningslagenfår behandlas.
Dit hör uppgifter om utresan och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för verkställigheten. Slutligen får också uppgifter om beslut registreras, exempelvis beslut i frågor om uppehålls- och arbetstillstånd, återreseförbud eller visering.
Känsliga personuppgifter får enligt 5 § utlänningsdataförordningen behandlas endast om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning och fullgörande av underrättelseskyldighet som följer av lag eller annan författning.
3.7.4. Direktåtkomst
Det finns ingen legaldefinition av begreppet direktåtkomst (när det gäller begreppet, se SOU 2012:90 s. 198, SOU 2015:39 s. 136 f. och s. 389 f. och nedan nämnda förarbeten). Med direktåtkomst avses
vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bland annat prop. 2009/10:85 s.168). I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se bland annat prop. 2004/05:164 s. 83 och prop. 2022/12:45 s. 133).
Enligt 6 § utlänningsdataförordningen får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåtkomst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Även Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § utlänningsdataförordningen. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda. I bestämmelsen anges också vilka kategorier av uppgifter Försäkringskassan och Pensionsmyndigheten får ges tillgång till.
Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, 6 b § utlänningsdataförordningen. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige. Direktåtkomsten får endast avse uppgift om namn och personnummer, längd, fotografi, underskrift, typ av resehandling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd.
3.7.5. Sökbegrepp
Vid sökning i myndigheternas datasamlingar får känsliga personuppgifter inte användas som sökbegrepp.
3.7.6. Rättsfallsregister
Migrationsverket får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information, s.k. rättsfallsregister, se 8 § utlänningsdataförordningen. Ett rättsfallsregister får inte innehålla personuppgifter som direkt pekar ut den registrerade.
De personuppgifter som finns i ett rättsfallsregister får föras över till en stat som inte ingår i EU och heller inte är ansluten till EES.
3.7.7. Fingeravtrycksregister
I 9 § utlänningsdataförordningen anges att Migrationsverket får föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Enligt bestämmelsen får Migrationsverket eller polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.
Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats samt i ärenden om avvisning och utvisning. Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.
En uppgift i registret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.
3.7.8. Landinformationsregister
Migrationsverket får föra ett s.k. landinformationsregister för återsökning av information som lämnats rörande förhållanden i andra länder, se 12 § utlänningsdataförordningen och Lifos informationssystem i avsnitt 5.2.10. Känsliga personuppgifter får endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp. Viss information i Lifos är allmänt tillgänglig, medan annan information omfattas av sekretess.
3.7.9. Rättelse och skadestånd
Bestämmelserna i 28 och 48 §§ PUL om rättelse och om skadestånd tillämpas vid behandling av personuppgifter enligt utlänningsdataförordningen. Bestämmelserna gäller också vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.
3.7.10. Överklagande
Migrationsverkets, Rikspolisstyrelsens eller en polismyndighets beslut om att inte meddela rättelse eller om att inte lämna information som ska lämnas efter ansökan får överklagas hos allmän förvaltningsdomstol.
4. Verksamhet enligt utlännings- och medborgarskapslagstiftningen
4.1. Inledning
I utredningens uppdrag ingår att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Som anges i kommittédirektiven bedrivs verksamhet enligt utlännings- och medborgarskapslagstiftningen främst av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. Någon närmare beskrivning av vilken verksamhet som avses ges inte i kommittédirektivet. Det kan dock antas att handläggning av utlänningsärenden enligt utlänningslagen (2005:716, UtlL) och handläggning av ärenden enligt lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen) hör till sådan verksamhet. Vägledning kan också hämtas från förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen) när det gäller en definition av verksamhet enligt utlännings- och medborgarskapslagstiftningen. Därutöver finns viss verksamhet som har nära koppling till sådan verksamhet som anges ovan.
4.2. Generellt om de handläggande myndigheterna
Enligt 1 § förordningen (2007:996) med instruktion för Migrationsverket är Migrationsverket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asylsökande, återvändande, medborgarskap och återvandring. Migrationsverket ska fullgöra de uppgifter som myndigheten har enligt
utlännings- och medborgarskapslagstiftningen, lagstiftningen om mottagande av asylsökande m.fl. samt andra författningar.
Migrationsverket är också kontaktmyndighet eller ansvarig myndighet inom EU-samarbetet, se 3 § förordningen med instruktion för Migrationsverket. Migrationsverket är till exempel kontaktmyndighet i frågor som rör databasen för identifiering av fingeravtryck, Eurodac, ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden samt kontaktmyndighet i frågor som rör massflyktssituationer enligt 21 kap. UtlL. Vidare är Migrationsverket registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i VIS (se avsnitt 4.3.3). I ansvaret ingår att föra register över all behandling av personuppgifter i VIS och över de personer som är behöriga att föra in eller använda uppgifter i VIS samt vara den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.
Migrationsdomstolarna blir aktuella när någon överklagar Migrationsverkets eller någon annan myndighets beslut som kan överklagas dit. Allmän domstol kan besluta om utvisning på grund av brott.
Polismyndigheten genomför personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Polismyndigheten får i vissa fall besluta om avvisning och verkställer egna beslut om avvisning. Myndigheten verkställer även allmän domstols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning. Polismyndigheten verkställer vidare utlämningar och överlämnanden med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375)om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.
Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden. Myndigheten kan föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i ett sådant säkerhetsärende får överklagas av Säkerhetspolisen. Säkerhetspolisen får vidare enligt 2 § lagen (1991:572) om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket och är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande.
Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller utvisning i säkerhetsärenden enligt lagen om särskild utlänningskontroll.
När det gäller utlandmyndigheterna följer det av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepresentationen att beskickningar och konsulat ska handlägga migrationsärenden enligt EU:s förordningar och utlänningslagstiftningen samt biträda Migrationsverket, Polismyndigheten och Säkerhetspolisen i ärenden enligt utlänningslagstiftningen. Utlandsmyndigheternas främsta uppgift är att utfärda Schengenviseringar. Biträdet till andra myndigheter enligt ovan nämnda förordning kan till exempel innebära att hjälpa Migrationsverket att kontrollera att de uppgifter en asylsökande har lämnat i sin ansökan är korrekta eller om en handling som en utlänning åberopar är äkta. Utlandsmyndigheterna tar också emot ansökningar om uppehållstillstånd och medborgarskap och genomför utredningar i de fall sökanden inte är folkbokförd i Sverige. Även i andra medborgarskapsärenden ska utlandsmyndigheterna medverka i enskilda ärenden på begäran av Migrationsverket.
En närmare beskrivning av myndigheternas verksamhet följer nedan i anslutning till respektive lagstiftning.
4.3. Verksamhet enligt utlänningslagen
4.3.1. Bakgrund
Utlänningars vistelse i Sverige har varit reglerat sedan början av 1900-talet. År 1914 infördes en lag som gjorde det möjligt att avvisa eller utvisa en utlänning som inte ansågs önskvärd. Under och efter första världskriget utfärdades med stöd av lagen en rad författningar som reglerade utlänningars rätt att resa in i och vistas i Sverige. Genom 1917 års passkungörelse infördes till exempel passtvång och krav på visering, dvs. tillstånd till inresa och vistelse under viss tid. Genom 1926 års övervakningskungörelse infördes också krav på att en utlänning som kom hit för att arbeta var tvungen att ha ett arbetstillstånd vid inresan.
Sverige fick sin första utlänningslag år 1928. Lagen innehöll bestämmelser om pass, visering, uppehålls- och arbetstillstånd samt anmälningsskyldighet och bestämmelser om avvisning, utvisning och förpassning. Bestämmelserna på utlänningsområdet har varit under
ständig förändring och efter 1928 har ytterligare fem nya utlänningslagar antagits (1937, 1945, 1954, 1980 och 1989) fram till den nu gällande utlänningslagen (2005:716).
Med 2005 års utlänningslag infördes en ny instans- och processordning i utlännings- och medborgarskapsärenden. Den s.k. Utlänningsnämnden upphörde och överprövningen av Migrationsverkets beslut överfördes till migrationsdomstolarna (dåvarande länsrätterna i Stockholm, Göteborg och Malmö) och en migrationsöverdomstol (Kammarrätten i Stockholm).
Utlänningslagstiftningen har på många sätt påverkats av den internationella utvecklingen på området samt genom EES- och EU-samarbetet. Nedan följer därför en kortfattad beskrivning av några av de internationella åtaganden och överenskommelser som har inflytande över den nationella lagstiftningen samt framväxten av EESsamarbetet och unionsrätten.
4.3.2. Internationella åtaganden och överenskommelser
UNHCR
Efter första världskriget växte behovet av internationellt samarbete för att lösa frågor som rörde flyktingar. Efter ett beslut i FN:s generalförsamling inrättades den 1 januari 1951 FN:s flyktingkommissariat, United Nations High Commissioner for Refugees (UNHCR).
UNHCR:s huvuduppgifter är verksamhet till skydd för flyktingar och biståndsverksamhet. FN:s generalförsamling väljer en flyktingkommissarie, vars uppgift är att bereda skydd åt flyktingar och att försöka hitta varaktiga lösningar i uppkomna flyktingsituationer. När ett frivilligt återvändande inte är möjligt försöker UNHCR lösa det genom att flyktingen ges möjlighet att stanna permanent i det land han eller hon har flytt till eller genom att andra stater tar emot honom eller henne. I Sverige sker sådan vidarebosättning inom ramen för den s.k. flyktingkvoten. UNHCR ger också bland annat ut en handbok om förfarande och kriterier vid fastställande av flyktingars rättsliga ställning, som är en vägledande tolkning av flyktingkonventionen (se nedan) och ett verktyg för alla de länder som ska tillämpa flyktingkonventionen.
Flyktingkonventionen
År 1949 tillsattes inom FN en expertkommitté med uppgift att lämna ett förslag på en flyktingkonvention. Med utgångspunkt i expertgruppens förslag utarbetades vid en diplomatisk konferens i Genève år 1951 en konvention angående flyktingars rättsliga ställning, den s.k. flyktingkonventionen eller Genèvekonventionen.
Genom ett tilläggsprotokoll från 1967 fastställdes att konventionen gäller alla flyktingar oavsett från vilket land de kommer och när i tiden flyktingskapet har uppstått. Konventionen definierar vem som är en flykting och i behov av internationellt skydd samt flyktingars rättigheter och konventionsländernas skyldigheter. I artikel 33 finns till exempel ett förbud mot avvisning eller utvisning till gränsen mot ett område där flyktingen riskerar politisk förföljelse (principen om non-refoulement).
Schengensamarbetet
År 1985 ingick Frankrike, Tyskland och Beneluxstaterna det s.k. Schengenavtalet. Avtalets syfte var att främja den fria rörligheten för personer genom att succesivt avveckla personkontrollerna vid de gemensamma gränserna och att stärka åtgärderna mot internationell kriminalitet och olaglig invandring genom att utveckla det polisiära och rättsliga samarbetet mellan staterna.
Schengensamarbetet innebär att personkontrollerna vid de inre gränserna har upphört. Detta kompenseras bland annat med att medlemsländerna noggrant kontrollerar sina yttre gränser. Med inre
gräns avses medlemsländernas gemensamma landgränser, flygplatser
och hamnar med förbindelser till och från medlemsländerna. Med
yttre gräns menas medlemsländernas övriga landgränser, flygplatser
och hamnar.
År 1990 undertecknade avtalsländerna en tillämpningskonvention, den s.k. Schengenkonventionen. Konventionen innehåller bestämmelser om praktiska åtgärder för att genomföra avvecklingen av personkontrollerna vid de inre gränserna och andra samarbetsåtgärder. Konventionen trädde i kraft 1995. Sverige anslöt sig 1996 och deltar sedan 2001 fullt ut i samarbetet. För närvarande deltar 22 av EU:s 28 länder i Schengensamarbetet, vissa dock endast i begränsad
omfattning. Även Norge, Island, Schweiz och Liechtenstein har anslutit sig till samarbetet.
Dublinkonventionen
Dublinkonventionen var ursprungligen ett folkrättsligt avtal mellan tolv av den Europeiska gemenskapens medlemsstater.
Konventionen tillkom år 1990 och innehåller regler för vilken stat som ska behandla en asylansökan som inlämnats i en medlemsstat. Syftet är att garantera att den asylsökande får sin ansökan prövad i ett land, men också att undvika att ansökan görs och prövas i flera länder samtidigt.
Dublinkonventionen trädde i kraft 1997 och Sverige tillträdde konventionen samma år. Konventionen ersatte då reglerna i Schengenkonventionen om hanteringen av asylansökningar.
Dublinkonventionen har ersatts av Dublinförordningarna, se nedan.
4.3.3. EES och EU
Maastrichtfördraget
Principen om personers fria rörlighet har funnits länge inom EUsamarbetet. Den innebar ursprungligen en fri arbetsmarknad och en fri etableringsrätt för medborgare i EG:s medlemsländer. Genom EU-fördraget, det s.k. Maastrichtfördraget, som trädde i kraft 1993, fördjupades dock samarbetet och bestämmelser om mellanstatligt samarbete om avvecklande av gränskontroller mellan medlemsstater, asylpolitiken, kontrollen vid passage av medlemsstaternas yttergränser och invandringspolitiken gentemot tredjelandsmedborgare infördes.
EES-avtalet
EES-avtalet är ett frihandelsavtal mellan de europeiska länder som i dag utgör EU samt Island, Liechtenstein och Norge.
Sverige anslöt sig till avtalet den 1 januari 1994 och antog därigenom bland annat regler om den inre marknaden med fri rörlighet för varor, tjänster, personer och kapital. Genom att ansluta sig till
avtalet antog Sverige de bestämmelser i Romfördraget som överförts till EES-avtalet och gällande förordningar och direktiv på rättsområdet. Ändringarna avsåg främst rätt till bosättning, anställning, etablering som företagare och studier. De nya bestämmelserna infördes i svensk rätt genom vissa nya lagar och ändringar i utlänningslagen och dess förordning.
Sveriges medlemskap i EU
Sveriges medlemskap i EU den 1 januari 1995 innebar inte några större sakliga förändringar på området för den fria rörligheten. De förordningar som inkorporerats i svensk rätt genom lagstiftning upphävdes och blev i stället direkt tillämpliga. EU-anslutningen innebar också att Sverige förbands av EES-avtalet i egenskap av EU-medlem. Det innebär att Sverige ska tillämpa EES-avtalets regler om fri rörlighet för personer gentemot de EFTA-stater som är medlemmar i EES.
Amsterdamfördraget
Amsterdamfördraget innebar en avgörande förändring avseende personers fria rörlighet inom EU. Fördraget trädde i kraft den 1 maj 1999. Genom fördraget fördes ett antal samarbetsområden över från det mellanstatliga samarbetet i rättsliga och inrikes frågor till gemenskapssamarbetet, bland annat samarbete inom områdena yttre gränskontroller, fri rörlighet för personer, asyl- och invandringspolitik. Amsterdamfördraget innebar också att Schengensamarbetet och Dublinkonventionen införlivades EU:s regelverk.
Utveckling inom området för fri rörlighet
År 2004 ersattes nio olika direktiv som reglerade rätten för EU-medborgare att vistas och arbeta inom unionen med det s.k. rörlighets-
direktivet (Europaparlamentets och Rådets direktiv 2004/38/EG av
den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och
om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG).
Direktivet var avsett att förenkla det tidigare regelverket och kodifiera EU-domstolens praxis på området. Det innehåller samtliga bestämmelser kring unionsmedborgares rättigheter till inresa och vistelse i alla Europeiska unionens medlemsstater. Huvudregeln är att unionsmedborgare ska kunna röra sig fritt mellan medlemsstaterna på samma sätt som vid flyttning inom det egna landet. Med direktivet förenklades kraven för att unionsmedborgare och deras familjer ska kunna få uppehållstillstånd.
Utöver unionens medlemsstater har även Island, Liechtenstein och Norge implementerat rörlighetsdirektivet genom EES-samarbetet. Även Schweiz har implementerat motsvarande, dock något begränsade, bestämmelser genom bilaterala avtal med EU.
Direktivet har genomförts gentemot EES-medborgare genom särskilda bestämmelser i 3 a kap. UtlL. Genom bestämmelserna avskaffades regler om uppehålls- och arbetstillstånd för EES-medborgare och deras anhöriga och en rätt för dessa personer att vistas i Sverige i mer än tre månader utan uppehållstillstånd.
Dublinförordningarna
Dublinkonventionen har ersatts av Rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har gett in i någon medlemsstat, den s.k. Dublin II-förordningen.
Förordningen omarbetades och trädde i kraft i ny form den 1 januari 2014 genom Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat, Dublin III-
förordningen. I förordningen fastställs kriterier för när en stat är
ansvarig för asylprövningen. Kriterierna ska tillämpas i den ordning som de anges i förordningen och är kopplade till bland annat om den asylsökande har beviljats visum eller uppehållstillstånd av ett
annat land som omfattas av Dublinförordningen, om personen rest in utan tillstånd eller om han eller hon redan har ansökt om asyl i ett annat land.
För att förbättra kontrollen av om en asylprocess redan har påbörjats eller avslutats i en annan medlemsstat infördes Eurodac (ett europeiskt automatiserat system för jämförelser av asylsökandes fingeravtryck) år 2003. Systemet regleras i dag i Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
Utbyggnad av Schengensamarbetet
Som ovan nämns innebar Amsterdamfördraget att Schengenregelverket införlivades med EU-rätten.
Inom Schengensamarbetet fanns tidigare en gemensam handbok för personers passage av de yttre gränserna. Eftersom det rådde tveksamhet kring handbokens rättsliga status fick kommissionen i uppdrag att lämna ett förslag till omarbetning av handboken. Omarbetningen resulterade i ett förslag till en gränskodex som omfattade bestämmelser om all gränspassage för personer över yttre och inre gränser. Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) trädde i kraft den 13 oktober 2006.
Bestämmelserna i kodex om Schengengränserna och dess bilagor består till stora delar av omarbetade bestämmelser från den gemensamma handboken och från delar av Schengenkonventionen. Genom kodexen om Schengengränserna infördes ett gemensamt regelverk för passage av EU:s yttre gränser. I kodexen slås också fast att det
inte ska förekomma någon gränskontroll av personer vid de inre gränserna mellan EU:s medlemsstater.
På viseringsområdet inrättandes år 2004 ett gemensamt europeiskt system för utbyte av viseringsinformation genom rådets beslut 2004/512/EG av den 8 juni 2004 om inrättande av Informationssystemet för viseringar (VIS). Enligt beslutet ska systemet användas för utbyte av uppgifter om viseringar mellan medlemsstaterna och göra det möjligt för behöriga nationella myndigheter att föra in och uppdatera viseringsuppgifter och ha tillgång till dessa uppgifter på elektronisk väg. Informationssystemet ska bestå av ett centralt informationssystem (Centrala informationssystemet för viseringar, CS VIS) och ett system i varje medlemsstat (Nationella gränssnittet, NI VIS).
VIS regleras i dag genom Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) som trädde i kraft i september 2008. De övergripande målen med förordningen var att förbättra genomförandet av den gemensamma viseringspolitiken och förenkla samarbetet mellan de nationella viseringsmyndigheterna. Systemet ska bland annat underlätta handläggningen av viseringsansökningar, förebygga kringgåendet av reglerna för vilken medlemsstat som har ansvaret för att pröva en ansökan, underlätta kampen mot bedrägerier och kontrollen vid de yttre gränserna och inom medlemsstaternas territorium.
VIS-förordningen innehåller allmänna bestämmelser om syfte, tillämpningsområde och mål, definitioner, vilka uppgiftskategorier som ska registreras i VIS, åtkomst till uppgifterna för att föra in, ändra, radera eller inhämta uppgifter i systemet, andra viseringsmyndigheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna. Den fastställer också vilka rättigheter den registrerade har, regler för dataskydd och tillsyn, villkoren för viseringsmyndigheterna att använda uppgifterna i VIS och förfaranden för utbytet av uppgifter mellan medlemsstaterna för att underlätta prövningen av viseringsansökningar och beslut som fattas i anslutning till dessa. Förordningen innehåller vidare en s.k. broklausul, som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott.
I juli 2009 antogs Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemenskapskodex om viseringar (viseringskodex). Genom viseringskodexen samlades de bestämmelser som avser utfärdande av viseringar i en och samma förordning.
Enligt artikel 1 i kodexen är syftet med förordningen att inrätta förfaranden och villkor för utfärdande av viseringar för transitering genom medlemsstaternas territorium eller för planerade vistelser på medlemsstaternas territorium som inte varar längre än tre månader under en sexmånadersperiod. Bestämmelserna ska tillämpas på alla tredjelandsmedborgare som är skyldiga att inneha visering när de passerar medlemsstaternas yttre gränser. Förordningen innehåller bland annat bestämmelser om vilka myndigheter som är behöriga att pröva och besluta om viseringar och om vilken medlemsstat som är behörig att pröva och besluta om en ansökan. Det finns även bestämmelser om upptagande av biometriska kännetecken, exempelvis fingeravtryck och fotografi, i samband med en viseringsansökan.
Asylpolitiken utvecklas
I samband med Amsterdamfördraget enades EU-staterna om att unionens asylsystem skulle grundas på en tillämpning av FN:s flyktingkonvention och dess protokoll. Arbetet med att få till stånd ett gemensamt europeiskt asylsystem har intensifierats de senaste tio åren.
I direktivet 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta (massflyktsdirektivet) regleras under vilka förutsättningar som Europeiska unionens råd kan besluta att en massflyktssituation föreligger. I sådana fall kan medlemsländerna bevilja tillfälligt skydd åt personer som är i behov av skydd. Bestämmelser om tillfälligt skydd finns i 21 kap. UtlL.
År 2003 antog rådet direktivet 2003/86/EG av den 22 september 2003 om rätt till familjeåterförening (familjeåterföreningsdirektivet). Direktivet innehåller minimiregler för rätten till familjeåterförening. Bestämmelserna gäller tredjelandsmedborgare som har haft uppehållstillstånd i minst ett år i ett medlemsland och som har välgrundade
utsikter att få ett permanent uppehållstillstånd. En sådan person ska ha rätt att återförenas med sin make, maka eller minderåriga barn. Direktivet stadgar en skyldighet för medlemsstaterna att bevilja uppehållstillstånd till sådana familjemedlemmar.
Europaparlamentets och rådets direktiv 2013/33/EU av den 26 juni 2013 om normer för mottagande av personer som ansöker om internationellt skydd (mottagandedirektivet) är omförhandlat efter det ursprungliga direktivet från 2003. Det innehåller miniminormer för hur asylsökande ska tas emot och även vissa rättigheter som exempelvis rätten till information, barns rätt till skolgång och asylsökandes rätt till nödvändig hälso- och sjukvård.
Som ett led i strävandet efter en gemensam asylpolitik med flyktingkonventionen som grund antog Europeiska rådet direktiv 2004/83/EG den 29 april 2004 om miniminormer för när tredjelandsmedborgare eller statslösa personer ska betraktas som flyktingar eller som personer som av andra skäl behöver internationellt skydd samt om dessa personers rättsliga ställning och om innehållet i det beviljade skyddet (skyddsgrundsdirektivet). Direktivet har ersatts av Europaparlamentets och rådets direktiv 2011/95/EU av den 13 december 2011 om normer för när tredjelandsmedborgare eller statslösa personer ska berättigas till internationellt skydd (det om-
arbetade skyddsgrundsdirektivet). Direktivet innehåller regler för en
enhetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande, och för innehållet i det beviljade skyddet. I direktivet fastslås på vilka grunder en person som söker asyl ska anses berättigad till internationellt skydd. Definitionen av begreppet flykting motsvarar den som finns i flyktingkonventionen, med undantag för att definitionen i direktivet enbart omfattar tredjelandsmedborgare och statslösa. Utöver flyktingkonventionens definition av vem som är en flykting omfattas också alternativt skyddsbehövande. Direktivet inför också en enhetlig status för flyktingar eller personer som uppfyller kraven för att betecknas som alternativt skyddsbehövande; flyktingsstatusförklaring respektive alternativ skyddsstatusförklaring, och för innehållet i det beviljade skyddet. Det omfattar bland annat bestämmelser om skydd mot avvisning, sammanhållning av familjer, uppehållstillstånd som ska beviljas snarast möjligt efter beslutet om status, resedokument, tillträde till arbetsmarkanden och till utbildning.
Bestämmelserna införlivades i svensk rätt genom ändringar i utlänningslagen år 2010.
År 2005 antogs Rådets direktiv 2005/85/EG av den 1 december 2005 om miniminormer för medlemsstaternas förfaranden för beviljande eller återkallande av flyktingstatus (asylprocedurdirektivet). Direktivet har upphävts och ersatts med Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (det
omarbetade asylprocedurdirektivet). Syftet med direktivet är att
fastställa gemensamma förfaranden för beviljande och återkallande av flyktingsstatus. Direktivet innehåller regler för hur en asylansökan ska prövas. Det finns bland annat bestämmelser om att det ska finnas en myndighet som ansvarar för en korrekt prövning av ansökningar enligt direktivet samt att myndigheten ska förses med de resurser som krävs för en korrekt prövning, exempelvis personal med ändamålsenligt utbildning. Direktivet innehåller vidare vissa rättigheter för den sökande, till exempel rätten att stanna kvar i medlemsstaten tills beslut i ärendet fattas, rätt till ett skriftligt beslut och, i förekommande fall, motiverat avslagsbeslut med överklagandehänvisningar.
Europaparlamentets och rådets direktiv 2008/115/EG av den 16 december 2008 om gemensamma normer och förfaranden för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna (återvändandedirektivet) innehåller gemensamma regler för vad som ska gälla när en person som har fått avslag på sin ansökan ska lämna landet. Bestämmelserna medför bland annat att personer som ska avvisas eller utvisas och som inte lämnar Sverige inom föreskriven tid får ett återreseförbud som gäller alla Schengenstater. Återreseförbudet får överstiga fem år om tredjelandsmedborgaren utgör ett allvarligt hot mot allmän ordning, allmän säkerhet eller nationell säkerhet. Direktivet innehåller också bestämmelser om förvar.
4.3.4. Utlänningslagen
Utlänningslagen innehåller nationella bestämmelser som rör utlänningars rätt att resa in i, vistas och arbeta i Sverige samt att söka asyl här. I lagen anges också under vilka förutsättningar som en utlänning kan avvisas eller utvisas ur landet. Med utlänning avses i utlänningslagen den som inte är svensk medborgare enligt medborgarskapslagen.
Utlänningslagens bestämmelser om rätt till inresa, vistelse och arbete utgör grunden för den s.k. kallade generella utlänningskontrollen. Utlänningslagen reglerar också förutsättningarna för s.k. individuell utlänningskontroll, dvs. möjligheten att hindra enskilda utlänningar som inte uppfyller lagens villkor att vistas i landet. En sådan utlänning kan avvisas eller utvisas enligt bestämmelser i 8 kap. UtlL.
4.3.5. Villkor för att en utlänning ska få resa in, vistas och arbeta i Sverige
Krav på pass
Bestämmelser om en utlännings inresa, vistelse och arbete i Sverige finns i 2 och 3 kap. UtlL.
En utlänning som reser in i eller vistas i Sverige ska ha pass, se 2 kap. 1 § UtlL. Möjlighet finns dock till utfärdande av främlingspass för den som inte har någon handling som gäller som pass och som saknar möjlighet att skaffa en sådan handling. Passkravet gäller inte för utlänning som är medborgare i en Schengenstat eller för en medborgare i Danmark, Finland, Island eller Norge. Med Schengen-
stat avses i utlänningslagen en stat som har tillträtt eller anslutit sig
till Schengenkonventionen samt Island, Norge, Schweiz och Liechtenstein. I 2 kap.1–2 §§utlänningsförordningen (2006:97, UtlF) finns ytterligare undantag från passkravet, bland annat för utlänningar som har permanent uppehållstillstånd eller som har beviljats uppehållstillstånd med tillfälligt skydd.
Visering
Visering är ett tillstånd att resa in i och vistas i Sverige upp till tre månader. Enligt 2 kap. 3 § UtlL ska en utlänning som reser in i Sverige ha Schengenvisering eller nationell visering.
Som anges ovan har Sveriges deltagande i Schengensamarbetet medfört gemensamma bestämmelser för visering för hela Schengenområdet. Schengenviseringen är numera den normala formen för visering. Enligt 3 kap. 1 § UtlL finns villkor för beviljande av Schengenvisering i viseringskodexen. Villkoren för utfärdande av en Schengenvisering regleras uttömmande i viseringskodexen, som även
hänvisar till de inresevillkor som uppställs i kodex om Schengengränserna. De viseringar som Schengenländerna utfärdar gäller i hela Schengenområdet. Med en Schengenvisering kan en tredjelandsmedborgare således resa in i ett Schengenland och sedan fritt resa omkring i hela Schengenområdet.
Om det finns särskilda skäl får nationell visering beviljas (3 kap. 4 § UtlL). En nationell visering gäller endast i Sverige och får endast beviljas för längre tid än tre månader.
Det finns en rad undantag från visumtvånget som ger möjlighet för vissa personer, till exempel EES-medborgare, att resa in i och uppehålla sig i Sverige i tre månader utan visering.
Uppehållstillstånd
En utlänning som vistas i Sverige mer än tre månader ska ha uppehållstillstånd, se 2 kap. 5 § UtlL. Ett uppehållstillstånd är ett tillstånd att vistas i Sverige under viss tid (tidsbegränsat uppehållstillstånd) eller utan tidsbegränsning (permanent uppehållstillstånd). Uppehållstillstånd kan beviljas av olika skäl, till exempel för att en utlänning är i behov av skydd eller på grund av arbete, studier, besök eller för att bedriva näringsverksamhet, se 5 kap. UtlL.
Från kravet på uppehållstillstånd gäller undantag för en utlänning som är medborgare i något av de nordiska länderna, som har uppehållsrätt eller som har visering för längre tid än tre månader. Med
uppehållsrätt avses en rätt för EES-medborgare och deras familje-
medlemmar att vistas i Sverige i mer än tre månader utan uppehållstillstånd. Förutsättningarna för uppehållsrätt regleras i 3 a kap. UtlL.
Flyktingar, alternativt skyddsbehövande och övriga skyddsbehövande som befinner sig i Sverige har rätt till uppehållstillstånd, se 5 kap. 1 § UtlL. Ett sådant uppehållstillstånd ska som huvudregel vara permanent eller gälla minst tre år. En flykting får dock vägras uppehållstillstånd om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säkerhet att låta honom eller henne stanna i Sverige. Detsamma gäller om utlänningen har bedrivit verksamhet som inneburit fara för rikets säkerhet och det finns anledning att anta att han eller hon skulle fortsätta verksamheten här.
Med asyl menas uppehållstillstånd som beviljas en utlänning för att han eller hon är flykting eller alternativt skyddsbehövande, se 1 kap. 3 § UtlL. I utlänningslagen definieras flykting som en utlänning som befinner sig utanför det land som han eller hon är medborgare i därför att han eller hon känner välgrundad fruktan för förföljelse på grund av ras, nationalitet, religiös eller politisk uppfattning eller på grund av kön, sexuell läggning eller annan tillhörighet till en viss samhällsgrupp och som inte kan, eller på grund av sin fruktan inte vill, begagna sig av detta lands skydd, se 4 kap. 1 § UtlL. Detta gäller oberoende av om förföljelsen utgår från landets myndigheter eller om myndigheterna inte kan antas bereda trygghet mot förföljelse från enskilda. Som flykting anses även en utlänning som är statslös och av samma skäl som anges ovan befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelseort och inte kan, eller på grund av sin fruktan inte vill, återvända dit.
I vissa fall kan en person som inte är flykting enligt lagens definition beviljas asyl som alternativt skyddsbehövande, se 4 kap. 2 § UtlL. Så är fallet om utlänningen befinner sig utanför det land som han eller hon är medborgare i för att det finns grundad anledning att anta att utlänningen vid ett återvändande till hemlandet skulle löpa risk att straffas med döden eller utsättas för kroppsstraff, tortyr eller annan omänsklig eller förnedrande behandling eller bestraffning eller som civilperson löper en allvarlig och personlig risk att skadas på grund av urskillningslöst våld med anledning av en yttre eller inre väpnad konflikt. Det förutsätts också att utlänningen inte kan, eller på grund av risken inte vill, begagna sig av hemlandets skydd. Det saknar även här betydelse om det är landets myndigheter som är ansvariga för att utlänningen löper denna risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Motsvarande regler gäller också för statslös utlänning som befinner sig utanför det land där han eller hon tidigare har haft sin vanliga vistelseort.
En utlänning som inte uppfyller kraven för att anses som flykting eller alternativt skyddsbehövande kan beviljas uppehållstillstånd som övrig skyddsbehövande, se 4 kap. 2 a § UtlL. Det förutsätts då att utlänningen befinner sig utanför det land där han eller hon är medborgare för att han eller hon behöver skydd på grund av en yttre eller inre väpnad konflikt, eller på grund av andra svåra mot-
sättningar i hemlandet känner välgrundad fruktan för att utsättas för allvarliga övergrepp. Även detta gäller oberoende av om det är landets myndigheter som är ansvariga för att utlänningen löper en sådan risk eller om myndigheterna inte kan antas erbjuda trygghet mot att utlänningen utsätts för sådan risk genom handlingar från enskilda. Även den som inte kan återvända till sitt hemland på grund av en miljökatastrof betraktas som övrig skyddsbehövande.
En utlänning är utesluten från att anses som flykting om det finns synnerlig anledning att anta att han eller hon har gjort sig skyldig till brott mot freden, krigsförbrytelse eller brott mot mänskligheten, ett grovt icke-politiskt brott utanför Sverige innan han eller hon kom hit eller gärningar som strider mot FN:s syften och grundsatser enligt inledningen och artiklarna 1 och 2 i FN:s stadga, se 4 kap. 2 b § UtlL. Detsamma gäller den som har anstiftat eller på annat sätt deltagit i förövandet av sådana brott eller gärningar. Liknande regler gäller för alternativt skyddsbehövande och övrig skyddsbehövande enligt 4 kap. 2 c § UtlL.
En utlänning som med stöd av skyddsskäl ansökt om uppehållstillstånd ska förklaras vara flykting, alternativt skyddsbehövande eller övrigt skyddsbehövande om han eller hon omfattas av utlänningslagens definitioner enligt ovan. Detta kallas flyktingstatusförklaring, alternativ skyddsstatusförklaring eller övrig skyddsstatusförklaring, se 4 kap. 3 och 3 a §§ UtlL.
En utlänning får dock vägras sådan flyktingstatusförklaring om han eller hon genom ett synnerligen grovt brott har visat att det skulle vara förenat med allvarlig fara för allmän ordning och säkerhet att låta honom eller henne stanna i Sverige eller har bedrivit verksamhet som inneburit fara för rikets säkerhet och det finns anledning att anta att han eller hon skulle fortsätta verksamheten här. Liknande regler gäller för alternativ eller övrig skyddsstatusförklaring.
Tillfälligt skydd
I 21 kap. UtlL finns bestämmelser om tillfälligt skydd enligt Rådets direktiv 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta.
En utlänning som omfattas av ett beslut om tillfälligt skydd enligt direktivet och som i enlighet därmed överförs till eller tas emot i Sverige ska ges ett tidsbegränsat uppehållstillstånd, ett s.k. uppehållstillstånd med tillfälligt skydd. Om ett uppehållstillstånd med tillfälligt skydd har getts till en person får ett sådant tillstånd också ges till en nära anhörig till en sådan person.
Uppehållstillstånd med tillfälligt skydd får vägras utlänningen endast om det föreligger sådana omständigheter som innebär att en utlänning är utesluten från att vara flykting eller en flykting får vägras uppehållstillstånd.
Tribunalvittnen
22 kap. UtlL innehåller bestämmelser om skydd för personer som vittnat eller kommer att vittna i förhandlingar inför en internationell domstol eller tribunal, med vilken Sverige har ingått avtal om sådant skydd samt för deras nära anhöriga. En internationell domstol eller tribunal kan göra en framställan om omplacering av vittne eller nära anhörig till vittne. Om framställan bedöms vara berättigad ska utlänningen meddelas ett tidsbegränsat uppehållstillstånd om minst ett år.
Arbetstillstånd
Arbetstillstånd är ett tillstånd att arbeta i Sverige, se 2 kap. 7 § UtlL. En utlänning som ska arbeta i Sverige på grund av anställning här eller utomlands ska ha arbetstillstånd. Det finns en mängd undantag från kravet på arbetstillstånd, till exempel för nordiska medborgare och EES-medborgare. I 6 a kap. UtlL finns särskilda bestämmelser om uppehålls- och arbetstillstånd för högkvalificerad anställning, s.k. EU-blåkort.
Avvisning och utvisning
I 8 kap. UtlL finns bestämmelser om avvisning och utvisning, dvs. åtgärder för att avlägsna en utlänning som saknar tillstånd att vistas i Sverige. Avvisning är ett avlägsnandebeslut som meddelas inom tre månader efter den första ansökan om uppehållstillstånd efter utlänningens ankomst till Sverige. En utlänning som inte är EES-medborgare får till exempel avvisas från Sverige om han eller hon saknar pass när ett sådant krävs för inresa. Utvisning innebär ett avlägsnandebeslut som meddelas efter tre månader efter ansökan. För utvisning på grund av brott finns särskilda regler i 8 a kap. UtlL.
Regler om avlägsnande i annan lagstiftning
Utlänningslagen reglerar inte uttömmande i vilka fall utlänningar får avlägsnas ur landet. Särskilda bestämmelser om utvisning finns i lagen (1991:572) om särskild utlänningskontroll. Enligt den lagen får regeringen utvisa en utlänning om det behövs med hänsyn till rikets säkerhet (s.k. politisk utvisning) eller det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott (s.k. presumtiv terrorist).
En utlänning får avlägsnas ur landet på annat sätt än genom avvisning eller utvisning. Av 23 kap. 2 § första stycket UtlL framgår att regeringen får meddela föreskrifter om att sända hem utlänningar som inte är flyktingar och som har tagits om hand enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Vidare finns i annan lagstiftning bestämmelser om utlämning för brott och om överförande till annat land för verkställighet. Det regleras i första hand i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.
Kontroll av personer enligt kodexen om Schengengränserna
I 9 kap. UtlL finns bestämmelser om kontroll av personer enligt kodexen om Schengengränserna.
Av 9 kap. 2 § UtlL följer att en polisman i samband med inresekontroll enligt kodexen om Schengengränserna får kroppsvisitera en utlänning och undersöka hans eller hennes bagage, handresgods, handväskor och liknande, i den utsträckning som det är nödvändigt för att ta reda på utlänningens identitet. Av paragrafen följer vidare att sådana undersökningar också får göras för att ta reda på en utlännings resväg till Sverige, om den är av betydelse för bedömningen av rätten att resa in i och vistas här i landet. En polisman får i samband med inresekontrollen även undersöka bagageutrymmen och övriga slutna utrymmen i bilar och andra transportmedel i syfte att förhindra att en utlänning reser in i Sverige i strid med bestämmelserna i kodexen om Schengengränserna.
Av 9 kap. 8 § UtlL följer att Migrationsverket eller Polismyndigheten får fotografera en utlänning och, om utlänningen fyllt 14 år ta hans eller hennes fingeravtryck i vissa fall, bland annat om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.
Även den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta bland annat en polisman ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet, se 9 kap. 8 c § UtlL. Enligt samma paragraf gäller även sådan skyldighet för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.
Förvar och uppsikt
I 10 kap. UtlL finns bestämmelser om frihetsberövande i form av förvar. En utlänning som har fyllt 18 år får tas i förvar till exempel om det är nödvändigt för att en utredning om utlänningens rätt att stanna i Sverige ska kunna genomföras eller om det är av olika skäl är sannolikt att utlänningen kommer att avvisas eller utvisas. I stället
för att tas i förvar kan en utlänning enligt 10 kap. 6 § UtlL ställas under uppsikt. Uppsikt innebär att utlänningen är skyldig att på vissa tider anmäla sig hos Polismyndigheten eller hos Migrationsverket. Utlänningen kan också åläggas att lämna ifrån sig sitt pass eller annan legitimationshandling.
4.3.6. Handläggande myndigheter enligt utlänningslagen
Migrationsverket
Migrationsverket har huvudansvaret för den generella utlänningskontrollen. Som ovan nämnts är verket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asylsökande, återvändande, medborgarskap och återvandring. Nedan följer en översiktlig beskrivning av Migrationsverkets ansvarsområden enligt utlänningslagen och dess förordning.
Om en utlänning saknar pass och inte heller har möjlighet att skaffa något kan Migrationsverket utfärda främlingspass för honom eller henne, se 2 kap. 1 a § UtlL.
Schengenvisering handläggs och beslutas som huvudregel hos svensk ambassad eller konsulat i det land sökanden är bosatt eller av polismyndighet vid yttre gräns. Även Migrationsverket har dock enligt 3 kap. 5 § UtlL möjlighet att besluta om sådan visering. Utlandsmyndigheterna och Polismyndigheten vid yttre gräns är behöriga att återkalla och upphäva Schengenviseringar. Det följer dock av 7 kap. 8 § UtlL att även Migrationsverket har behörighet att återkalla och upphäva sådana viseringar.
Beslut om nationell visering får meddelas av Migrationsverket och Regeringskansliet, se 3 kap. 5 § UtlL. En återkallelse av en nationell visering beslutas av den myndighet som har beviljat viseringen eller av Migrationsverket, se 7 kap. 8 § UtlL. En visering som beviljats av Regeringskansliet får dock endast återkallas av Regeringskansliet.
Migrationsverket beslutar vidare i frågor om statusförklaring enligt 4 kap. UtlL och i ärenden om ställning som varaktigt bosatt i Sverige enligt 5 a kap. UtlL.
Det är Migrationsverket som beslutar om en ansökan om uppehållstillstånd ska beviljas eller avslås, se 5 kap. 20 § UtlL. Migrationsverket beslutar också om eventuell återkallelse av sådant tillstånd,
se 7 kap. 8 § UtlL. Beslut om uppehållstillstånd får också meddelas av Regeringskansliet. Ett sådant tillstånd får endast återkallas av Regeringskansliet.
Migrationsverket meddelar beslut om arbetstillstånd och återkallelse av sådant tillstånd, se 6 kap. 5 och 7 kap. 8 §§ UtlL. Verket prövar även frågor rörande s.k. EU-blåkort enligt 6 a kap. UtlL.
Det följer av 8 kap. 17 § UtlL att det är endast Migrationsverket som kan pröva frågan om avvisning i de fall en utlänning söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. De sistnämnda bestämmelserna avser avvisning eller utvisning av utlänning som har avvisats eller utvisats från en EU-stat eller från Island, Norge, Schweiz eller Liechtenstein på grund av allvarligt hot mot allmän ordning och inre säkerhet eller beslutet om avvisning eller utvisning har grundats på att utlänningen inte har följt gällande bestämmelser om en utlännings inresa eller vistelse i den staten eller när det framställts en begäran om avvisning från den centrala utlänningsmyndigheten i ett nordiskt land. I andra fall får både Migrationsverket och Polismyndigheten pröva frågan om avvisning. Om Polismyndigheten anser det tveksamt om en utlänning bör avvisas, ska ärendet lämnas över till Migrationsverket.
Migrationsverket ska pröva frågan om utvisning i de fall det rör sig om en utlänning som inte är EES-medborgare eller familjemedlem till en EES-medborgare och som uppehåller sig här men saknar pass eller de tillstånd som krävs för att få uppehålla sig i landet, se 8 kap. 18 § UtlL. Verket ska också handlägga frågan om utvisning när det gäller en EES-medborgare eller en familjemedlem till en EES-medborgare som har vistats i Sverige mer än tre månader och som inte har uppehållsrätt, men som uppehåller sig här och saknar de tillstånd som krävs för att få uppehålla sig i landet. Slutligen prövar verket frågan om utvisning av en EES-medborgare eller en familjemedlem till en EES-medborgare av hänsyn till allmän ordning och säkerhet.
När det gäller förvar eller uppsikt fattas beslut av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Migrationsverket är handläggande myndighet från det att verket tar emot ett ärende som verket ska pröva och till dess verket fattar beslut eller utlänningen har lämnat landet eller Polismyndigheten har tagit emot ärendet eller, om Migrationsverkets beslut överklagas, till dess ärendet tas emot av migrationsdomstolen. Verket är också hand-
läggande myndighet från det att verket tar emot ett beslut om avvisning eller utvisning för verkställighet och till dess att beslutet har verkställts eller ärendet lämnas över till polismyndigheten. I fråga om beslut som gäller omedelbart är, även om beslutet överklagas, Migrationsverket handläggande myndighet till dess domstolen meddelar beslut om inhibition.
Polismyndigheten
Polismyndigheten ansvarar för kontroll av personer enligt kodexen om Schengengränserna, se 9 kap. 1 § UtlL. Av samma paragraf följer att Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid en sådan kontroll och att Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid sådan kontroll. Kustbevakningen ska dessutom medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken. Vilka kontroller som en polisman och andra får vidta i samband med inresekontroll enligt kodexen om Schengengränserna följer av 9 kap. 2 § UtlL och har behandlas ovan.
Polismyndigheten är även ansvarig för inre utlänningskontroll. Enligt Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre utlänningskontroll alla handlingar som syftar till att kontrollera om en utlänning har rätt att uppehålla sig i landet. Enligt 9 kap. 9 § UtlL är till exempel en utlänning som vistas i Sverige skyldig att på begäran av en polisman överlämna pass eller andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige. Utlänningen är också skyldig att efter kallelse av Migrationsverket eller Polismyndigheten komma till verket eller myndigheten och lämna uppgifter om sin vistelse här i landet. Om utlänningen inte gör det, får han eller hon hämtas genom Polismyndighetens försorg.
Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. Om kontrollen utövas av Kustbevakningen ska pass eller andra handlingar överlämnas till tjänstemannen vid Kustbevakningen. Kontroller får dock endast vidtas om det finns grundad anledning att anta att utlänningen saknar rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll.
Som ovan anges får endast Migrationsverket pröva frågan om avvisning om utlänningen söker asyl här, har en nära familjemedlem som söker asyl här eller kan komma att avvisas med stöd av 8 kap. 2 § 6 eller 3 § andra stycket UtlL. I andra fall får både Migrationsverket och Polismyndigheten pröva frågan om avvisning.
Polismyndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvisning på grund av brott. Migrationsverket får överlämna till Polismyndigheten att verkställa en avvisning eller utvisning om den som ska avvisas eller utvisas håller sig undan och inte kan anträffas utan Polismyndighetens medverkan eller om det kan antas att tvång kommer att behövas för att verkställa beslutet.
I fråga om förvar och uppsikt fattas beslut, som ovan anges, av den myndighet eller domstol som handlägger ärendet, se 10 kap. 12 § UtlL. Polismyndigheten är handläggande myndighet från det att en utlänning begär att få resa in i landet och till dess att ett ärende som ska prövas av Migrationsverket tas emot av verket eller utlänningen har lämnat landet. Polismyndigheten är vidare handläggande myndighet när den tar emot ett beslut om avvisning eller utvisning för verkställighet och till dess att verkställighet har skett, även om ärendet är föremål för prövning på grund av hinder mot verkställighet enligt 12 kap. 18–20 §§ UtlL. Det gäller emellertid inte under den tid då beslutet inte får verkställas på grund av ett beslut om inhibition eller ny prövning. Även om Polismyndigheten inte är handläggande myndighet får den fatta beslut om att ta en utlänning i förvar eller ställa honom eller henne under uppsikt, om det inte finns tid att avvakta den handläggande myndighetens beslut. Ett sådant beslut ska skyndsamt anmälas till den myndighet som handlägger ärendet och myndigheten ska omedelbart pröva om beslutet om förvar eller uppsikt ska fortsätta att gälla. Att en polisman i vissa fall får omhänderta en utlänning i avvaktan på Polismyndighetens beslut om förvar framgår av 11 § polislagen (1984:387).
I 3 kap. UtlL finns bestämmelser om visering. Efter viseringskodexens införande regleras frågan om vilka myndigheter som beslutar om Schengenvisering inte i utlänningslagen utan i viseringskodexen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Enligt artikel 4.2 får dock viseringsansökningar vid medlemsstaternas yttre gränser prövas och beslutas av de myndigheter som ansvarar för person-
kontroller. Det innebär att Polismyndigheten vid yttre gräns har behörighet att handlägga och besluta i viseringsärenden.
Säkerhetspolisen
Migrationsverkets beslut i fråga om avvisning, utvisning, uppehållstillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende får överklagas av Säkerhetspolisen, se 14 kap. 11 § UtlL. Med säkerhetsärenden avses enligt 1 kap. 7 § UtlL ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlännings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en utlänning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas. Vidare är ett ärende hos Migrationsverket om huruvida ny prövning ska beviljas enligt 12 kap. 19 eller 19 a § utlänningslagen ett säkerhetsärende om beslutet om avvisning eller utvisning har fattats i ett säkerhetsärende.
Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden enligt utlänningslagen, se 12 kap. 14 § UtlL. Säkerhetspolisen kan också som handläggande myndighet fatta beslut om förvar eller uppsikt, se 10 kap. 12 § första stycket och 10 kap. 13 § tredje stycket UtlL.
Utlandsmyndigheterna
Med utlandsmyndigheter avses beskickningar, delegationer vid internationella organisationer och karriärkonsulat, se 1 kap. 2 § förordningen (2014:115) med instruktion för utrikesrepresentationen. Utlandsmyndigheterna bildar tillsammans med Utrikesdepartementet utrikesförvaltningen. En beskickning är en ambassad eller legation. Sverige hade i mars 2014 89 ambassader. Vid internationella organisationer som till exempel EU i Bryssel och FN i New York har Sverige delegationer eller representationer. Deras huvudsakliga uppgift
är att företräda Sverige och bevaka Sveriges intressen inom organisationernas arbete och rapportera om verksamheten, varför de inte torde vara aktuella för denna utredning. Ett karriärkonsulat är ett konsulat som leds av en utsänd tjänsteman. På karriärkonsulaten arbetar utsänd personal från UD. Konsulatens huvuduppgift är bland annat att stödja svenska exportföretag, främja utländska investeringar i Sverige och hjälpa nödställda svenska medborgare, men de utfärdar också viseringar, uppehålls- och arbetstillstånd för utländska medborgare som vill besöka eller arbeta i Sverige. Sverige har sju karriärkonsulat. Utlandsmyndigheterna är i administrativt hänseende direkt underställda Regeringskansliet (Utrikesdepartementet).
Utlandsmyndigheterna ska ta emot ansökan om främlingspass, om utlänningen inte befinner sig i Sverige, se 2 kap. 15 § UtlF. Av 4 kap. 20 § UtlF följer att en ansökan om uppehållstillstånd av en utlänning som inte befinner sig i Sverige ges in till och utreds av en svensk beskickning eller ett svenskt konsulat. Motsvarande regler gäller för ansökan om arbetstillstånd, se 5 kap. 8 § UtlF.
Som ovan nämns finns bestämmelser om visering i 3 kap. UtlL. Efter viseringskodexens införande regleras hanteringen av Schengenviseringar i viseringskodexen och VIS-förordningen. Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Prövning av och beslut om viseringsansökningar regleras i artiklarna 18–23 viseringskodexen. Av 3 kap. 10 § UtlF följer att om en svensk beskickning eller ett svenskt konsulat överväger att avslå en ansökan om Schengenvisering på grund av att sökanden anses vara ett hot mot medlemsstaternas allmänna ordning, inre säkerhet eller folkhälsa får ansökan överlämnas till Migrationsverket för prövning. Överlämnande får också ske i annat fall, om det finns särskild anledning till det.
Migrationsverket får ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar, se 3 kap. 12 § UtlF. Vidare får Regeringskansliet (Utrikesdepartementet) ge en svensk beskickning eller ett svenskt konsulat rätt att bevilja nationella viseringar inom departementets ansvarsområde.
Migrationsdomstol
I 14 kap. UtlL finns bestämmelser om överklagande av en förvaltningsmyndighets beslut. De allra flesta beslut som fattas med stöd av utlänningslagens bestämmelser kan överklagas till migrationsdomstol. Exempelvis får Migrationsverkets beslut överklagas till en migrationsdomstol, om beslutet innebär avvisning eller utvisning, avslag på en ansökan om upphävande av allmän domstols beslut om utvisning på grund av brott, avslag på en ansökan om uppehållstillstånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige eller återkallelse av ett uppehållstillstånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige, se 14 kap. 3 § UtlL. Även Migrationsverkets beslut i säkerhetsärenden enligt utlänningslagen överklagas till migrationsdomstol. I kapitlet finns också bestämmelser om överklagande av beslut avseende bland annat avslag på ansökan om Schengenvisering eller om upphävande eller återkallelse av Schengenvisering, avslag på ansökan om nationell visering eller återkallelse av nationell visering, förvar och uppsikt. Även dessa beslut överklagas till migrationsdomstol. Undantag gäller för Polismyndighetens eller Migrationsverkets beslut om kostnadsansvar eller särskild avgift, som ska överklagas till allmän domstol, se 14 kap. 14 § UtlL.
Förvaltningsrätterna i Stockholm, Göteborg, Malmö och Luleå är migrationsdomstolar, se 6 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. Förfarandet i migrationsdomstolarna är som huvudregel skriftligt och de flesta mål avgörs efter föredragning, se 16 kap. 5 § UtlL. Muntlig förhandling får hållas bland annat när det kan antas vara till fördel för utredningen eller främja ett snabbt avgörande av målet. Muntlig förhandling ska med vissa undantag hållas om utlänningen begär det.
När Migrationsverkets beslut överklagas omprövar verket först sitt beslut. Om omprövningen inte leder till ändring av beslutet går överklagandet vidare till migrationsdomstolen. Prövningen i migrationsdomstolarna sker i form av en tvåpartsprocess. Migrationsverket får ställning av part och är den enskildes motpart i domstolsprocessen.
En migrationsdomstols beslut kan överklagas till Migrationsöverdomstolen, dvs. Kammarrätten i Stockholm, se 16 kap. 1 och 9 §§ UtlL. För prövning i Migrationsöverdomstolen krävs prövningstillstånd, se 16 kap. 11 § UtlL. Vissa undantag från kravet på
prövningstillstånd finns i 16 kap. 11 § andra stycket UtlL. Migrationsöverdomstolens beslut får inte överklagas.
Allmän domstol
Beslut om utvisning på grund av brott enligt 8 a kap. UtlL fattas av den domstol som handlägger brottmålet.
Regeringskansliet
Enligt 3 kap. 5 § UtlL får Regeringskansliet besluta om nationell visering. I 5 § Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1) anges för vilka kategorier av personer Regeringskansliet kan besluta om visering. Det gäller bland annat främmande staters beskickningsmedlemmar, konsuler och deras familjemedlemmar.
Av 5 kap. 20 § tredje stycket UtlL framgår att Regeringskansliet i vissa fall får besluta om uppehållstillstånd. Av ovan angivna föreskrifter framgår att Regeringskansliet får besluta om uppehållstillstånd för bland annat beskickningsmedlemmar, konsuler och deras familjemedlemmar. Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet, se 7 kap. 8 § UtlL.
Regeringen beslutar vilka kategorier av personer som, utöver dem som omfattas av Europeiska unionens råds beslut, får ges uppehållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL.
4.4. Verksamhet enligt medborgarskapslagen
4.4.1. Medborgarskapslagen
I lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen) och medborgarskapsförordningen (2001:218) regleras förvärv och förlust av svenskt medborgarskap samt befrielse från svenskt medborgarskap.1 I lagens 2−13 §§ anges på vilka sätt en person kan
1 Se senaste lagändringarna trädde i kraft den 1 april 2015 (SFS 2014:481).
förvärva svenskt medborgarskap. Barn till svenska medborgare får på vissa villkor svenskt medborgarskap vid födelsen eller genom adoption, se 2 och 4 §§ medborgarskapslagen. I lagen finns också bestämmelser om att ett barn som är utländsk medborgare eller statslös efter anmälan kan förvärva svenskt medborgarskap, se 6, 7 och 10 §§ medborgarskapslagen. Exempelvis förvärvar ett barn som inte är svensk medborgare medborgarskap genom anmälan om barnet har permanent uppehållstillstånd i Sverige och hemvist här i landet sedan tre år eller, om barnet är statslöst, två år. Om barnet har fyllt tolv år krävs barnets samtycke.
Enligt 11 § medborgarskapslagen kan en utlänning som fyllt 18 år efter ansökan beviljas svenskt medborgarskap (naturalisation) om han eller hon har styrkt sin identitet, har permanent uppehållstillstånd i Sverige och hemvist här i landet sedan ett visst antal år beroende på befintligt medborgarskap. Utlänningen ska också ha haft och förväntas komma att ha ett hederligt levnadssätt. Även om kraven i bestämmelsen inte är uppfyllda kan en utlänning ändå beviljas svenskt medborgarskap om sökanden tidigare har varit svensk medborgare, sökanden är gift eller sambo med en svensk medborgare eller det annars finns särskilda skäl till det, se 12 § medborgarskapslagen. En sökande som inte kan styrka sin identitet kan få svenskt medborgarskap endast om han eller hon har haft hemvist i Sverige sedan minst åtta år och gör sannolikt att den uppgivna identiteten är riktig.
En svensk medborgare kan under de förutsättningar som anges i 14 § medborgarskapslagen förlora sitt medborgarskap eller efter ansökan befrias från sitt medborgarskap, se 15 § medborgarskapslagen.
För medborgare i Danmark, Finland, Island och Norge och övriga EES-länder finns särskilda bestämmelser i 16−20 §§ medborgarskapslagen. En nordisk medborgare kan till exempel förvärva svenskt medborgarskap efter anmälan har fyllt arton år, har hemvist i Sverige sedan fem år och under denna tid inte har dömts till frihetsberövande påföljd.
4.4.2. Handläggande myndigheter enligt medborgarskapslagen
Ärenden enligt medborgarskapslagen prövas som huvudregel av Migrationsverket. Verket beslutar i ärenden om anmälan enligt 5– 9 §§ medborgarskapslagen, ansökan om naturalisation enligt 11–13 §§ medborgarskapslagen, ansökan om bibehållande av svenskt medborgarskap enligt 14 § andra stycket medborgarskapslagen, ansökan om befrielse från svenskt medborgarskap enligt 15 § medborgarskapslagen samt ansökan om förklaring om svenskt medborgarskap enligt 21 § medborgarskapslagen. Undantag gäller för vissa anmälningar som gäller en medborgare i Danmark, Finland, Island eller Norge. Sådana anmälningar prövas av länsstyrelsen.
Ansökningar om svenskt medborgarskap ska som huvudregel ges in till Migrationsverket. Om sökanden inte är folkbokförd i Sverige ska ansökan emellertid ges in till en svensk beskickning eller ett svenskt karriärkonsulat inom vars verksamhetsområde sökanden är bosatt, se 5 § medborgarskapsförordningen. En ansökan om naturalisation som gäller en utlänning som är under 15 år och adopterad av en svensk medborgare ska dock alltid ges in till Migrationsverket.
I de fall anmälan eller ansökan görs till en beskickning eller konsulat utomlands görs den utredning som behövs för ärendets prövning där. Handlingarna i ärendet ska därefter sändas till Migrationsverket för beslut, se 7 och 8 §§medborgarskapsförordningen. I övrigt utreder Migrationsverket de ärenden som verket ska pröva.
När någon har förvärvat svenskt medborgarskap eller en ansökan om bibehållande av svenskt medborgarskap, ansökan om befrielse från svenskt medborgarskap eller ansökan om förklaring om att någon är svensk medborgare har bifallits ska den beslutande myndigheten eller domstolen skyndsamt underrätta Skatteverket om beslutet, se 9 § medborgarskapsförordningen. Även den svenska beskickning eller det svenska karriärkonsulat som har tagit emot anmälan eller ansökan ska underrättas. I underrättelsen ska även anges de barn som har förvärvat svenskt medborgarskap genom beslutet.
När någon har förvärvat svenskt medborgarskap genom anmälan eller naturalisation ska Migrationsverket eller länsstyrelsen utfärda bevis om svenskt medborgarskap, se 10 § medborgarskapsförordningen.
Migrationsverkets och länsstyrelsernas beslut enligt medborgarskapslagen överklagas till migrationsdomstol. I säkerhetsärenden överklagas dock Migrationsverkets beslut till regeringen, se 27 § medborgarskapslagen. Ett säkerhetsärende är ett ärende där Säkerhetspolisen hos Migrationsverket har föreslagit att ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i säkerhetsärenden får överklagas även av Säkerhetspolisen.
Enligt 28 § medborgarskapslagen ska en socialnämnd på begäran av regeringen, Migrationsverket, en migrationsdomstol, Migrationsöverdomstolen eller Säkerhetspolisen lämna ut uppgifter om en utlännings personliga förhållanden om uppgifterna behövs i ett ärende om svenskt medborgarskap.
4.5. Verksamhet enligt nuvarande utlänningsdataförordning m.m.
Som angetts ovan anges inte i kommittédirektiven vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Viss vägledning kan dock sökas i den nuvarande utlänningsdataförordningen. Enligt 1 § gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. I bestämmelsen definieras därefter vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen, nämligen:
1. verksamhet som gäller utlänningars vistelse i och avlägsnande från
landet,
2. verksamhet som gäller utlänningars rätt att arbeta i landet,
3. mottagande av asylsökande och vissa andra utlänningar,
4. verksamhet som rör bistånd och stöd till utlänningar som enligt
lag eller annan författning handläggs av Migrationsverket,
5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt
medborgarskap och
6. verksamhet som gäller ersättning för och bosättning av utlänning-
ar som enligt lag eller annan författning handläggs av Migrationsverket.
I detta avsnitt beskrivs annan verksamhet enligt utlännings- och medborgarskapslagstiftningen än sådan verksamhet som följer av utlänningslagen och medborgarskapslagen med utgångspunkt i den nuvarande utlänningsdataförordningens definition.
4.5.1. Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet
Utöver de bestämmelser i utlänningslagen som beskrivits ovan finns regler om utvisning i lagen om särskild utlänningskontroll. Enligt 1 § lagen om särskild utlänningskontroll får en utlänning utvisas ur landet om det är särskilt påkallat av hänsyn till rikets säkerhet. Det får också ske om det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott.
Beslut om utvisning enligt lagen om särskild utlänningskontroll meddelas av Migrationsverket, se 2 § lagen om särskild utlänningskontroll. Frågan om utvisning tas upp på ansökan av Säkerhetspolisen. Polismyndigheten eller Migrationsverket kan göra en anmälan till Säkerhetspolisen om myndigheten anser det finns anledning att anta att ett beslut om utvisning bör meddelas.
Om utlänningen vid Säkerhetspolisens ansökan redan har ansökt om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt, ska ansökningarna handläggas tillsammans enligt bestämmelserna i nu aktuell lag. Detsamma gäller om utlänningen ansöker om uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt under handläggningen av ärendet om utvisning.
Migrationsverkets beslut som rör utvisning, uppehållstillstånd, statusförklaring, resedokument eller ställning som varaktigt bosatt får överklagas till regeringen, se 2 a § lagen om särskild utlänningskontroll. I övrigt får beslut som meddelas av en förvaltningsmyndighet överklagas endast i de fall som anges i lagen. Säkerhetspolisen
får överklaga Migrationsverkets beslut, om beslutet kan överklagas och går Säkerhetspolisen emot.
Om Migrationsverkets utvisningsbeslut överklagas ska verket skyndsamt lämna över handlingarna i ärendet till Migrationsöverdomstolen, se 3 § lagen om särskild utlänningskontroll. Migrationsöverdomstolen ska i sin tur lämna handlingarna vidare till regeringen tillsammans med ett eget yttrande. Migrationsöverdomstolen ska bland annat yttra sig om huruvida det finns hinder mot att beslutet verkställs. Ett sådant hinder kan till exempel vara att det finns skälig anledning att anta att utlänningen i det land utvisning ska ske till skulle vara i fara att straffas med döden eller att utsättas för kroppsstraff, tortyr eller annan eller omänsklig behandling eller bestraffning. Finner Migrationsöverdomstolen att sådant hinder mot verkställighet finns, får regeringen inte avvika från den bedömningen.
Det är som huvudregel Säkerhetspolisen som verkställer beslut om utvisning och förvar enligt lagen om särskild utlänningskontroll.
I 2 a § lagen (2006:304) om rättsprövning av vissa regeringsbeslut finns en bestämmelse om rätt för EES-medborgare och deras familjemedlemmar att hos Högsta förvaltningsdomstolen ansöka om rättsprövning av ett beslut om utvisning enligt lagen om särskild utlänningskontroll. I lagen finns också bestämmelser om förvar och uppsikt i samband med beslut om utvisning.
Bestämmelser om avlägsnande finns även i lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling. Beslut enligt den först nämnda lagen fattas i vissa fall av regeringen, annars av Högsta domstolen. Överlämnande enligt europeisk eller nordisk arresteringsorder beslutas av tingsrätten. Utlämning enligt sistnämnda lag får i vissa fall beslutas av Polismyndigheten, annars av en förvaltningsrätt. Det är Polismyndigheten som verkställer utlämningar och överlämningar med stöd av ovan nämnda författningar.
4.5.2. Verksamhet som gäller utlänningars rätt att arbeta i Sverige
Utlänningars rätt att arbeta i Sverige regleras i utlänningslagen och dess förordning samt föreskrifter som meddelats med stöd av dessa författningar (se avsnitt 4.3.5).
Undantag gäller för anställning av utlänning på svenskt fartyg i utrikes trafik. Av lagen (1989:532) om tillstånd till anställning på fartyg följer att utlänning som inte har permanent uppehållstillstånd eller är medborgare i ett nordiskt land ska ha anställningstillstånd. Kravet på anställningstillstånd gäller inte för en utlänning som är medborgare i en stat inom EES.
Anställningstillstånd lämnas och återkallas av Arbetsförmedlingen. Tillstånd får dessutom lämnas av den sjöarbetsförmedling som utses av regeringen eller av den myndighet som regeringen bestämmer, och av de svenska utlandsmyndigheter som Utrikesdepartementet bestämmer.
4.5.3. Mottagande av asylsökande och vissa andra utlänningar och verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket
Lagen om mottagande av asylsökande m.fl.
I lagen (1994:137) om mottagande av asylsökande m.fl. (LMA) finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. Ytterligare föreskrifter ges i förordningen (1994:361) om mottagande av asylsökande m.fl. Bestämmelserna i lagen gäller enligt 1 § första stycket för tre kategorier av utlänningar:
1. utlänningar som har ansökt om uppehållstillstånd i Sverige som
flykting eller som annan skyddsbehövande eller motsvarande enligt äldre bestämmelser (asylsökande),
2. utlänningar som har beviljats uppehållstillstånd med tillfälligt
skydd eller uppehållstillstånd efter tillfälligt skydd med stöd av utlänningslagens bestämmelser och som inte är folkbokförda här i landet eller
3. utlänningar som har ansökt om uppehållstillstånd i Sverige och av
särskilda skäl medgetts rätt att vistas här medan ansökan prövas.
I lagen finns också särskilda bestämmelser om mottagande av barn under 18 år som vid ankomsten till Sverige är skilda från båda sina föräldrar eller från någon annan vuxen person som får anses ha trätt i föräldrarnas ställe eller som efter ankomsten står utan sådan ställföreträdare, dvs. ensamkommande barn.
Migrationsverket har huvudansvaret för mottagandet av de utlänningar som tillhör kategori 1 och 2 ovan. Verket ska driva förläggningar och de utlänningar som myndigheten ansvarar för ska erbjudas plats på en sådan förläggning. Oavsett om utlänningen utnyttjar en erbjuden plats eller inte ska han eller hon registreras vid en förläggning. Migrationsverket ansvarar därefter för att bistånd lämnas i enlighet med bestämmelserna i LMA. När det gäller ensamkommande barn ska Migrationsverket i stället anvisa en kommun som ska ordna boendet.
För de utlänningar som tillhör den tredje kategorin ska biståndet lämnas av socialnämnden i den kommun där utlänningen vistas.
Migrationsverket ska i lämplig omfattning ge de utlänningar de ansvarar för sysselsättning genom att de får tillfälle att delta i svenskundervisning, i skötseln av förläggningar och i annan verksamhet som bidrar till att göra vistelsen meningsfull.
En utlänning som tillhör de första två kategorierna och som är registrerad vid en förläggning har rätt till bistånd. Bistånd lämnas i form av logi, bostadsersättning, dagersättning och särskilt bidrag. En utlänning som tillhör den tredje kategorin har rätt till bidrag i form av dagersättning och särskilt bistånd.
Migrationsverkets eller socialnämndens beslut enligt LMA får överklagas till allmän förvaltningsdomstol. Migrationsverkets beslut om anvisning av ensamkommande barn får emellertid inte överklagas.
En kommun som har lämnat bidrag enligt LMA har rätt till ersättning från staten för biståndet.
Bidrag till resor
Enligt 1 § förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land får Migrationsverket besluta om statligt bidrag till utlänningar som önskar lämna Sverige och bosätta sig i ett annat land. Migrationsverket får vidare enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige besluta om bidrag av allmänna medel för kostnader för resa till Sverige för vissa anhöriga till en flykting. Bidrag får lämnas till resa för anhörig som har sammanlevt med flyktingen utanför Sverige och som är make eller maka eller ogift barn under 20 år, förälder eller syskon till den som är minderårigt barn, om det med hänsyn till barnets behov föreligger särskilda skäl, annan person som under längre tid under äktenskapsliknande former har sammanlevt med flyktingen och andra anhöriga om det finns det finns synnerliga skäl.
Förordning om återetableringsstöd för vissa utlänningar
Av förordningen (2008:778) om återetableringsstöd för vissa utlänningar följer att Migrationsverket efter ansökan får besluta om statligt bidrag, återetableringsstöd, till en utlänning under vissa förutsättningar. Det gäller om utlänningen har fått avslag på en ansökan om uppehållstillstånd som flykting, alternativt skyddsbehövande eller övrig skyddsbehövande eller motsvarande äldre bestämmelser och utlänningen avser att självmant återvända till ett land eller en del av ett land som på grund av svåra motsättningar har mycket begränsade förutsättningar för återetablering av återvändande. Som krav gäller också att det framstår som sannolikt att utlänningen kommer att tas emot i det land han eller hon avser att återvända till.
Förordning om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet
Förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare som vistas vid mottagningsenhet innehåller bestämmelser om särskild dagersättning till nyanlända invandrare som deltar i aktiviteter enligt en etableringsplan enligt lagen (2010:197)
om etableringsinsatser för vissa nyanlända invandrare när de vistas vid en mottagningsenhet hos Migrationsverket. Särskild dagersättning lämnas till de som saknar egna medel för sin dagliga livsföring. Sådan ersättning lämnas under högst 30 dagar från det att ersättning enligt LMA inte längre betalas ut.
Migrationsverket prövar om särskild dagersättning ska betalas ut.
Bidragsbrottslagen och lagen om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen
Ytterligare en lag som medför personuppgiftsbehandling för Migrationsverket är bidragsbrottslagen (2007:612). Lagen gäller sådana bidrag, ersättningar, pensioner och lån för personligt ändamål (ekonomiska förmåner) som enligt lag eller förordning beslutas av bland annat Migrationsverket. Den som lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott. Myndigheten ska göra anmälan till Polismyndigheten eller till Åklagarmyndigheten om det kan misstänkas att brott enligt lagen har begåtts.
Av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen följer att det finns en skyldighet för vissa myndigheter, däribland Migrationsverket, att underrätta den myndighet som fattat ett beslut om utbetalning om det finns anledning att anta att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp.
4.5.4. Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap
Verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap regleras uttömmande i medborgarskapslagen och dess förordning (se avsnitt 4.4).
4.5.5. Verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrationsverket
Förordning om statlig ersättning för flyktingmottagande m.m.
I förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. ges bestämmelser om statlig ersättning till kommuner och landsting för mottagande av och insatser för skyddsbehövande och vissa andra utlänningar som före utgången av november år 2010 först togs emot i en kommun. Ersättning enligt förordningen lämnas för utlänningar som har överförts till Sverige med stöd av ett särskilt regeringsbeslut, utlänningar som har fått uppehållstillstånd och som har tagits emot i kommunen efter att ha varit registrerade vid en förläggning för asylsökande, andra utlänningar som har fått uppehållstillstånd som flykting, alternativt skyddsbehövande, övrig skyddsbehövande eller på grund av synnerligen ömmande omständigheter eller motsvarande äldre bestämmelser. Ersättning lämnas också för utlänningar som har fått uppehållstillstånd på grund av sin anknytning till en utlänning enligt ovan och ansökt om uppehållstillstånd inom två år från det att den person som han eller hon har anknytning till först togs emot i en kommun.
Ersättningen beslutas och betalas ut av Migrationsverket. En schablonersättning betalas ut med utgångspunkt i utlänningens ålder. Rätt till ersättning har kommuner som genomför ett program för utlänningens introduktion i samhället. Ett sådant program ska bland annat innehålla utbildning i svenska för invandrare.
En kommun har rätt till ersättning för vissa särskilda kostnader, bland annat för ekonomiskt bistånd och stöd och hjälp i boendet och för särskilda boendeformer för service och omvårdnad enligt socialtjänstlagen (2001:453) samt för hälso- och sjukvård. Rätt till ersättning finns också för insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, assistansersättning enligt socialförsäkringsbalken, kostnader för bostadsanpassningsbidrag enligt lagen (1992:1574) om bostadsanpassningsbidrag m.m. samt kostnader för hälso- och sjukvård på grund av en sjukdom eller ett funktionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlänningens situation som skyddsbehövande. En kommun har vidare rätt till ersättning för vissa kostnader för ensamkommande barn.
Ett landsting har rätt till ersättning för kostnader för hälso- och sjukvård av en utlänning och som på grund av en sjukdom eller ett funktionshinder som utlänningen hade när han eller hon först togs emot i en kommun eller som annars har ett direkt samband med utlänningens situation som skyddsbehövande måste beredas varaktig vård som ordinerats av läkare. Därutöver får Migrationsverket lämna ersättning till kommuner och landsting för betydande extraordinära kostnader för flyktingmottagande.
Som ovan nämnts gäller förordningen personer som togs emot före den 1 december 2010. Kommuner och landsting kan söka ersättning för kostnader under tillståndsåret och följande tre år. År 2014 är således det sista år som ansökan kan göras enligt förordningen. Rätten att ansöka om ersättning för kostnader för ensamkommande barn, kostnader för personer med varaktigt behov av vård och kostnader för personer som saknar arbetsförmåga kvarstår dock. För de utlänningar som tagits emot från den 1 december 2010 och framåt gäller i stället förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, se nedan.
Förordning om statlig ersättning för insatser för vissa utlänningar
Förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar innehåller bestämmelser om statlig ersättning till kommuner, landsting och kommunalförbund för mottagande av och insatser för vissa utlänningar.
En kommun som har träffat en överenskommelse om mottagande för bosättning av nyanlända utlänningar enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare har rätt till en årlig grundersättning. Vidare har en kommun som tagit emot skyddsbehövande eller vissa andra utlänningar för bosättning rätt till schablonersättning, ersättning för initiala kostnader för ekonomiskt bistånd, ersättning för ekonomiskt bistånd, stöd och service samt hälso- och sjukvård och ersättning för mottagande av ensamkommande barn. Ersättning lämnas också, i mån av tillgång på medel, för vissa särskilda kostnader, vissa hyreskostnader, extraordinära kostnader för vårdinsatser, insatser för att skapa beredskap och mottagningskapacitet samt för att utveckla samverkan
och för att stärka och utveckla verksamhet med flyktingguider och familjekontakter.
Landstingen har rätt till ersättning för vissa hälso- och sjukvårdskostnader för skyddsbehövande och vissa andra utlänningar.
Länsstyrelserna prövar frågor om och betalar ut ersättning till kommuner och kommunalförbund för insatser för att skapa beredskap och tillräcklig mottagningskapacitet för utlänningar samt för att utveckla samverkan mellan kommuner och mellan kommuner och andra organ i syfte att underlätta etableringen i samhället. Länsstyrelsen i Jönköpings län prövar frågor om och betalar ut ersättning till kommuner för att stärka och utveckla verksamheten med flyktingguider och familjekontakter som riktas i huvudsak till nyanlända utlänningar. I övrigt är det Migrationsverket som prövar och betalar ut ersättning enligt förordningen.
I de fall Migrationsverkets beslut får överklagas ska överklagande ske hos allmän förvaltningsdomstol.
Förordning om statlig ersättning för hälso- och sjukvård till asylsökande
Enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande har landsting, kommuner och öppenvårdsapotek rätt till statlig ersättning för kostnader för hälso- och sjukvård samt kostnader för tandvård och receptförskrivna läkemedel som de har för vissa utlänningar. Ersättning enligt förordningen beslutas och betalas av Migrationsverket.
Ersättning får ges för hälso- och sjukvård som lämnas till utlänningar enligt 1 § första stycket 1 och 2 LMA. Ersättning ges också för personer som fyllt arton år för omedelbar vård och vård som inte kan anstå, mödrahälsovård, förlossningsvård, preventivmedelsrådgivning, vård vid abort, vård och åtgärder enligt smittskyddslagen (2004:168) samt omedelbar tandvård och tandvård som inte kan anstå.
För personer som inte fyllt arton år samt för vissa andra ges ersättning för hälso- och sjukvård samt tandvård. Ersättning ges också för en hälsoundersökning för utlänning som avses i 1 § första stycket 1 och 2 LMA och som är registrerad hos Migrationsverket.
Öppenvårdsapotek har rätt till ersättning av staten för receptförskrivna läkemedel för vissa utlänningar.
I de fall Migrationsverkets beslut får överklagas ska överklagande ske hos allmän förvaltningsdomstol.
Förordning om statlig ersättning för asylsökande m.fl.
Bestämmelser om kommuners och landstings rätt till statlig ersättning för vissa kostnader för asylsökande och vissa andra utlänningar finns i förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Ersättning enligt förordningen beslutas och betalas av Migrationsverket.
Migrationsverket ska träffa överenskommelser med kommuner om mottagande av ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Överenskommelserna får avse dels mottagande av barn som Migrationsverket ska anvisa till kommunen enligt LMA, dels tillfälligt mottagande av barn i avvaktan på att barnet kan anvisas en kommun. En kommun som träffat en överenskommelse har rätt till en årlig ersättning om 500 000 kronor.
En kommun har rätt till ersättning för bistånd som den har betalat enligt LMA och för vissa transporter av asylsökande. En kommun har vidare rätt till ersättning för kostnader för utbildning för barn och för barn som går på förskola eller inte genomgår någon utbildning. Rätt till ersättning föreligger också bland annat i vissa fall för vård, stödinsatser eller bistånd som ges med stöd av socialtjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall. Vidare har en kommun rätt till ersättning för kostnader för god man till ensamkommande barn som omfattas av 1 § första stycket 1 och 2 LMA. Därutöver får Migrationsverket lämna ersättning till kommuner som haft betydande extraordinära kostnader för personer som avses i 1 § LMA.
Ett landsting har rätt till ersättning för kostnader för den hälso- och sjukvård som det lämnat till personer som vistas här med stöd av ansökan eller beslut om tidsbegränsat uppehållstillstånd enligt 5 kap. 15 § UtlL.
Migrationsverkets beslut överklagas till allmän förvaltningsdomstol.
4.6. Övrig verksamhet
Det finns även annan verksamhet på utlänningsområdet som har nära koppling till den verksamhet som beskrivs ovan. Här följer exempel på sådan verksamhet.
4.6.1. Migrationsverket
Sverige är ett av de länder som erbjuder FN:s flyktingorgan UNHCR en årlig flyktingkvot. Regeringen fastställer årligen ramarna för vidarebosättning till Sverige och storleken på den svenska flyktingkvoten fattas genom budgetpropositionen. År 2014 var den svenska flyktingkvoten 1 900 personer. Det är Migrationsverket som har uppdraget att svara för vidarebosättning av flyktingar och andra skyddsbehövande. Urvalet sker antingen genom s.k. delegationsuttagning eller genom dossieruttagning. Delegationsuttagning innebär att utsända från Migrationsverket intervjuar flyktingar och skyddsbehövande på plats i det land där de befinner sig. Vid dossieruttagning skickar UNHCR sin utredning till Migrationsverket som fattar beslut utifrån detta underlag.
Som ovan nämns är Migrationsverket ansvarig och attesterande myndighet gentemot Europeiska kommissionen i frågor som rör den europeiska flyktingfonden och den europeiska återvändandefonden. Europeiska flyktingfonden tillkom efter Rådets beslut 2000/596/EG av den 28 september 2000. Genom detta beslut inrättades Europeiska flyktingfonden för perioden 1 januari 2005−31 december 2010. Genom Europaparlamentets och rådets beslut 573/2007/EG av den 23 maj 2007 om inrättande av Europeiska flyktingfonden inrättades en europeisk flyktingfond för perioden 2008–2013. Syftet med fonden är att verka för en gemensam solidarisk politik mellan EU:s medlemsländer och att bidra till uppbyggnaden av ett gemensamt asylsystem. Fonden stöder projekt som vänder sig till asylsökande, flyktingar och skyddsbehövande. Flyktingfonden III startade under 2008 och pågick till 2013. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015.
Den s.k. återvändandefonden inrättades genom Europaparlamentets och rådets beslut nr 575/2007/EG av den 23 maj 2007 om inrättande av Europeiska återvändandefonden för perioden 2008– 2013 som en del av det allmänna programmet ”Solidaritet och hante-
ring av migrationsströmmar”. Projekt som beviljas fondmedel från programår 2013 kan pågå fram till 30 juni 2015. Fonden finansierar projekt som handlar om självmant återvändande, tvångsvis återvändande och frivillig återvandring i syfte att förbättra förhållanden för asylsökande som väljer att återvända självmant innan asylärendet har avgjorts, personer med permanent uppehållstillstånd som flyktingar eller skyddsbehövande och som frivilligt vill återvandra och personer som har fått avslag på sin ansökan och återvänder frivilligt eller med tvång.
4.6.2. Arbetsförmedlingen och Försäkringskassan
Lagen om etableringsinsatser för vissa nyanlända invandrare
Lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare innehåller bestämmelser om insatser som har till syfte att underlätta och påskynda vissa nyanlända invandrares etablering i arbets- och samhällslivet. Insatserna ska enligt 1 § ge de nyanlända förutsättningar för egenförsörjning och stärka deras aktiva deltagande i arbets- och samhällslivet. Bestämmelserna i lagen gäller nyanlända invandrare i viss ålder som beviljats uppehållstillstånd enligt vissa i lagen angivna bestämmelser.
Arbetsförmedlingen är ansvarig för att samordna etableringsinsatser enligt lagen och vara stödjande och pådrivande i förhållande till berörda parter. Även länsstyrelserna har skyldighet att främja samverkan mellan berörda kommuner och myndigheter, företag och organisationer som anordnar aktiviteter för nyanlända. Varje kommun är skyldig att se till att nyanlända erbjuds samhällsorientering.
Arbetsförmedlingen ska upprätta en individuell plan med insatser för att underlätta och påskynda den nyanländes etablering, en s.k. etableringsplan. Etableringsplanen ska utformas tillsammans med den nyanlände och i samverkan med berörda kommuner, myndigheter, företag och organisationer. Planen ska minst innehålla utbildning i svenska för invandrare eller motsvarande utbildning för den som har rätt att delta i sådan utbildning enligt skollagen (2010:800), samhällsorientering och aktiviteter för att underlätta och påskynda den nyanländes etablering i arbetslivet.
En nyanländ som deltar i aktiviteter enligt en etableringsplan har rätt till etableringsersättning och under vissa förutsättningar även
etableringstillägg och bostadsersättning. Detsamma gäller en nyanländ som medverkar till upprättandet av en etableringsplan och som inte har rätt till bistånd enligt LMA.
Kommuner som har haft kostnader till följd av åtaganden enligt lagen har rätt till ersättning enligt förordningen om statlig ersättning för insatser för vissa utlänningar (se avsnitt 4.5.5).
Förordning om ersättning till vissa nyanlända invandrare
Förordningen (2010:407) om ersättning till vissa nyanlända invandrare innehåller föreskrifter om ersättning enligt lagen om etableringsinsatser för vissa nyanlända invandrare. Den som medverkar i upprättandet av en etableringsplan och som deltar i aktiviteter enligt planen har rätt till etableringsersättning. En nyanländ som har rätt till etableringsersättning har också rätt till etableringstillägg om han eller hon har hemmavarande barn. En nyanländ som har rätt till etableringsersättning och som är ensamstående utan hemmavarande barn har rätt till bostadsersättning.
Frågor om etableringsersättning prövas av Arbetsförmedlingen. Försäkringskassan prövar frågor om etableringstillägg och bostadsersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning.
Förordning om mottagande för bosättning av vissa nyanlända invandrare
Förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare innehåller bland annat bestämmelser om anvisning av bosättning för vissa nyanlända invandrare. Med nyanländ avses en person som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare, dock utan begränsning till viss ålder.
Det åligger Migrationsverket att beräkna mottagningsbehovet, dvs. hur många nyanlända som omfattas av lagens tillämpningsområde och som har behov av plats för bosättning i en kommun under det kommande året. Arbetsförmedlingen ska, efter samråd med länsstyrelserna och Migrationsverket, fastställa en fördelning av mottagningsbehovet i varje län (länstal). Länsstyrelsen ska träffa
överenskommelser med kommuner inom länet om mottagande för bosättning av nyanlända.
Arbetsförmedlingen ska, när det finns behov, anvisa bosättning i en kommun till en nyanländ som har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare, om uppehållstillstånd har beviljats på annan grund än enligt 5 kap. 2 § UtlL, dvs. en utlänning som tagits emot i Sverige inom ramen för ett beslut som regeringen har meddelat om överföring av skyddsbehövande till Sverige, s.k. vidarebosättning. Anvisning får också göras innan det är klarlagt att den nyanlände har rätt till en etableringsplan. Den nyanlände ska anvisas en kommun som har träffat överenskommelse med en länsstyrelse om mottagande för bosättning.
Migrationsverket ska anvisa bosättning i en kommun till nyanlända som har beviljats uppehållstillstånd enligt 5 kap. 2 § UtlL. Detsamma gäller nyanlända som inte har rätt till en etableringsplan enligt lagen om etableringsinsatser för vissa nyanlända invandrare och som har behov av anvisning för bosättning i en kommun.
Förordning om etableringssamtal och etableringsinsatser för vissa nyanlända invandrare
Förordningen (2010:409) om etableringssamtal och etableringsinsatser för vissa nyanlända invandrare innehåller föreskrifter om etableringssamtal samt om etableringsinsatser och anordnares uppgiftsskyldighet enligt lagen om etableringsinsatser för vissa nyanlända invandrare. Arbetsförmedlingen ska genomföra etableringssamtal med en nyanländ snarast möjligt efter det att han eller hon har beviljats uppehållstillstånd. Vid etableringssamtalet ska Arbetsförmedlingen kartlägga den nyanländes utbildningsbakgrund, tidigare arbetslivserfarenhet, behov av utbildning och andra insatser samt andra förhållanden av betydelse för hans eller hennes etablering på arbetsmarknaden. Etableringssamtalet ska även omfatta frågan om framtida boende. När den nyanlände har tagits emot för bosättning i en kommun ska Arbetsförmedlingen upprätta en etableringsplan för en nyanländ.
Anordnare av aktiviteter för nyanlända ska till Arbetsförmedlingen lämna de uppgifter som är av betydelse för tillämpningen av lagen om etableringsinsatser för vissa nyanlända invandrare och förordningen. Om det behövs ska Migrationsverket lämna uppgifter
till Arbetsförmedlingen i fråga om en nyanländs utbildningsbakgrund, tidigare arbetslivserfarenhet och andra uppgifter av betydelse för den nyanländes etablering på arbetsmarknaden.
4.6.3. Kommuner
Lagen om samhällsorientering för vissa nyanlända invandrare
I lagen (2013:156) om samhällsorientering för vissa nyanlända invandrare finns bestämmelser om kommuners ansvar att erbjuda samhällsorientering för vissa nyanlända invandrare. Lagen gäller inte nyanlända som omfattas av lagen om etableringsinsatser för vissa nyanlända invandrare. Varje kommun ska erbjuda samhällsorientering till de nyanlända invandrare som är folkbokförda i kommunen och som omfattas av lagen. Kommunen ska aktivt verka för att nå de nyanlända i kommunen som har rätt till samhällsorientering och motivera dem att delta i samhällsorienteringen. Förordningen (2010:1138) om samhällsorientering för vissa nyanlända invandrare innehåller föreskrifter om den samhällsorientering som varje kommun ska se till att nyanlända invandrare erbjuds enligt lagen om etableringsinsatser för vissa nyanlända invandrare och lagen om samhällsorientering för vissa nyanlända invandrare. Samhällsorienteringen syftar till att underlätta de nyanländas etablering i arbets- och samhällslivet och ska ge en grundläggande förståelse för det svenska samhället och en grund för fortsatt kunskapsinhämtande. Målet ska vara att deltagarna utvecklar kunskap om de mänskliga rättigheterna och de grundläggande demokratiska värderingarna, den enskildes rättigheter och skyldigheter i övrigt, hur samhället är organiserat och praktiskt vardagsliv.
Förordning om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl.
Förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl. reglerar utbildning inom det offentliga skolväsendet för barn och ungdomar som avses i 1 § första stycket LMA. Det är barn och ungdomar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skydds-
behövande eller motsvarande äldre bestämmelser, har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd och som inte är folkbokförda här i landet eller har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas. I förordningen ges vidare föreskrifter om utbildning inom det offentliga skolväsendet för barn och ungdomar som inte är folkbokförda här i landet och som vistas här enligt ett beslut om tidsbegränsat uppehållstillstånd. I förordningen regleras också förskoleverksamhet och skolbarnsomsorg. Barn som omfattas av bestämmelserna ska anvisas plats i förskoleklass och ha rätt att få utbildning i grundskolan, den obligatoriska särskolan, specialskolan och sameskolan på samma villkor som barn som är bosatta i Sverige, med den skillnaden att rätten inte medför någon skolplikt. Ungdomar ska som huvudregel erbjudas utbildning i gymnasieskolan och gymnasiesärskolan på samma villkor som ungdomar som är bosatta i Sverige.
Hemkommunen ska svara för att utbildning, förskoleverksamhet och skolbarnsomsorg enligt denna förordning kommer till stånd. Med hemkommun avses den kommun där barnet vistas.
4.6.4. Landsting
Lagen om hälso- och sjukvård åt asylsökande m.fl.
Lagen (2008:344) om hälso- och sjukvård åt asylsökande m.fl. innehåller bestämmelser om landstingens skyldigheter att, utöver vad som följer av hälso- och sjukvårdslagen (1982:763) samt tandvårdslagen (1985:125), erbjuda hälso- och sjukvård samt tandvård åt asylsökande och vissa andra utlänningar. Bestämmelserna omfattar utlänningar som har ansökt om uppehållstillstånd i Sverige som flykting eller som annan skyddsbehövande eller motsvarande äldre bestämmelser eller har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd och som inte är folkbokförda här i landet. Reglerna gäller även för utlänning som hålls i förvar och som inte har placerats i kriminalvårdsanstalt, häkte eller polisarrest eller vistas här med stöd av tidsbegränsat uppehållstillstånd.
Ett landsting ska erbjuda sådana utlänningar som inte har fyllt 18 år vård i samma omfattning som erbjuds den som är bosatt inom
landstinget. Den som har fyllt 18 år ska erbjudas vård som inte kan anstå, mödrahälsovård, vård vid abort och preventivmedelsrådgivning. Ett landsting ska vidare, om det inte är uppenbart obehövligt, erbjuda utlänningar som omfattas av lagen en hälsoundersökning.
Landstinget har rätt till ersättning från staten för kostnader för hälso- och sjukvård och tandvård, se avsnitt 4.5.5.
4.6.5. Centrala studiestödsnämnden
Enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar handlägger Centrala studiestödsnämnden ärenden om beviljande, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Under vissa förutsättningar kan i förordningen definierade personer som har behov av pengar till hemutrustning beviljas lån. Ett sådant behov kan anses föreligga då utlänningen flyttar in i en omöblerad bostadslägenhet, men även i andra fall. I förordningen finns bestämmelser om lånets storlek och lånevillkor, amortering, ränta, förfarandet i låneärenden m.m.
Centrala studiestödsnämnden får med hjälp av automatiserad behandling föra ett personregister för administration av lån enligt förordningen. Personuppgifter i registret får behandlas för fullgörande av uppgiftsskyldighet enligt lag eller förordning.
4.6.6. Övrigt
Lagen (2005:429) om god man för ensamkommande barn innehåller bestämmelser om god man i vissa fall för den som är under 18 år och som är utländsk medborgare eller statslös. God man ska förordnas av Överförmyndaren efter ansökan av Migrationsverket eller socialnämnden i den kommun där barnet vistas. Överförmyndaren får också självmant ta upp frågan.
Förordningen (2008:63) om statsbidrag till organisationer bildade på etnisk grund innehåller bestämmelser om statsbidrag till organisationer bildade på etnisk grund. Syftet med statsbidraget är att stärka organisationernas egna initiativ och verksamheter som rör kultur, språk, identitet och delaktighet i samhället. Frågor om bidrag enligt
denna förordning prövas av Myndigheten för ungdoms- och civilsamhällesfrågor.
5. Behandling av personuppgifter inom verksamhetsområdet
5.1. Inledning
Enligt utredningsdirektiven ska utredaren noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren ska också analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.
I utredningsdirektiven anges att verksamhet enligt utlännings- och medborgarskapslagstiftningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. Nedan följer en översiktlig beskrivning av den personuppgiftsbehandling på verksamhetsområdet som för närvarande utförs av Migrationsverket, domstolarna, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna.
5.2. Migrationsverket
5.2.1. Centrala utlänningsdatabasen
Centrala utlänningsdatabasen (CUD) är den centrala databasen inom Migrationsverket. CUD utgör en databas till vilket ett antal applikationer med olika funktioner, till exempel Wilma och Skapa, se nedan, är kopplat. CUD innehåller samtliga Migrationsverkets enheters ärendehantering av bland annat tillståndsärenden, medborgarskapsärenden, diarieföring, asylprövningar, flyktingmottagning, bidragshantering och kommunplaceringar.
Personuppgifterna i CUD behandlas med stöd av personuppgiftslagen (1998:204) och förordningen (2001:720) om behandling av personuppgifter enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen).
Behörighet till de olika applikationerna administreras centralt inom Migrationsverket. Innan behörighet medges görs en prövning om och i så fall vilka delsystem varje anställd ska ha åtkomst till. De handläggare, beslutsfattare och assistenter som har behörighet får bara tillgång till de delar av systemet, s.k. applikationer, som de behöver för att kunna fullgöra sina arbetsuppgifter. För att komma in i verkets datasystem krävs ett särskilt kort och en kod. De anställdas slagningar m.m. loggas och loggarna arkiveras.
När en person för första gången blir aktuell i ett ärende hos Migrationsverket läggs en dossier upp. I denna dossier samlas sedan alla uppgifter i ärendet och, om det är aktuellt, senare ärenden som rör personen. Alla uppgifter i CUD är således knutna till en viss individ. Migrationsverket använder i dag (maj 2015) både manuella personakter och elektroniska personakter. Verkets mål är att övergå till endast elektroniska akter.
I november 2014 innehöll CUD information om 3 877 189 personer. CUD innehåller en mängd personuppgifter, även känsliga sådana. Det rör sig inte bara om uppgifter avseende de utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att besöka, bo, arbeta eller studera i Sverige, utan även de som ansökt om till exempel uppehålls- eller arbetstillstånd men som fått avslag på sina ansökningar. Även utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är registrerade.
De personuppgifter i CUD som bedöms vara inaktuella överfördes tidigare till en avställdadatabas. Sedan januari år 2015 överförs sådana uppgifter i stället till ett e-arkiv (se avsnitt 5.2.13).
5.2.2. Stamm
Stamm (System för tillstånd, asyl, mottagning och medborgarskap) var tidigare Migrationsverkets centrala databas. De flesta funktioner har nu flyttats över till andra system. Systemet används i dag främst för Migrationsverkets administration av bidrag till asylsökande. Detta system är dock under avveckling.
5.2.3. Wilma och W2
Migrationsverket är processansvarigt för det webbaserade ärendehanteringssystemet Wilma (Web-based Information system Linking Migration Authorities). Genom Wilma har handläggare på Migrationsverket åtkomst till uppgifter i CUD för handläggning av ärenden om uppehållstillstånd, visering och bosättning.
Polismyndigheten och Säkerhetspolisen har åtkomst till viss information i CUD via Wilma. Informationen används vid Polismyndighetens verksamhet som avser in- och utresekontroll, utlännings vistelse i och avlägsnande från Sverige samt Schengenviseringar. Polismyndighetens och Säkerhetspolisens åtkomst regleras i den s.k. Wilmaöverenskommelsen (jämte bilagorna Wilma I–III), se avsnitt 7.15.1.
Genom ett system som kallas W2 har utlandsmyndigheterna åtkomst till uppgifter i CUD. Utlandmyndigheterna har på detta sätt tillgång till uppgifter som behövs för prövning av ansökan om visum, uppehållstillstånd eller arbetstillstånd.
5.2.4. Vision
Ett Schengenland kan begära att bli konsulerat i ärenden om visering och upphållstillstånd avseende vissa grupper av utlänningar. För detta ändamål har ett automatiserat meddelandehanteringssystem, Vision, byggts upp inom Schengensamarbetet (se avsnitt 4.3.3). Systemet förmedlar rådfrågningar mellan Schengenstaterna och har en egen databas, som innehåller information om bland annat individer, passinformation och resans ändamål. Migrationsverket har ansvar för den svenska delen av Vision. Vision används främst av anställda på Migrationsverkets tillståndsenhet i Norrköping och på utlandsmyndigheterna.
5.2.5. SKAPA
Skapa är ett it-stöd som används inom verksamhetsområdena mottagning och asylprövning. Programmet gör det möjligt att lägga upp en individuell plan för den asylsökande och på så sätt åskådligöra och styra asylprocessen.
5.2.6. KUB
Systemet för kortutbetalning av bistånd (KUB) används för att administrera kort och konton för utbetalningar av bidrag och ersättningar till asylsökande. Genom systemet kan anställda på Migrationsverkets mottagningsenheter och Migrationsverkets handläggare bland annat beställa och lämna ut bankkort, spärra konton och begära inspektioner av korttransaktioner som kortinnehavaren har gjort.
5.2.7. LMA-kortsystemet
Utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska få en personhandling försedd med fotografi. Personhandlingen kallas tillfälligt LMA-kort för utlänning i Sverige. LMA-korten finns för att en asylsökande ska kunna visa att han eller hon har rätt att vistas i landet i väntan på att deras ärende avgörs. Ett giltigt LMA-kort ger innehavaren rätt till ett reducerat pris när det gäller sjukvård och medicin.
LMA-kortsystemet används främst av Migrationsverkets receptionspersonal samt till viss del mottagningshandläggare ute på mottagningsenheterna för att bland annat skapa LMA-kortsunderlag, skriva ut foton samt beställa de asylsökandenas kort.
5.2.8. Elektronisk dokumenthantering
Migrationsverkets system för elektronisk dokumenthantering, DHS, nås genom en av applikationerna, till exempel Skapa eller Wilma. Det används vid upprättande och lagring av olika typer av dokument, exempelvis för att skriva ett beslut eller spara ett inskannat dokument.
5.2.9. Elis och Eskil
Elis är Migrationsverkets system för statistik. Systemet hämtar uppgifter från CUD för framställning av statistiskt underlag. I Elis förekommer inte uppgifter på individnivå.
Eskil används inom Migrationsverket för arbetsplanering. Genom Eskil är det möjligt att göra sökningar i CUD på enhetsnivå och få
fram information till exempel om öppna ärenden, vilket informationsspråk de sökande har (som hjälp vid tolkbeställning), vilka sökanden som är klara för att flytta m.m. För att få tillgång till Eskil krävs särskild behörighet. Sökning kan bara ske på ärenden på den egna enheten inom Migrationsverket.
5.2.10. Lifos
För att Migrationsverkets beslut ska bli korrekta är det viktigt att myndighetens handläggare och beslutsfattare har tillgång till god information om nationell, internationell- och EU-rättslig praxis på utlänningsrättens område samt aktuell information om de olika länder som är aktuella i myndighetens ärenden.
Enligt 8 § nuvarande utlänningsdataförordning får Migrationsverket föra automatiserade register får återsökning av vägledande avgöranden, rättsutredningar och rättslig information, (dvs. rättsfallsregister). Av 12 § samma förordning följer att Migrationsverket får föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder (landinformationsregister).
Lifos innehåller Migrationsverkets rättsfallssamling och landinformationsregister. Lifos är en egen databas och saknar koppling till CUD. Lifos rättsfallssamling innehåller Migrationsverkets egna beslut, domar från migrationsdomstolarna och Migrationsöverdomstolen, domar från EU-domstolen och internationella domar. Avgörandena indexeras med relevanta ämnesord för att underlätta sökningen. Rättsfallsregistret får inte innehålla personuppgifter som direkt pekar ut den registrerande (8 § utlänningsdataförordningen).
Lifos landinformationsregister är i första hand ett arbetsredskap för Migrationsverkets personal. Större delen av informationen i Lifos är emellertid också tillgänglig för allmänheten via verkets webbplats. Viss information finns dock bara tillgänglig internt på grund av sekretess, upphovsrättsliga regler eller personuppgiftsskyddsbestämmelser. För att öka insynen finns bland annat ändå sådana dokuments titlar tillgängliga på verkets hemsida jämte en motivering till varför dokumenten inte är tillgängliga.
I Lifos finns allmän bakgrundsinformation som myndighetens handläggare kan använda vid handläggning och beslutsfattande. För de länder varifrån ett större antal asylsökande kommer finns land-
översikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationen i Lifos inhämtas vid resor som verkets egna anställda företar men också från till exempel Utrikesdepartementet, utlandsmyndigheter samt rapporter från UNHCR eller frivilligorganisationer. En särskild enhet på Migrationsverket ansvarar för insamling av uppgifter till Lifos och för att uppgifterna är uppdaterade och korrekta.
I Lifos finns personuppgifter, däribland känsliga sådana. I den mån identiteten saknar betydelse för informationens värde avidentifieras dock alla personuppgifter innan de görs tillgängliga i Lifos. Eftersom Lifos innehåller bland annat integritetskänslig information, krävs särskild behörighet för Migrationsverkets anställda för åtkomst till Lifos olika delar.
5.2.11. VIS
Migrationsverket är registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i informationssystemet för viseringar (VIS) enligt artikel 41.4 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), se 3 § 10 förordningen (2007:996) med instruktion för Migrationsverket. Myndigheten ska föra register över all behandling av personuppgifter i VIS och de personer som är behöriga att föra in eller använda uppgifter i VIS. Migrationsverket är vidare den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.
5.2.12. Register över fingeravtryck och fotografier
Migrationsverket för med stöd av 9 § nuvarande utlänningsdataförordning ett register över fingeravtryck och fotografier (vanligen benämnt Migrationsverkets fingeravtrycksregister). Avsikten med detta register är att underlätta identifikationen av den som söker asyl i Sverige. Migrationsverkets register över fingeravtryck och fotografier behandlas närmare i avsnitt 7.10.
5.2.13. Avställdadatabasen och e-arkivet
Mellan år 2002 och år 2007 överfördes inaktuell information i CUD till en särskild databas, Avställdadatabasen. Under 2014 avvecklades Avställdadatabasen och ersattes med ett elektroniskt arkiv, e-arkivet. Information om de 1,6 miljoner individer som fanns i Avställdadatabasen har förts över till e-arkivet.
Uppgifter om en person i CUD ska överföras till e-arkivet 1) tre år efter att en person fått svenskt medborgarskap, 2) tre år efter att en person avlidit, 3) åtta år efter att gällande tillstånd löpt ut eller 4) sex år efter att gällande visum löpt ut. Härrör uppgifterna från ett ärende som inte gäller tillstånd, visering eller medborgarskap överförs uppgifterna tre år efter personens senaste kontakt med Migrationsverket.
När informationen lagrats i e-arkivet tas all information om individen bort från CUD.
5.3. Domstolarna
Sedan den 1 oktober 2001 regleras all automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna i fyra förordningar:
- förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,
- förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling,
- förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, och
- förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling.
Samtliga fyra förordningar gäller utöver personuppgiftslagen vid automatiserad behandling i den rättskipande och rättsvårdande verksamheten. Manuella register eller den administrativa verksamheten omfattas således inte av regleringarna. För närvarande pågår arbetet med en ny domstolsdatalag som ska gälla för domstolarnas och nämn-
dernas behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten, se avsnitt 6.7.
Vera är Sveriges Domstolars system för målhantering. Alla handlingar som kommer in till en domstol och som hör till ett mål registreras och hanteras i Vera. Under målhanteringen används systemet till registrering av mål, aktörer, bokning av förhandlingar och andra möten, dokument- och delgivningshantering, bevakning av frister, händelseregistrering, expediering av domar och beslut m.m. Samtliga domstolar använder Vera och systemet är anpassat efter domstolsslag och behörighet. Skillnaderna består av vilka funktioner som finns tillgängliga och vilka värden som är möjliga att registrera.
En domstol har tillgång till sin egen information och viss information vid andra domstolar. Om ett mål överklagas kan respektive över- och underrätt ta del av information i alla instanser där målen finns. Undantag gäller dock för handlingar som har sekretessmarkerats i Verasystemet. Sådana handlingar blir inte tillgängliga för andra myndigheter.
I Vera finns möjlighet att inom den egna domstolen söka efter mål och avgöranden. Vissa domstolar har även möjlighet att söka mål och definitiva avgöranden på andra domstolar.
Från Vera sker ett informationsutbyte med andra myndigheters system och med system inom Sveriges Domstolar. I nuläget sker informationsutbyte med Polismyndighetens, Åklagarmyndighetens, Skatteverkets och Brottsförebyggande rådets system och system inom Domstolsverket.
Se vidare om domstolarnas personuppgiftsbehandling i avsnitt 6.7.
5.4. Polismyndigheten och Säkerhetspolisen
Hos Polismyndigheten och Säkerhetspolisen bedrivs viss verksamhet som särskilt rör utlänningar. Här nedan redovisas översiktligt personuppgiftsbehandlingen på detta verksamhetsområde.
Behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens brottsbekämpande verksamhet regleras av bestämmelserna i polisdatalagen (2010:361, PUL).
5.4.1. Polisens ärendehanteringssystem
År 2013 infördes hos polismyndigheterna ett nytt ärendehanteringssystem för allmänna ärenden, PÄr (Polisens ärendehanteringssystem). Systemet, som numera är helt infört, har ersatt det allmänna diariet A-Rar hos Polismyndigheten.
5.4.2. Personefterlysnings- och U-boksregistret
Personefterlysnings- och U-boksregistret utgör det s.k. EPU-systemet (efterlysta personer och U-boken). Systemet är centralt och förs av den Nationella operativa avdelningen vid Polismyndigheten.
Personefterlysningssystemet innehåller uppgifter om personer som av någon anledning eftersöks av en myndighet.
U-boken innehåller uppgifter om i Sverige meddelade lagakraftvunna avvisnings- och utvisningsbeslut som har förenats med ett förbud att utan särskilt tillstånd återresa till Sverige.
Om en utlänning inte är tillgänglig när beslutet om avvisning eller utvisning ska verkställas kan Polismyndigheten fatta ett beslut om att efterlysa honom eller henne.
5.4.3. Schengens informationssystem och SIRENE
Schengens informationssystem (SIS) är ett för Schengenländerna gemensamt informationssystem. SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Alla uppgifter som registreras lagras i den centrala databasen. Den centrala databasen kopieras till alla Schengenländers nationella SIS, som därmed är en kopia av det centrala systemet.
I SIS-registret kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att en viss åtgärd ska vidtas när en efterlyst person eller ett efterlyst fordon påträffas.
SIS innehåller bland annat
- uppgifter om personer som är efterlysta och begärda utlämnade,
- en ”spärrlista” över utlänningar som ska nekas tillträde till
Schengenområdet på grund av utvisningsbeslut eller avvisningsbeslut med förbud att återresa,
- uppgifter om försvunna personer,
- spaningsåtgärder kring personer eller fordon där uppgifter önskas om gränspassage m.m. och
- efterlyst gods som fordon, skjutvapen, blankodokument, legitimationshandlingar och sedlar.
Bestämmelser om behandling av personuppgifter i den svenska delen av SIS finns i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem.
Enligt 1 § lagen om Schengens informationssystem ska Polismyndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS. Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
Lagen innehåller bestämmelser om vilka framställningar som får föras in i registret. Där specificeras också vilka uppgifter som får registreras i SIS, till exempel namn, kön, särskilda bestående fysiska kännetecken, fotografier, fingeravtryck, syftet med framställningen samt begärd åtgärd. Känsliga personuppgifter får inte registreras i SIS. Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Polismyndigheten endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning.
I lagen och dess förordning anges vilka myndigheter som har rätt att få uppgifter ur registret och på vilket sätt. Uppgifter som finns i registret ska lämnas ut om det begärs av åklagarmyndigheterna (Ekobrottsmyndigheten och Åklagarmyndigheten), Polismyndigheten, Tullverket eller Kustbevakningen när dessa myndigheter utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott eller av Polis-
myndigheten i dess verksamhet för att upprätthålla allmän ordning och säkerhet.
Regeringskansliet, Migrationsverket, migrationsdomstolarna, Migrationsöverdomstolen och svenska utlandsmyndigheter ska ha tillgång till uppgifter i spärrlistan för prövning av ansökningar om visering och uppehållstillstånd.
Polismyndigheten, Tullverket och Kustbevakningen får ha direktåtkomst till SIS. Migrationsverket och svenska utlandsmyndigheter får ha direktåtkomst till uppgifter i spärrlistan och Migrationsverket får ha direktåtkomst till hela SIS när verket bistår Polismyndigheten i gränskontrollverksamhet.
Schengensamarbetet och SIS förutsätter att det hos varje medlemsland finns en central funktion som fungerar som en länk för informationsutbytet mellan länderna. Denna funktion benämns SIRENE (Supplementary Information Requested at the National Entries). Varje medlemstat har ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS och fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myndigheter. I Sverige är Sirenekontoret integrerat i den Internationella sektionen vid den Internationella enheten vid den Nationella operativa avdelningen.
5.4.4. Fingeravtrycks- och signalementsregister
Enligt 4 kap. 11 § PDL får Polismyndigheten föra fingeravtrycks- eller signalementsregister i enlighet med vissa bestämmelser i lagen.
I fingeravtrycks- och signalementsregister får Polismyndigheten behandla uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken eller har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott. Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden.
Enligt 4 kap. 17 § PDL får Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket medges direkt-
åtkomst till personuppgifter i fingeravtrycks- och signalementsregister.
5.5. Utlandsmyndigheterna
Som ovan anförts har utlandmyndigheterna via W2 tillgång till CUD för de uppgifter som behövs för handläggning av viseringsärenden. Utlandsmyndigheterna kan också göra förfrågningar i Vision via W2. Myndigheterna har vidare genom Wilma tillgång till de uppgifter som behövs vid handläggning av olika tillståndsärenden.
6. Allmänna utgångspunkter vid utformandet av en utlänningsdatalag
6.1. Inledning
Som utredningen angett i avsnitt 3.2 och som ytterligare kommer att utvecklas nedan förstärktes skyddet för den personliga integriteten genom att en bestämmelse härom infördes i 2 kap. 6 § andra stycket regeringsformen (RF). Bestämmelsen innebär att var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock göras i lag. I övergångsbestämmelsen till ändringen anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst till och med den 31 december 2015.
Allmänna bestämmelser till skydd för den personliga integriteten vid behandling av personuppgifter finns i personuppgiftslagen (1998:204, PUL). Om det i en annan lag eller förordning finns bestämmelser som avviker från personuppgiftslagen, ska de bestämmelserna dock gälla i första hand. För personuppgiftsbehandling inom verksamhet enligt utlännings- och medborgarlagstiftningen finns sådana bestämmelser i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen).
I utredningens direktiv anförs att mycket talar för att utlänningsdataförordningen inte är förenlig med grundlagen. Utredningen har därför fått i uppdrag att ta fram ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I denna del av uppdraget ingår enligt utredningens
direktiv att noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredningen ska i samband därmed analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet.
Nedan följer en redogörelse för de allmänna utgångspunkter som utredningen har att förhålla sig till vid utformandet av förslaget.
6.2. Krav på lagreglering enligt regeringsformen
6.2.1. Regeringsformen
Som tidigare anförts infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen, se 2 kap. 21 § RF. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Den nya bestämmelsen innebär bland annat att behandling av information om enskildas personliga förhållanden som sker utan den enskildes samtycke som innebär övervakning eller kartläggning av den enskilde och som innebär ett betydande intrång i den personliga integriteten måste anges i lag.
6.2.2. Enskildas personliga förhållanden
Grundlagsbestämmelsen tar sikte på att skydda information om enskildas personliga förhållanden. Med enskildas personliga förhållan-
den avses enligt förarbetena vitt skilda slag av information som är
knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel (se prop. 2009/10:80 s. 177). Även fotografisk
bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.
6.2.3. Samtycke
När det gäller frågan om samtycke anförs det i propositionen att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande (se prop. 2009/10:80 s. 178 f.). Om åtgärderna däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. Bestämmelserna om samtycke i personuppgiftslagen bör enligt förarbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för ett giltigt samtycke, se vidare härom i avsnitt 3.5.1.
6.2.4. Övervakning och kartläggning
Inte varje slags behandling av uppgifter om enskildas personliga förhållanden som sker utan samtycke ska anses som så integritetskänslig att det är motiverat att låta den omfattas av integritetsskyddet i grundlagen (se prop. 2009/10:80 s. 180). Endast åtgärder som innebär kartläggning eller övervakning av enskildas personliga förhållanden avses.
När det gäller begreppen övervakning och kartläggning anförs i propositionen att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas förhållanden, även om avsikten inte är att kartlägga enskilda. Så torde vara fallet när det gäller ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser och även hos de statistikansvariga myndigheterna. Flera av dessa uppgiftssamlingar omfattar en stor andel av
landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter.
Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.
Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel nämns i ovan nämnd proposition polisens belastningsregister. Vidare konstateras i propositionen att en rad åtgärder som innefattar insamling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, teleavlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid bedömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.
6.2.5. Betydande integritetsintrång
Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär (se prop. 2009/10:80 s. 183). Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Vidare kan mängden uppgifter vara av betydelse. I detta sammanhang anförs det att Konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framfört att
målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedömning (se bland annat bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78). Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i en inte obetydlig omfattning (se prop.1990/91:60 s. 58).
Vid bedömningen av vad som kan anses utgöra ett betydande intrång bör fler omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen. Däremot bör den närmare avgränsningen av grundlagsbestämmelsens tillämpningsområde inte påverkas av sekretesslagstiftningens utformning.
Den omständigheten att sekretesslagstiftningen innehåller en presumtion för offentlighet, dvs. ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utanför det utvidgade grundlagsskyddet.
Det förhållandet att de uppgifter som behandlas av en myndighet omfattas av sekretess med ett omvänt skaderekvisit bör inte heller utgöra en omständighet som per automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av den nya grundlagsbestämmelsens tillämpningsområde.
En annan omständighet att beakta kan vara på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.
I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten (se prop. 2009/10:80 s. 185). Vad som utgör ett betydande integritetsintrång får bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, till exempel den fortsatta tekniska utvecklingen. I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag.
6.2.6. Vilken reglering omfattas?
I ovan nämnd proposition konstateras att den nya grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF innebär att betydande intrång i den personliga integriteten som sker utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden får vidtas bara om det finns stöd i lag för sådan behandling. Det anges vidare att om en övergångsreglering inte införs kommer delar av sådan informationshantering hos det allmänna som sker med stöd av föreskrifter i förordning, eller som endast delvis regleras i lag och i övrigt sker enligt bestämmelser på lägre normhierarkisk nivå, med stor sannolikhet att stå i strid med regeringsformen (se prop. 2009/10:80 s. 243). I propositionen konstateras att det därför finns behov av att se över ett stort antal registerförfattningar för att bedöma i vilken mån det krävs reglering i lag i stället för i förordning. Som exempel anges att det finns behov av att i lag reglera domstolarnas personuppgiftsbehandling, som för närvarande regleras i förordningar. Det anges vidare att det i övergångsbestämmelserna bör tas in en föreskrift som innebär att äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten under en övergångsperiod behåller sin giltighet även om de inte uppfyller regeringsformens krav på lagform. För tiden fram till och med den 31 december 2015 bör föreskrifter som inte uppfyller kravet på lagform fortsätta att gälla utan hinder av den nya bestämmelsen om ett utvidgat integritetsskydd.
Det är emellertid omdiskuterat om 2 kap. 6 § andra stycket RF verkligen syftar till ange vilka föreskrifter om exempelvis behandling av personuppgifter som ska ha form av lag i stället för förordning. Enligt Informationshanteringsutredningen torde bestämmelsen såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om rättighetsinskränkande lag, se SOU 2015:39 s. 198 f.
6.2.7. Behov av en lagreglering
Det kan konstateras att den personuppgiftsbehandling som sker inom verksamhet enligt utlännings- och medborgarskapslagstiftningen i stor utsträckning sker utan den enskildes samtycke. Myndigheternas uppgiftssamlingar innehåller en stor mängd uppgifter om ett stort antal individer. Effekten kan således bli att personer kartläggs, även om det inte är det egentliga syftet med behandlingen. Vidare kan konstateras att behandlingen i många fall avser känsliga personuppgifter enligt 13 § PUL samt andra uppgifter av integritetskänslig natur. De uppgifter som myndigheterna behandlar sprids i vissa fall till andra myndigheter, även genom att den mottagande myndigheten har direktåtkomst till den utlämnande myndighetens personuppgiftssamlingar. Som konstaterats i utredningens direktiv är det mycket som talar för att det inte är förenligt med regeringsformen att behandla personuppgifter med stöd av utlänningsdataförordningen och att det finns ett behov av en lagreglering av den personuppgiftsbehandling som sker på utlännings- och medborgarskapsområdet.
6.3. Lagens syfte
I kapitel 5 finns en översiktlig beskrivning av den automatiserade personuppgiftsbehandling som utförs av myndigheter inom verksamhet på utlännings- och medborgarskapsområdet. Av redogörelsen framgår inte bara att den nuvarande behandlingen är omfattande utan även att myndigheterna i allt större utsträckning övergår till elektronisk behandling av personuppgifter. Myndigheterna har ett behov av att samla in, ta emot, registrera, behandla och lagra uppgifter på elektronisk väg, inte bara för att kunna fullgöra sina uppgifter i form av till exempel ärendehantering, arkivering och för intern uppföljning och verksamhetsutveckling. Myndigheterna har också behov av att behandla uppgifter elektroniskt för utlämnande till andra myndigheter, inom och utanför Sverige, och till enskilda. Informationstekniken utvecklas ständigt. Ett effektivt utnyttjande av den moderna informationstekniken kan leda till effektivitetsvinster och kostnadsbesparingar för myndigheterna. Det finns således ett viktigt allmänintresse av att den moderna tekniken kan utnyttjas av myndigheterna. Inte bara för att det kan leda till samhällsvinster i form av ökad effektivitet och minskade kostnader. En väl funge-
rande informationsteknik gynnar också den enskilde då den möjliggör snabbare och mer rättssäker ärendehantering.
Samtidigt måste beaktas att myndigheternas behandling av personuppgifter kan innebära risk för intrång i den personliga integriteten. Att samla personuppgifter elektroniskt ökar möjligheten att sammanställa ett stort antal uppgifter om enskilda personer. Redan den omständigheten att uppgifterna finns registrerade kan för vissa framstå som integritetskränkande. Myndigheternas informationshantering måste ske med respekt för den enskildes integritet. Ett grundläggande syfte med en särskild lag som reglerar personuppgiftsbehandling bör således vara att stärka den enskildes skydd mot otillbörliga intrång i dennes personliga integritet.
Vid utformandet av den nya lagen ska således dessa båda intressen vägas mot varandra. Skyddet för den personliga integriteten ska vägas mot samhällets intresse av att myndigheterna kan utföra sina uppgifter på ett effektivt sätt. Detta kommer även till uttryck i utredningens direktiv, som anger att utredningen ska beakta enskildas behov av skydd för sin personliga integritet och beakta behovet av en rättslig reglering som ger myndigheterna möjlighet att hantera information på ett effektivt sätt.
6.4. Lagens utformning
6.4.1. Ramlag
Som anges ovan är syftet med den nya lagen att möjliggöra för myndigheterna att behandla personuppgifter på ett effektivt sätt, samtidigt som skyddet för den enskildes personliga integritet upprätthålls vid sådan behandling. Nästa fråga är hur en sådan lagreglering bör utformas.
Den behandling som ska regleras bedrivs på ett flertal myndigheter med olika uppdrag och varierande behov. Regleringen bör således vara flexibel på det sätt att den kan anpassas till de olika myndigheternas krav och inte behöver ändras inför varje förändring i verksamheten. Med hänsyn till den snabba utvecklingen på informationsteknikområdet är det också viktigt att regleringen är neutral inför förändringar på det tekniska området.
Det bör i sammanhanget uppmärksammas att bestämmelsen i 2 kap. 6 § andra stycket RF inte ställer krav på att all reglering som
rör personuppgiftsbehandling måste finnas i lag. Begränsningen rör endast sådana bestämmelser som kan resultera i övervakning eller kartläggning av den enskilde och som kan innebära ett betydande intrång i den personliga integriteten. Övriga bestämmelser kan således regleras på en lägre normhierarkisk nivå.
Ett sätt att uppnå en flexibel reglering som motsvarar de grundläggande kraven i regeringsformen är att lagen utformas som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten vid behandling av personuppgifter bör slås fast i lag. Till dessa hör till exempel regler för ändamål, behandling av känsliga personuppgifter, sökbegrepp, direktåtkomst och intern tillgång till personuppgifter. Regeringen bör dessutom kunna meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta måste prövas av riksdagen. Det kan i vissa fall även vara lämpligt att regeringen delegerar rätten till en myndighet som regeringen bestämmer att meddela kompletterande föreskrifter.
6.4.2. Behandling av personuppgifter i register
Utlänningsdataförordningen gäller utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhetsregister. Förordningen reglerar också Migrationsverkets automatiserade behandling av personuppgifter i rättsfallsregister, fingeravtrycksregister och landinformationsregister. Automatiserad behandling som inte kan hänföras till sådana uppgiftssamlingar omfattas således inte av regleringen. Motsvarande gäller för manuell hantering av personuppgifter. För sådan personuppgiftsbehandling gäller i stället personuppgiftslagen.
Innan personuppgiftslagen infördes reglerades automatiserad behandling av personuppgifter av datalagen (1973:289). I datalagen var begreppet register av central betydelse. Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatiserad databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med behandlingen. De flesta bestämmelserna i datalagen gällde bara för personregister som fördes med hjälp av ADB. Det krävdes således
att det var fråga om ett dataregister med personuppgifter för att lagen skulle bli tillämplig. Register som fördes med hjälp av annan teknik än ADB föll utanför lagens tillämpningsområde.
Sedan dataskyddsdirektivets införande i svensk rätt genom personuppgiftslagen har tillämpningsområdet vidgats. Dataskyddsdirektivets bestämmelser gäller all behandling av personuppgifter som helt eller delvis företas på automatisk väg och för annan behandling av personuppgifter under förutsättning att dessa ingår i eller kommer att ingå i ett register (artikel 3). Med register avses enligt direktivet varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 2 c). På motsvarande sätt gäller personuppgiftslagens bestämmelser all behandling av personuppgifter som sker helt eller delvis på automatiserad väg, oavsett om personuppgifterna ingår i ett register eller inte.
När det gäller manuell behandling är lagen tillämplig om personuppgifterna ingår i ett register. I lagen används dock inte begreppet register utan dataskyddsdirektivets definition av begreppet, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I dessa fall är registerbegreppet således fortfarande av betydelse.
Personuppgiftslagens bestämmelser gäller således för all helt eller delvis automatiserad behandling av personuppgifter, oavsett om de förekommer i ett register eller inte. I förarbetena till personuppgiftslagen anfördes att användningen av begreppet register vid automatisk databehandling med fog har kritiserats för att vara otidsenligt (se prop. 1997/98:44 s. 39). På grund av den tekniska utvecklingen har det enligt propositionen i en sammansatt och komplex datormiljö blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. I propositionen konstateras emellertid att det ovan sagda inte hindrar att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer. Uppgifterna
ska läggas in i ett på visst sätt strukturerat register och får bara tas fram med hjälp av vissa angivna sökkriterier.
6.4.3. Tidigare lagstiftningsarbeten
Det kan konstateras att begreppet register ofta har använts i tidigare författningar som rör personuppgiftsbehandling på myndighetsområdet för att definiera automatiserade samlingar med personuppgifter som gjorts tillgängliga för en större krets. Till varje register har knutits särskilda regler om åtkomst, sökmöjligheter och gallring m.m. I flera lagstiftningsärenden från senare år har modellen med register kritiserats, eftersom den inte anses uppfylla dagens krav på teknikneutral lagstiftning.
I förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anförs att begreppet register för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Det är enligt propositionen inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2004/05:164 s. 60).
Framväxten av internet har tydliggjort behovet av en översyn av traditionella begrepp vid databehandling, som till exempel registerbegreppet. I nämnd proposition kostateras dock att det finns flera elektroniska samlingar av personuppgifter som fortfarande måste ses som register i ordets egentliga bemärkelse, dvs. där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord, och att det därför kan finnas anledning att inte helt frångå registerbegreppet. Som exempel nämns lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister som reglerar register i en mer traditionell mening. Registerbegreppet ansågs emellertid inte lämpligt när det gäller datorsystem som innefattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av registerkaraktär.
I propositionen diskuteras vidare termen databas som ett alternativ till registerbegreppet. I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. En databas ska enligt propositionen definieras
som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet. En sådan definition av begreppet databas utesluter manuella register. Definitionen har, enligt propositionen, också den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register (i egentlig bemärkelse) är sammanlänkade och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så ingår dessa register i en databas. En juridiskt bestämd databas kan således innehålla flera mindre databaser eller datorsystem i teknisk mening, varav en del kan vara regelrätta register. Det väsentliga är att uppgifterna är gemensamt tillgängliga inom hela eller delar av verksamheten. Det konstateras att det för Tullverkets brottsbekämpande verksamhet finns behov av ett särskilt begrepp för att rättsligt reglera vissa uppgiftssamlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten. Det ansågs emellertid inte lämpligt att använda registerbegreppet i en ny lag om hantering av personuppgifter. Det rättsliga begreppet databas var enligt propositionen att föredra, som en beteckning på automatiserade sammanställningar av uppgifter, i synnerhet som begreppet underlättar för en teknikoberoende lagstiftning.
I förarbetena till polisdatalagen (2010:361, PDL) förutspås att behandling av personuppgifter i framtiden i större utsträckning kommer att ske i avancerade ärendehanteringssystem som länkas samman med varandra, ibland med digital dokumenthantering (se prop. 2009/10:85 s. 60 f.) I sådana system kan information struktureras på ett sådant sätt att systemet utöver att tjäna som ett verksamhetsstöd för ärendehanteringen även i praktiken tillgodoser samma behov som traditionella personregister genom att olika sökingångar skapas. Det huvudsakliga syftet med insamlingen av personuppgifter är i dessa fall utförandet av en viss arbetsuppgift, inte att registrera uppgifterna i ett personregister. I propositionen konstateras att registerbegreppet har kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är, enligt propositionen, inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan till exempel införas helt ostruk-
turerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar m.m. Det konstateras att även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall går utvecklingen mot att registerformen överges för mer sofistikerade datasystem. Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Det väsentliga i sammanhanget är inte på vilket sätt uppgifter tekniskt lagras utan den faktiskt åsyftade tillgängligheten. Den nya lagen bör enligt propositionen därför innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften. Polisen bör på detta sätt kunna välja mellan att skapa ett stort centralt datasystem eller flera mindre system eller en blandning av båda alternativen.
Målsättningen bör enligt propositionen vara att i möjligaste mån undvika en särreglering av vissa speciella informationssamlingar eller viss personuppgiftsbehandling. Inom den brottsbekämpande verksamheten finns det emellertid viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna (se prop. 2009/10:85 s. 229). Enligt propositionen är det därför nödvändigt att i några fall ha särskilda bestämmelser om vissa register, till exempel när det gäller register över DNA-profiler och fingeravtrycks- eller signalementsregister. Vidare finns, enligt propositionen, skäl att särbehandla behandling av uppgifter om misstänkt penningtvätt, misstänkt finansiering av terrorism i penningtvättsregister och viss behandling av uppgifter i det internationella polissamarbetet. Även det allmänna spaningsregistret bör enligt propositionen regleras särskilt.
Även i förarbetena till kustbevakningsdatalagen (2012:145) framförs kritik mot användning av begreppet register i lagstiftning som rör personuppgiftsbehandling. Också här konstateras att register och databaser inte är ett relevant sätt att se på samlingar av uppgifter i elektronisk form (se prop. 2011/12:45 s. 72 f.). Som en följd av detta bör enligt propositionen den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller
databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Vidare bör enligt propositionen regleringen för Kustbevakningens del utformas i enlighet med vad som har beslutats för polisen, dvs. att begreppet gemensamt tillgängliga uppgifter används i den föreslagna lagen för att beteckna uppgifter som är tillgängliga för fler än ett fåtal personer. Särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten vid Kustbevakningen bör omfattas av lagen. Med den formuleringen görs det enligt propositionen klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.
Begreppet databas diskuteras även i prop. 2013/14:161 som innehåller ett förslag om en gemensam databas hos Statistiska centralbyrån (SCB) för övervakning av och tillsyn över finansmarknaderna (se prop. 2013/14:161 s.49 f.). Regeringen förslår i propositionen att uppgifter som SCB samlar in för Riksbankens och Finansinspektionens övervakning och tillsyn lagras i en särskild databas som de tre myndigheterna har tillgång till. Enligt propositionen syftar förslaget, till skillnad från polisdatalagen, inte till att åstadkomma någon mer heltäckande reglering av de berörda myndigheternas behandling av uppgifter. Förslaget är i stället i första hand avsett att skapa en reglerad ordning för en särskild del av det utbyte av uppgifter som förekommer mellan myndigheterna. De uppgifter som ska omfattas av ordningen är till sitt format standardiserade uppgifter lämpade för bearbetning och analys med statistiska metoder. Insamlingen av uppgifter sker inte heller med det huvudsakliga syftet att utföra vissa vid insamlingstillfället aktuella arbetsuppgifter, utan för att registrera uppgifterna för framtida användning vid olika analyser av det finansiella systemet och för framställning av statistik. Uttrycket databas anses därför lämpligt som en benämning på den samling av uppgifter som är föremål för det särskilda uppgiftsutbytet mellan myndigheterna.
6.4.4. Gemensamt tillgängliga uppgifter
I 3 kap. PDL finns särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. I kapitlet anges bland annat vilka personuppgifter som får göras gemensamt tillgängliga, vilka uppgifter som får användas vid sökning i uppgifter som gjorts gemensamt tillgängliga, vilka myndigheter som får ha direktåtkomst till gemensamt tillgängliga uppgifter och bevarande och gallring av sådana uppgifter. Motsvarande bestämmelser finns för kustbevakningens del i 4 kap. kustbevakningsdatalagen.
Gemensamt tillgängliga uppgifter är ett relativt nytt begrepp inom lagstiftningen på personuppgiftsbehandlingsområdet. Som anges ovan diskuteras begreppet i förarbetena till den nya polisdatalagen (se prop. 2009/10:85 s. 124 f.). I propositionen konstateras att den nya polisdatalagen kommer att gälla för all automatiserad behandling av personuppgifter i polisens brottsbekämpande arbete. Det innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, till exempel register eller ärendehanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp personer, till exempel vanlig ordbehandling och e-postkommunikation. Det anförs att risken för otillbörliga intrång i den personliga integriteten är större när personuppgifter används av flera gemensamt i verksamheten än när personuppgifter behandlas av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Det anses därför nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. Frågan som diskuteras är hur man bör avgränsa den personuppgiftsbehandling för vilken mera begränsande regler är nödvändiga. Som framgår ovan bör enligt propositionen regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Ett tänkbart alternativ enligt propositionen är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar” som är gemensamt tillgängliga i verksamheten. Den nya lagen bör därför enligt propositionen innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts
gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.
I propositionen anges vidare de principer som bör ligga till grund för gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör enligt propositionen vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den. Detta innebär att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets, till exempel hela polisorganisationen, ska kunna ta del av uppgifterna.
Vidare bör enligt propositionen personuppgifter anses vara gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att personuppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig enligt propositionen inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna som när många personer har tillgång till dem.
En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste dock enligt propositionen vara att kretsen som har tillgång till dem omfattar endast ett litet antal personer. Så snart det är fråga om fler än ett fåtal personer som har tillgång till
uppgifterna bör utgångspunkten vara den motsatta. Som en tumregel anges att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte eftersom uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bland annat därför att personer i en från början begränsad krets med tiden byts ut. Uppgifter ska också anses vara gemensamt tillgängliga när de sprids till andra myndigheter än polisen.
Sammanfattningsvis innehåller således den nya polisdatalagen som huvudregel inte bestämmelser om register och databaser utan i stället särskilda bestämmelser som gäller uppgifter som görs och har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar. Behandling som utförs av en enskild tjänsteman eller inom en begränsad grupp personer, till exempel genom vanlig ordbehandling eller genom e-kommunikation, ska inte omfattas av de särskilda bestämmelserna. Motsvarande gäller för kustbevakningens behandling av personuppgifter i den brottsbekämpande verksamheten enligt kustbevakningsdatalagen.
6.4.5. Utredningens överväganden
Utredningen anser på skäl som framförts i avsnitt 6.4.1 att huvuddragen av personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet bör regleras i en ramlag vars syfte är att ge de på området verksamma myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
När det gäller utformningen i stort av den nya lagen är det naturligt att låta polisdatalagen tjäna som viss förebild. Det finns vissa likheter mellan brottsbekämpningen och den verksamhet för att upprätthålla ordning och säkerhet utan anknytning till brottsbekämpningen som bland annat Migrationsverket ansvarar för. Det rör sig dock inte om parallella verksamheter. Det finns skillnader. En sådan skillnad är att dataskyddsdirektivet inte omfattar statens behandling av personuppgifter i brottsbekämpande verksamhet. Direktivet
är däremot tillämpligt på bland annat Migrationsverkets verksamhet. En annan skillnad är att här aktuell personuppgiftsbehandling på utlänningsområdet i hög grad är ärendeanknuten medan brottsbekämpningen genererar ett annat slag av personuppgiftsbehandling. Det sagda innebär att lösningar och konstruktioner i polisdatalagen kan överföras till den nya ramlagen på utlänningsområdet men att det måste ske med viss urskiljning.
I den nuvarande utlänningsdataförordningen regleras endast automatiserad behandling av vissa i förordningen angivna typer av register. Mot den bakgrund som beskrivits i föregående avsnitt har utredningen att ta ställning till vilken personuppgiftsbehandling som ska omfattas av den nya lagen. Ska lagregleringen endast avse vissa särskilda uppgiftssamlingar på utlännings- och medborgarskapsområdet, eller bör den omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat? Ska även manuell behandling av personuppgifter omfattas? Om slutsatsen är att en mer generell reglering bör införas, finns skäl att överväga en modell med en uppdelning mellan uppgifter som görs och har gjorts gemensamt tillgängliga och sådana uppgifter som behandlas endast av en enskild tjänsteman eller inom en begränsad grupp personer.
Vid utredningens kartläggning av den nuvarande personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet har inget annat framkommit än att den nuvarande regleringen fungerar relativt väl. Det tycks inte vara förordningens uppdelning av behandling i olika register som orsakar problem för myndigheterna när det gäller personuppgiftshanteringen. Eventuella problem förefaller i stället bero på att nuvarande förordning i detalj reglerar vilka kategorier av personuppgifter som över huvud taget får behandlas, se vidare avsnitt 7.11. En överföring av den nuvarande modellen med särreglering för vissa uppgiftssamlingar till den nya lagen skulle underlätta för de som ska tillämpa den nya lagstiftningen i den dagliga verksamheten, eftersom skillnaden mot nuvarande reglering inte blir så stor. Uppdelningen av behandlingen i olika register gör också regleringen ganska lättöverskådlig och tydlig. Ovan nämnda omständigheter talar med viss styrka för att behålla nuvarande system med reglering av specifika samlingar av personuppgifter.
Andra omständigheter talar emellertid för att välja en mer generell reglering av personuppgiftsbehandlingen. Lagens syfte ska vara att skydda den enskilde mot otillbörliga intrång i den enskildes per-
sonliga integritet. Enligt utredningens direktiv ska utredningen samtidigt se till att regleringen möjliggör moderna och ändamålsenliga it-system. Den rättsliga regleringen bör således inte vara beroende av att vissa tekniska lösningar används. Informationstekniken utvecklas ständigt och den offentliga verksamheten bör kunna använda sig av den nya tekniken för effektivitetsvinster och förenkling av informationsutbyte med andra myndigheter och enskilda. En lag som reglerar all datoriserad personuppgiftsbehandling inom verksamhetsområdet stämmer också bättre överens med utredningsdirektivens krav på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen ska passa väl in i personuppgiftslagens regelsystem.
Myndigheternas datoriserade system är i dag inte uppbyggda som register i traditionell bemärkelse. Som exempel kan Migrationsverkets databas centrala utlänningsdatabasen (CUD) nämnas. CUD är ett samlingsbegrepp för de databaser där uppgifter som behandlas i myndighetens ärenden registreras. Till denna centrala uppgiftssamling är olika system, applikationer, kopplade. Applikationerna har olika funktioner, såsom behandling av personuppgifter i besöks- och bosättningsärenden, kortutbetalning av bistånd och meddelandehanteringssystem. De olika systemen kan, efter en säkerhetskontroll, hämta uppgifter från det centrala systemet. Det rör sig således inte om ett enda ärendehanteringssystem, utan ett flertal tekniska instanser som samverkar och är beroende av varandra. Inte heller Migrationsverkets rättsfallssamling eller landinformationsregister utgör personregister i egentlig mening. Vidare går utvecklingen mot att myndigheterna i allt större utsträckning övergår från manuell personuppgiftsbehandling till automatiserad behandling. Migrationsverket har till exempel för avsikt att övergå till ett system med elektroniska personakter.
Den nya lagen bör inte begränsa myndigheternas möjligheter att utnyttja ny informationsteknik. Den bör också lämna utrymme för myndigheterna att utforma sina datasystem på det sätt som är mest ändamålsenligt för den aktuella verksamheten. Den nya regleringen bör därför vara teknikoberoende. Detta uppnås bäst genom att övergå till en reglering som, liksom personuppgiftslagen samt polisdatalagen och kustbevakningsdatalagen, omfattar all behandling av per-
sonuppgifter som sker helt eller delvis automatiserat samt manuellt i register.
Det finns dock enligt utredningen anledning att göra ett undantag från den generella regleringen. I de fall de berörda myndigheterna hanterar register i mer traditionell bemärkelse kan det vara lämpligt att detta register särregleras i förhållande till annan personuppgiftsbehandling i verksamheten. En jämförelse kan göras med polisdatalagen, som till exempel innehåller särskilda bestämmelser som gäller polisens register över DNA-profiler och fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 229). Utredningen gör bedömningen att det finns skäl att i den nya lagen särskilt reglera Migrationsverkets register över fingeravtryck och fotografier. Skälen till det och den närmare reglering tas upp i avsnitt 7.10.
Den nya lagen bör således i princip reglera all helt eller delvis automatiserad personuppgiftsbehandling samt behandlingen av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det innebär att all elektronisk behandling av personuppgifter kommer att omfattas, även till exempel ordbehandling som utförs av anställda på den egna arbetsdatorn och intern och extern e-postkommunikation. Den nya lagens tillämpningsområde kommer således att utvidgas i förhållande till vad som gäller för närvarande och därmed också utöka möjligheterna att behandla personuppgifter på ett sätt som inte är tillåtet enligt personuppgiftslagen. Det skulle till exempel kunna innebära att möjligheten att behandla känsliga personuppgifter utvidgas i förhållande till vad som är möjligt enligt dagens reglering.
Ett sätt att hantera detta problem skulle kunna vara att införa mer begränsande regler i fråga om behandling av uppgifter som flera personer har tillgång till. I polisdatalagen används, som redovisats ovan, begreppet gemensamt tillgängliga uppgifter, som avser uppgifter som fler än ett fåtal har möjlighet och rättslig behörighet att ta del av. För de gemensamt tillgängliga uppgifterna gäller mer restriktiva regler. I lagen anges vilka uppgifter som får göras gemensamt tillgängliga. Vidare finns vissa integritetsskyddande bestämmelser avseende sökning, direktåtkomst och bevarande som bara gäller de gemensamt tillgängliga uppgifterna. Liknande bestämmelser har även införts i kustbevakningsdatalagen. Frågan är om det finns skäl att i den nya lagen på utlännings- och medborgarskapsområdet också göra
en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter.
Till en början kan konstateras att största delen av den personuppgiftsbehandling som ska regleras i den nya lagen utgörs av myndigheternas personuppgiftsbehandling i olika typer av ärenden. Ärendena hanteras som regel av endast några få personer jämfört med exempelvis polisiär verksamhet i brottsbekämpande syfte. Det är ganska få uppgifter i ärendena som behöver vara tillgängliga för en vidare krets. Många anställda kommer visserligen att ha tillgång till Migrationsverkets register över fingeravtryck och fotografier. Men som framgår av avsnitt 7.10 föreslår utredningen vissa särskilda skyddsregler för detta register. Anställda har också tillgång till Lifos, alltså Migrationsverkets register för återsökning dels av vägledande avgöranden, rättsutredningar och rättslig information, dels av information rörande förhållanden i andra länder. I Lifos finns en del personuppgifter och en del är känsliga sådana. Det krävs emellertid särskild behörighet för Migrationsverkets anställda för åtkomst till sekretessbelagd information i Lifos olika delar. Informationen i Lifos har därmed inte särskilt stor spridning bland dem som har tillgång till den.
Vidare kommer personuppgiftsbehandlingen i den nya lagen att begränsas genom bestämmelser om lagens tillämpningsområde och särskilda ändamålsbestämmelser, se avsnitt 7.9. Utredningen kommer också att föreslå regler som innebär att respektive myndighet ska se till att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter, se avsnitt 7.12. En sådan bestämmelse medför att det finns ett skydd mot att en uppgift sprids till en större krets än vad som är motiverat. Utredningen kommer också att föreslå att behandlingen ska begränsas av 9 § PUL, som anger vissa grundläggande krav på behandlingen av personuppgifter, se avsnitt 7.7.3. Bestämmelsen innebär bland annat att den personuppgiftsansvariga myndigheten ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till dessa ändamål. Även andra integritetsskyddande regler rörande personuppgiftsbehandlingen kommer att föreslås. Utredningen menar att dessa generella skyddsregler utgör ett tillräckligt integritetsskydd oavsett om uppgifterna är gemensamt tillgängliga eller inte. Det finns
därför inget behov för att uppnå ett fullgott integritetsskydd av att införa en strängare särreglering som ska gälla enbart för gemensamt tillgängliga uppgifter.
Ytterligare en aspekt på frågan är att en uppdelning mellan gemensamt tillgängliga uppgifter och övriga uppgifter kräver en rimlig och tydlig precisering av vilka uppgifter som ska få göras gemensamt tillgängliga. Den verksamhet som ska regleras i den föreslagna lagen skiljer sig från den verksamhet som regleras i polisdatalagen och kustbevakningsdatalagen. Det är inte lika lätt att på utlännings- och medborgarskapsområdet på ett naturligt och tydligt sätt ringa in vilka uppgifter som ska hänföras till kategorin gemensamt tillgängliga.
Sammanfattningsvis har utredningen kommit till slutsatsen att det inte bör finnas några särskilda regler om behandling av personuppgifter på utlännings- och medborgarskapsområdet som är gemensamt tillgängliga.
6.5. EU-rättsliga utgångspunkter
Sveriges medlemskap i EU har medfört att EU-rätten blivit en integrerad del av den svenska rättsordningen. EU-domstolen har utvecklat vissa principer för EU-rättens förhållande till nationell rätt, vilka är av avgörande betydelse för maktfördelningen mellan unionen, medlemsstaterna och medborgarna (Melin, M. m.fl., EU:s konstitution. Maktfördelningen mellan den europeiska unionen, medlemsstaterna och medborgarna, 7 uppl., 2012 s. 35 f.). Principen om direkt tillämplighet innebär att EU:s grundfördrag och en del av sekundärrätten automatiskt utgör en del av medlemsstaternas interna rätt. Med sekundärrätt avses de rättsakter som EU:s institutioner utfärdar med stöd av fördragen, dvs. förordningar, direktiv, beslut, rekommendationer och yttranden.
I artikel 288 i Fördraget om europeiska unionens funktionssätt förklaras de olika rättsakterna på följande sätt. En förordning ska ha allmän giltighet. Den ska till alla delar vara bindande och direkt tillämplig i varje medlemsstat. Ett direktiv ska med avseende på det resultat som ska uppnås vara bindande för varje medlemsstat till vilken det är riktat, men ska överlåta åt de nationella myndigheterna att bestämma form och tillvägagångssätt för genomförandet. Ett beslut
är till alla delar bindande. Om ett beslut anger till vem eller vilka det riktar sig, är det bindande endast för dessa. Rekommendationer och yttranden ska inte vara bindande.
Domstolen har genom sin praxis slagit fast principen om EUreglers direkta effekt, vilket innebär att vissa unionsrättsliga regler grundar rättigheter eller skyldigheter för enskilda som kan åberopas inför domstolar och myndigheter i medlemsstaterna. Vidare har domstolen utvecklat principen om EU-rättens företräde framför nationell rätt. Principen innebär att nationella domstolar ska tillämpa en EU-rättslig regel framför en mot denna stridande nationell lag.
Som framgår ovan är en EU-förordning, när det trätt i kraft, direkt tillämplig i medlemsstaterna. Det innebär att en förordning automatiskt blir en del av medlemsstaternas nationella rättssystem och gäller enligt sin lydelse på samma sätt som nationella lagar. En EUförordning har företräde framför svensk rätt och utesluter tillämpning av nationell lagstiftning som är oförenlig med förordningen. Detta gäller även om den nationella lagstiftningen är av senare datum. Om det finns nationella författningsbestämmelser som motsvarar eller strider mot en EU-förordnings bestämmelser, måste de nationella bestämmelserna således utmönstras.
Enligt EU-domstolens praxis får förordningar inte införlivas i nationell rätt, eftersom detta skulle kunna skapa tvivel om deras ursprung och rättsliga effekt. Utgångspunkten är således att EU-förordningar inte får transformeras till eller inkorporeras i den nationella rätten, utan i stället ska tillämpas i sin EU-rättsliga form. Bestämmelser i en förordning får dock återges i nationell lagstiftning när det är nödvändigt för att den nationella lagstiftningen ska bli begriplig och sammanhållen. En förordning kan även i olika avseenden ge upphov till kompletterande nationella föreskrifter (jfr. prop. 1994/95:19 s. 524 f.) Förordningen kan uttryckligen innehålla förpliktelser för medlemsstaterna att besluta om utfyllande bestämmelser. En förordning kan också ge anledning att utfärda straffsanktioner för överträdelse av bestämmelser i förordningen. Vidare kan en förordning ge utrymme för medlemsstaterna att besluta om kompletterande regler i övrigt.
Det finns ett antal EU-förordningar som innehåller bestämmelser om personuppgiftsbehandling inom utlännings- och medborgarskapsområdet. En sådan förordning är Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av
Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Denna förordning (den s.k. Eurodacförordningen, se avsnitt 7.4) innehåller bestämmelser om ett gemensamt system, Eurodac, för jämförelse av fingeravtryck i syfte att kunna avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd.
En annan förordning av intresse är Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex). Den förordningen innehåller bland annat regler för förfarande och villkor för utfärdande av viseringar.
Ytterligare en förordning är Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Den förordningen fastställer ändamål, funktioner och ansvarsfördelning för det EU-gemensamma informationssystemet för viseringar.
Med hänsyn till vad som ovan sagts om EU-förordningars direkta tillämplighet får ovan nämnda förordningar inte införlivas i den nya utlänningsdatalagen. Behandling av personuppgifter enligt förordningarna bör därför inte heller omfattas av lagens tillämpningsområde. Enligt principen ovan har förordningarna företräde framför nationell rätt utan att det behöver regleras särskilt i lagen. Det finns dock med förordningarna närliggande verksamhet som kommer att omfattas av den nya lagens tillämpningsområde. För tydlighetens skull bör därför personuppgiftsbehandling enligt Eurodac-förordningen, viseringskodexen och VIS-förordningen uttryckligen undantas från lagens tillämpningsområde (se vidare avsnitt 7.4).
6.6. Schengens informationssystem
Som framgår av avsnitt 4.3.3 innebar Amsterdamfördraget att Schengenregelverket införlivades med EU-rätten. Genom Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer infördes ett gemensamt regelverk för all gränspassage för personer över EU:s yttre och inre gränser. I kodexen slås fast att det inte ska förekomma någon gränskontroll av personer när de passerar de inre gränserna mellan EU:s medlemsländer.
De länder som deltar i Schengensamarbetet har infört ett gemensamt informationssystem, Schengen Information System (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. I april 2013 togs SIS II i bruk. Den senare versionen av SIS innehåller fler typer av uppgifter och funktioner än den tidigare, bland annat är det möjligt att lägga in biometriska uppgifter (exempelvis fingeravtryck och fotografier) och att länka samman registreringar som avser en och samma person. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll.
SIS II regleras huvudsakligen i två olika rättsakter. Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) reglerar den del av systemet som används för frågor om asyl och invandring. När det gäller den del av systemet som används för polis- och straffrättsligt samarbete finns bestämmelser i Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II). Därutöver finns en särskild förordning, Europaparlamentets och rådets förordning (EG) nr 1986/2006 av den 20 december 2006 om tillträde till andra generationen av Schengens informationssystem (SIS II), för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon.
De båda förordningarna gäller direkt i Sverige och ska inte genomföras i svensk lag. Rådsbeslutet har genomförts i svensk rätt genom ändringar i lagen (2000:344) om Schengens informationssystem och
förordningen (2000:836) om Schengens informationssystem. Lagen och förordningen innehåller bestämmelser om behandling av personuppgifter i den svenska delen av SIS. Den personuppgiftsbehandling som faller under lagens och förordningens tillämpningsområde bör falla utanför utlänningsdatalagens tillämpningsområde.
6.7. En ny domstolsdatalag
Enligt utredningens direktiv ska förslaget till lagreglering på utlännings- och migrationsområdet vara utformat så att det är förenligt med den kommande regleringen av domstolarnas personuppgiftsbehandling. All automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna och nämnderna regleras i dag av de s.k. Veraförordningarna (se avsnitt 7.3.3). Regeringen har i juni 2015 överlämnat en remiss till Lagrådet med förslag till en lag om behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Utredningen gör den bedömningen att regleringen av personuppgiftsbehandlingen på utlännings- och migrationsområdet kommer att vara förenlig med de nya reglerna om domstolarnas behandling av personuppgifter.
6.8. EU:s uppgiftsskyddsförordning
Utredningen ska också i sitt arbete noga följa den fortsatta behandlingen inom EU av förslaget till ny dataskyddsreglering samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.
Utredningen redovisar det pågående reformarbetet av EU:s regler om skydd för personuppgifter och förslag till uppgiftsskyddsförordning i avsnitt 3.4. Utredningen hänvisar därför till detta avsnitt i denna del.
Kommissionens förslag till uppgiftsskyldighetsförordning baseras till en stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet, men innehåller även vissa skillnader. Ambitionen synes vara att RIF-rådet (dvs. Rådet för rättsliga och inrikes frågor) i juni 2015 ska kunna besluta om en allmän inrikt-
ning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förordningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar med Europaparlamentet och kommissionen om uppgiftsskyddsförordningen. Ambitionen är vidare att lagstiftningsprocessen ska drivas med inriktning på ett slutförande i år. Enligt kommissionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet.
Mot bakgrund av ovan har utredningen inte haft möjlighet att särskilt anpassa den nya utlänningsdatalagen till reformarbetet av EU:s regler om skydd för personuppgifter.
6.9. Informationshanteringsutredningen
Enligt utredningens direktiv ska utredningen samråda med Informationshanteringsutredningen. I oktober 2011 tillsatte regeringen en särskild utredare med uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor (dir. 2011:86). Utredningen har tagit namnet Informationshanteringsutredningen. I utredarens uppdrag ingick bland annat att överväga om definitionen av begreppet ”allmän handling” i tryckfrihetsförordningen är lämpligt utformad när det gäller sådana uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande och, om utredaren anser att definitionen bör ändras, lämna förslag till ändring av denna. Utredningen skulle vidare överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande samt göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. I uppdraget ingick också att, med beaktande av utvecklingen inom EU och Europarådet, utarbeta en generell modell för reglering av registerfrågor och, med modellen som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena.
I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisade utredningen sitt uppdrag vad avser vissa delfrågor. I betänkandet tar utredningen ställning till om överskottsinformation vid direktåtkomst och liknande elektronisk tillgång till annan myndighets elektroniska informationssamling bör undantas
från begreppet allmän handling och, för det fall överskottsinformation inte undantas från begreppet allmän handling, de bestämmelser som förts in i offentlighets- och sekretesslagen (2009:400) med anledning av den nuvarande ordningen (bland annat 11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller om de bör justeras. Utredningen skulle även ta ställning till om det fanns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande, men eftersom utredningen inte föreslog någon grundlagsändring i syfte att undanta överskottsinformation vid direktåtkomst från begreppet allmän handling lämnade utredningen inga förslag angående frågan om begreppsbildningen för elektroniska utlämnandeformer utan avsåg att återkomma till frågan om begreppsbildningen i slutbetänkandet.
Genom tilläggsdirektiv i mars 2014 ändrades inriktningen på utredningens uppdrag. Uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på registerförfattningar för dessa verksamheter samt att överväga vilka typer av allmänna handlingar som myndigheterna inom dessa verksamhetsområden ska vara skyldiga att lämna ut i elektronisk form utgick. Utredningen fick i stället i uppdrag att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheternas personuppgiftsbehandling och lämna författningsförslag till en sådan, med beaktande bland annat av den pågående översynen inom EU av regleringen om skyddet för personuppgifter.
Utredningen redovisade sitt uppdrag i april 2015 genom slutbetänkandet Myndighetsdatalag (SOU 2015:39). I betänkandet framgår att utredningen bedömer att dagens regelverk med bland annat olika registerförfattningar är fragmentiserat, svårförståeligt och i vissa fall inte anpassat till annan lagstiftning och tekniska lösningar för hantering av personuppgifter. Utredningen föreslår därför att dagens regler reformeras och huvudsakligen ersätts av en ny lag – myndighetsdatalagen – med generella bestämmelser för myndigheters behandling av personuppgifter. Den nya lagstiftningen föreslås gälla för alla myndigheters hantering av personuppgifter med undantag för myndigheters brottsbekämpande och brottsförebyggande verksamhet. Förslaget innebär en renodlad persondataskyddsreglering och ska alltså inte i något avseende reglera myndigheternas sakverksamhet.
7. En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
7.1. Lagens namn
Utredningens förslag: Lagen ska heta utlänningsdatalag.
Automatiserad behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen). Ett lämpligt namn för lagen hade således kunnat vara lagen om behandling av personuppgifter i verksamhet
enligt utlännings- och medborgarskapslagstiftningen. Namnet har den
fördelen att det tydligt framgår vad lagen handlar om. Utredningen anser det dock lämpligt att den nya lagen får namnet utlänningsdatalagen. Det är konsekvent med tanke på andra lagar på personuppgiftsbehandlingsområdet som tillkommit på senare år, till exempel patientdatalagen (2008:355), polisdatalagen (2010:361, PDL) och kustbevakningsdatalagen (2012:145). Namnet ger också en uppfattning om vad lagen handlar om, nämligen behandling av uppgifter om utlänningar. Vidare innebär namnet en tydlig koppling till utlänningslagen (2005:716, UtlL), som innehåller bestämmelser om en stor del av den verksamhet vars personuppgiftsbehandling ska regleras i den nya lagen. Utlänningsdatalagen är således det lämpligaste namnet.
7.2. Lagens syfte
Utredningens förslag: Syftet med lagen ska vara att ge berörda
myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Enligt 1 § personuppgiftslagen (1998:204, PUL) är syftet med den lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I utlänningsdataförordningen finns det inte någon särskild bestämmelse om syftet med regleringen. En sådan bestämmelse är dock vanligt förekommande i de registerförfattningar som utarbetats på senare år. Två exempel är polisdatalagen och kustbevakningsdatalagen.
I förarbetena till både polisdatalagen och kustbevakningsdatalagen anförs att det finns skäl att i dessa lagar införa särskilda bestämmelser av vilka det framgår att syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (se prop. 2009/10:85 s. 66 och prop. 2011/12:45 s. 67). I förarbetena betonas dock att det utöver integritetsintresset finns andra intressen som ska vägas in. I polisens fall anges att även samhällets rättmätiga krav på att ett rättssäkert och effektivt brottsbekämpande bör komma till uttryck i bestämmelsen om lagens syfte. I kustbevakningsdatalagen anges på motsvarande sätt att lagens syfte utöver integritetsskydd för den enskilde också är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet.
Utlänningsdatalagens bestämmelser kommer att gälla i stället för personuppgiftslagen vid viss behandling av personuppgifter inom utlännings- och medborgarskapsområdet. Personuppgiftslagens bestämmelse som rör syftet med lagen kommer således inte att vara tillämplig. Det är därför lämpligt att i utlänningsdatalagen inledningsvis tydligt ange vad som är syftet med den lagen.
Inom verksamhet på utlännings- och medborgarskapsområdet finns en liknande problematik som inom polisverksamhet och kustbevakningens verksamhet. Myndigheterna har behov av att behandla en stor mängd information, även känsliga personuppgifter, och av att utnyttja modern informationsteknik för att kunna utföra sina
uppgifter på ett korrekt och effektivt sätt. Samtidigt kan personuppgiftsbehandlingen innebära risk för intrång i den personliga integriteten. Skyddet för den enskildes integritet måste dock upprätthållas.
Bestämmelserna i den nya lagen har till syfte att balansera dessa båda intressen: en rättssäker och effektiv verksamhet och skyddet för den enskildes personliga integritet vid personuppgiftsbehandling i sådan verksamhet. Dessa dubbla syften kommer till uttryck i lagens bestämmelser. Lagen gör det visserligen möjligt att behandla personuppgifter på ett sätt som går utöver vad som är möjligt enligt personuppgiftslagen. Integritetsskyddet säkras dock genom kompensatoriska åtgärder, såsom särskilda bestämmelser om ändamål, hur och av vem uppgifterna får användas, hur sökning får ske, direktåtkomst, gallring och avskiljande. Det är därför lämpligt att i den nya lagen införa en särskild bestämmelse om att lagens syfte både är att ge vissa myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En sådan bestämmelse tydliggör lagstiftningens dubbla roll, vilket bland annat kan vara av betydelse i olika tolkningssituationer.
7.3. Lagens tillämpningsområde
Utredningens förslag: Lagen ska tillämpas vid behandling av
personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:
1. utlänningars inresa i Sverige eller i en stat som ingår i Euro-
peiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. statusförklaring,
3. mottagande av asylsökande och andra utlänningar,
4. bistånd och stöd till utlänningar,
5. svenskt medborgarskap,
6. statlig ersättning för kostnader för utlänningar eller
7. bosättning av utlänningar.
Lagen ska vidare vara tillämplig vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.
7.3.1. Inledning
I utredningens direktiv definieras inte vad som avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det anges dock att verksamhet enligt utlännings- och medborgarskapslagstiftningen främst bedrivs av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna.
Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag av utlänningsdataförordningen.
Det finns emellertid andra myndigheter som, även om de inte regleras i utlänningsdataförordningen, antingen utför sådan verksamhet som beskrivs i förordningen eller har uppgifter enligt utlännings-
lagen och lagen (2001:82) om svenskt medborgarskap (medborgarskapslagen), se avsnitten 4.3.6, 4.4.2, 4.5.1 och 4.5.5.
Det finns därför anledning att se närmare på hur utlänningsdatalagens tillämpningsområde bör avgränsas, dels vad gäller vilka myndigheters behandling av personuppgifter som ska regleras av lagen, dels vilken verksamhet hos dessa myndigheter som lagens bestämmelser ska omfatta. Tillämpningsområdet bör begränsas till det som kräver särreglering i förhållande till personuppgiftslagen.
7.3.2. Ska myndigheterna anges i lagen?
En första fråga utredningen har att ta ställning till är om det i lagen uttryckligen ska anges vilka myndigheters personuppgiftsbehandling som regleras av lagen. Ett alternativ är att i stället endast beskriva den verksamhet på vilken lagen ska tillämpas.
I särskilda registerförfattningar som reglerar myndigheters personuppgiftsbehandling är det vanligt att det i lagen specificeras vilka myndigheter som ska tillämpa den. Så är exempelvis fallet i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen. Modellen har ansetts lämplig, eftersom lagens adressat framgår tydligt. Den har vidare fördelen att man slipper skriva in undantagsbestämmelser i lagen för att undvika dubbelreglering av viss verksamhet. Utredningen gör bedömningen att det i lagen bör anges vilka myndigheters personuppgiftsbehandling som regleras av lagen.
7.3.3. Vilka myndigheters behandling av personuppgifter ska regleras av lagen?
Den nya lagen bör, i likhet med den nuvarande utlänningsdataförordningen, enligt utredningens bedömning gälla för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling inom verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Nästa fråga är om den krets av myndigheter som ska tillämpa utlänningsdatalagen bör utvidgas i förhållande till vad som gäller enligt nuvarande reglering. Som framgår av avsnitten 4.3. 4.4, 4.5 och 4.6 finns det utöver Migrationsverket, Polismyndigheten, Säkerhets-
polisen och utlandsmyndigheterna vissa andra myndigheter som utövar verksamhet som faller inom utlännings- och medborgarskapsområdet. Frågan är om utlänningsdatalagen bör omfatta även dessa myndigheters personuppgiftsbehandling.
Domstolarna
Både förvaltningsdomstolarna och de allmänna domstolarna har verksamhet som regleras av utlänningslagen eller medborgarskapslagen.
En förvaltingsmyndighets beslut enligt utlänningslagen och medborgarskapslagen som överklagas prövas i regel av migrationsdomstol (16 kap. UtlL och 26 § medborgarskapslagen).
Allmänna domstolar prövar frågor om utvisning på grund av brott efter talan av allmän åklagare (8 a kap. 6 § UtlL).
Den verksamhet som domstolarna bedriver på utlännings- och medborgarskapsområdet består av rättskipande verksamhet. All automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten vid domstolarna regleras i dag i de s.k. Vera-förordningarna: förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling och förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling. Domstolarnas behandling kommer emellertid med all sannolikhet i framtiden att regleras i en särskild domstolsdatalag. Ett förslag till domstolsdatalag bereds för närvarande (maj 2015) inom Regeringskansliet. Den nya domstolsdatalagen kommer sannolikt att gälla vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas samt hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet (se promemorian Ds 2013:10 s. 46 f.). Lagen ska gälla om behandlingen är helt eller delvis automatiserad eller sker i manuella register. Domstolarnas behandling av personuppgifter inom verksamhet enligt utlännings- och medborgarskapslagstiftningen är således redan reglerad, i dagsläget genom de ovan nämnda förordningarna och i framtiden av en domstolsdata-
lag. Domstolarnas personuppgiftsbehandling på utlännings- och medborgarskapsområdet bör därför enligt utredningen falla utanför den kommande utlänningsdatalagens tillämpningsområde.
Regeringskansliet
Regeringskansliet avgör med stöd av 3 kap. 5 § och 5 kap. 20 § UtlL vissa ärenden som rör nationell visering och uppehållstillstånd. I vilka fall Regeringskansliet kan besluta om visering och uppehållstillstånd framgår av Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1). I föreskrifterna framgår att Regeringskansliet kan besluta om visering för bland andra främmande staters beskickningsmedlemmar, konsuler och deras familjemedlemmar.
Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet (7 kap. 8 § UtlL).
Regeringen beslutar vidare vilka kategorier av personer som får ges uppehållstillstånd med tillfälligt skydd enligt 21 kap. 3 § UtlL, utöver dem som omfattas av Europeiska unionens råds beslut. Dessa bestämmelser har dock ännu aldrig tillämpats.
Regeringskansliet bereder härutöver de ärenden som enligt särskilda regler ska överklagas till regeringen. Det gäller Migrationsverkets beslut i säkerhetsärenden enligt 27 § medborgarskapslagen och Migrationsverkets beslut om utvisning, uppehållstillstånd, statusförklaring m.m. i säkerhetsärenden enligt lagen (1991:572) om särskild utlänningskontroll.
Det saknas särreglering för den personuppgiftsbehandling som Regeringskansliet utför i ovan angiven verksamhet. Behandlingen av personuppgifter regleras således i dag av personuppgiftslagen.
Antalet ansökningar om uppehållstillstånd som prövas av Regeringskansliet är tämligen omfattande. Det rör sig om ca 1 300 ärenden per år. Denna ärendehantering innefattar dock inte behandling av känsliga personuppgifter.
När det gäller Regeringskansliets beredning av säkerhetsärenden enligt medborgarskapslagen och lagen om särskild utlänningskontroll kan konstateras att det rör sig om ett fåtal ärenden per år. I ärendena förekommer visserligen känsliga personuppgifter, men de
uppgifter som behandlas elektroniskt behandlas endast i löpande text. De undantag som finns avseende behandling av känsliga personuppgifter i 15−19 §§ PUL och 8 § personuppgiftsförordningen (1998:1191, PUF) torde därför vara tillräckliga.
Sammanfattningsvis gör utredningen bedömningen att Regeringskansliets behandling av personuppgifter inom utlännings- och medborgarskapsområdet varken är så omfattande eller av sådan karaktär att särreglering krävs. Denna personuppgiftsbehandling bör således inte falla under utlänningsdatalagens tillämpningsområde.
Tullverket och Kustbevakningen
Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid kontrollen av utlänningars inresa eller utresa enligt 9 kap. 1 § UtlL. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. När inresekontrollen sköts av särskilt förordnade tulltjänstemän eller tjänstemän vid Kustbevakningen har de samma befogenheter som en polisman har, se 9 kap. 2 § UtlL.
Kustbevakningens personuppgiftsbehandling regleras i kustbevakningsdatalagen. Lagen gäller för samtliga Kustbevakningens operativa verksamheter, däribland brottsbekämpning och övrig sjöövervakning (1 kap. 2 § kustbevakningsdatalagen). Den brottsbekämpande verksamheten innefattar bland annat övervakning för att förhindra brott mot föreskrifter och andra författningar som gäller utlänningars inresa till och utresa från eller vistelse i Sverige (se prop. 2011/12:45 s. 40 f.) Med sjöövervakning avses bland annat verksamhet som innefattar personers inresa i, utresa från eller vistelse i Sverige. För kustbevakningens personuppgiftsbehandling i samband med utlänningsverksamhet finns således redan en särreglering. Det finns därför inte skäl att reglera Kustbevakningens personuppgiftsbehandling i den nya lagen.
Tullverkets personuppgiftsbehandling regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och, vad gäller den brottsbekämpande verksamheten, i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den personuppgiftsbehandling som Tullverket utför i samband med att myndigheten bistår Polismyndigheten i samband med utlänningskontroll
regleras emellertid inte av ovan nämnda författningar. Personuppgiftslagen är således i stället tillämplig på den personuppgiftsbehandling som Tullverket utför i samband med utlänningskontrollen. Vid utredningens kartläggning har framkommit att Tullverket deltar i en mycket liten utsträckning i Polismyndighetens utlänningskontroll och att personuppgiftslagens bestämmelser, dock med undantag för vad som anförs i kapitel 11, ger ett tillräckligt skydd vid den personuppgiftsbehandling som utförs. Det finns därför inte skäl att utvidga den nya lagens tillämpningsområde till att även omfatta Tullverkets personuppgiftsbehandling i samband med utlänningskontroll.
Se dock kapitel 11 i vilket utredningen föreslår visst skadeståndsansvar för Kustbevakningen och Tullverket efter fingeravtryckskontroller vid Schengenviseringar.
Länsstyrelserna
Länsstyrelserna prövar anmälan om svenskt medborgarskap enligt 7, 8, 9, 18 eller 19 §§ medborgarskapslagen som rör medborgare i Danmark, Finland, Island eller Norge. Om en länsstyrelse finner anledning att anta att ett beslut om utvisning enligt 1 § lagen om särskild utlänningskontroll bör meddelas ska myndigheten anmäla det till Säkerhetspolisen.
Länsstyrelsernas behandling av personuppgifter i verksamhet som anges ovan är varken med hänsyn till sin omfattning eller till integritetskänsligheten sådan att den kräver någon särreglering. Länsstyrelsernas personuppgiftsbehandling inom utlännings- och medborgarskapsområdet bör således enligt utredningen inte regleras av utlänningsdatalagen.
Kommunerna
Kommunerna ansvarar för boende för och bistånd till utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas samt ansvarar för boende för ensamkommande flyktingbarn, se 1 § 3 lagen (1994:139) om mottagande av asylsökande m.fl. Det är vidare kommunernas uppgift att erbjuda barn och ungdomar förskoleverksamhet eller ut-
bildning och att erbjuda vissa nyanlända invandrare samhällsorientering.
Den personuppgiftsbehandling som kommunerna utför i samband med ovan beskriven verksamhet är delvis föremål för särreglering. En socialnämnds behandling av personuppgifter vid handläggning av ärenden om bistånd enligt lagstiftning om mottagande av asylsökande m.fl. regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Något ytterligare behov av särreglering av kommunernas verksamhet har enligt utredningen inte framkommit.
Arbetsförmedlingen
Arbetsförmedlingen är ansvarig för insatser för att underlätta nyanlända invandrares etablering i arbets- och samhällslivet, bland annat genom att upprätta etableringsplaner och anordna aktiviteter enligt planen. Arbetsförmedlingen prövar i vissa fall frågor om ersättning till dem som medverkat i upprättande av etableringsplaner och aktiviteter enligt planen.
Arbetsförmedlingens behandling av personuppgifter på utlänningsområdet regleras i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och i viss mån i patientdatalagen. Lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten omfattar Arbetsförmedlingens behandling av uppgifter om arbetssökande, arbetsgivare, kontaktpersoner och andra personer i den arbetsmarknadspolitiska verksamheten. När det gäller frågan vad som ska anses utgöra arbetsmarknadspolitisk verksamhet hänvisas i lagens förarbeten till tre bestämmelser i förordningen (2000:628) om den arbetsmarknadspolitiska verksamheten. Dessa bestämmelser anges utgöra ramen för den arbetsmarknadspolitiska verksamheten (se prop. 2001/02:144 s. 17). Två av dessa bestämmelser upphävdes i samband med att regleringen av Arbetsförmedlingens huvuduppgifter fördes över till Arbetsförmedlingens nya instruktion, förordningen (2007:1030) med instruktion för Arbetsförmedlingen. Ramarna för den arbetsmarknadspolitiska verksamheten får nu i stället anses regleras av de bestämmelser i instruktionen som har ersatt de upphävda bestämmelserna och som beskriver Arbetsförmedlingens uppdrag och uppgifter samt av 5 § förordningen (2000:628) om den arbetsmarknadspoli-
tiska verksamheten. Av dessa bestämmelser framgår att med arbetsmarknadspolitisk verksamhet avses bland annat insatser för att nyanlända invandrare erbjuds insatser som främjar en snabb och effektiv etablering på arbetsmarknaden. I samband med att lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare trädde i kraft den 1 december 2010 utvidgades tillämpningsområdet för Arbetsförmedlingens registerlag till att omfatta även ärenden enligt denna lag samt för ärenden om bosättning av vissa nyanlända. Arbetsförmedlingens verksamhet på utlänningsområdet är således redan särreglerat i förhållande till personuppgiftslagen. Utlänningsdatalagens tillämpningsområde bör därför enligt utredningen inte omfatta Arbetsförmedlingens personuppgiftsbehandling på utlänningsområdet.
Försäkringskassan
Försäkringskassan prövar frågor om etableringstillägg och bostadsersättning samt betalar ut etableringsersättning, etableringstillägg och bostadsersättning enligt förordningen (2010:407) om ersättning till vissa nyanlända invandrare. Försäkringskassans behandling av personuppgifter regleras i 114 kap. socialförsäkringsbalken (2010:110). Denna personuppgiftsbehandling bör därför enligt utredningen inte falla under den nya lagens tillämpningsområde.
Centrala studiestödsnämnden
Enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar handlägger Centrala studiestödsnämnden ärenden om beviljning, utbetalning och återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar. I 28 och 29 §§ regleras nämndens möjlighet att föra automatiserade personregister för administration av lån enligt förordningen. För nämndens personuppgiftsbehandling i samband med låneärendena finns således redan en särreglering. Personuppgiftsbehandlingen bör därför enligt utredningen inte regleras i utlänningsdatalagen.
Landstingen
Landstingen är skyldiga att erbjuda viss hälso- och sjukvård samt tandvård till asylsökande och vissa andra utlänningar. Vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården tillämpas patientdatalagen. Inte heller landstingens personuppgiftsbehandling bör därför enligt utredningen infogas i utlänningsdatalagens tillämpningsområde
Sammanfattning
Sammanfattningsvis gör utredningen bedömningen att kretsen av myndigheter som ska tillämpa utlänningsdatalagen ska vara densamma som gäller enligt den nuvarande utlänningsdataförordningen.
7.3.4. Vilken personuppgiftsbehandling ska lagen tillämpas på?
Som framgår av avsnitt 6.4.5 föreslår utredningen att den nya lagen ska omfatta all helt eller delvis automatiserad personuppgiftsbehandling samt manuell behandling av personuppgifter i register på utlännings- och medborgarskapsområdet. Utredningen föreslår således att den nuvarande utlänningsdataförordningens reglering som utgår från olika register i verksamheten överges och att ändamålsbestämmelser i stället ska styra vilka uppgifter som får behandlas. Undantag är dock Migrationsverkets fingeravtrycksregister som enligt utredningen även fortsättningsvis bör regleras som ett register, se avsnitt 7.10.
Med begreppen automatiserad behandling avses detsamma som i personuppgiftslagen, se avsnitt 3.5.3 Med personuppgift avses enligt definitionen i 3 § PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen omfattar således inte avlidna personer. Det finns dock ingenting som hindrar att lagen tillämpas även vid behandling av uppgifter som rör avlidna personer.
I gällande utlänningsdataförordning specificeras vad som menas med verksamhet enligt utlännings- och medborgarskapslagstiftningen. I 1 § anges att med sådan verksamhet avses
1. verksamhet som gäller utlänningars vistelse i och avlägsnande från
landet,
2. verksamhet som gäller utlänningars rätt att arbeta i landet,
3. mottagande av asylsökande och vissa andra utlänningar,
4. verksamhet som rör bistånd och stöd till utlänningar som enligt
lag eller annan författning handläggs av Migrationsverket,
5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt
medborgarskap och
6. verksamhet som gäller ersättning för och bosättning av utlänningar
som enligt lag eller annan författning handläggs av Migrationsverket.
Som framgår av avsnitt 4.3 och 4.4. avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen främst den verksamhet som myndigheterna bedriver med stöd av utlänningslagen och medborgarskapslagen. Migrationsverket, utlandsmyndigheterna, Polismyndigheten och Säkerhetspolisen utför därutöver vissa uppgifter på utlännings- och medborgarskapsområdet som inte regleras i nyss nämnda författningar (se avsnitt 4.5 och 4.6). I förtydligande syfte bör det därför även i den nya lagen finnas en specificering av vilken verksamhet som omfattas av lagens tillämpningsområde. Nedan följer en närmare beskrivning av den verksamhet som enligt utredningens mening bör omfattas av den föreslagna lagen. Av tydlighetsskäl bör en uppdelning göras mellan å ena sidan Migrationsverkets och utlandsmyndigheternas verksamhet och å andra sidan Polismyndighetens och Säkerhetspolisens verksamhet.
Migrationsverket och utlandsmyndigheterna
Lagen bör vara tillämplig vid Migrationsverkets och utlandsmyndigheternas verksamhet som beskrivs under nedan angivna rubriker. Viss verksamhet kan falla under flera rubriker.
Utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige
Med denna verksamhet avses främst Migrationsverkets och utlandsmyndigheternas verksamhet enligt utlänningslagen och utlänningsförordningen (2006:97, UtlF), dvs. verksamhet som rör visering, uppehållstillstånd, arbetstillstånd, avvisning, utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen avses. Vidare faller Migrationsverkets behandling av personuppgifter i ärenden om utvisning, förvar m.m. av utlänningar enligt lagen om särskild utlänningskontroll under denna rubrik.
Statusförklaring
Under denna rubrik faller Migrationsverkets behandling av personuppgifter i anledning av beslut om eller återkallelse av statusförklaring enligt 4 kap. 3−3 c och 5 b−5 c §§ UtlL. En utlänning som med åberopande av skyddsskäl ansökt om uppehållstillstånd ska förklaras vara flykting (flyktingstatusförklaring), om han eller hon uppfyller definitionen för flykting och inte är utesluten från att anses som flykting av de skäl som anges i 4 kap. 2 § UtlL (exempelvis om han eller hon har gjort sig skyldig till brott mot freden eller krigsförbrytelser). En utlänning kan också förklaras vara alternativt skyddsbehövande (alternativ skyddsstatusförklaring) eller övrig skyddsbehövande (övrig skyddsstatusförklaring) om utlänningslagens krav för det är uppfyllda. Frågan om statusförklaring prövas vanligtvis samtidigt med frågan om uppehållstillstånd. Frågan ska tas upp till prövning utan särskilt yrkande.
Mottagande av asylsökande och andra utlänningar
Med mottagande av asylsökande och andra utlänningar avses Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Verksamhet som avser ekonomiskt bistånd eller stöd behandlas under en egen rubrik, se nedan. Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar faller också under denna rubrik.
Bistånd och stöd till utlänningar
Här avses Migrationsverkets verksamhet som gäller ekonomiskt bistånd enligt lagen om mottagande av asylsökande m.fl. och anslutande förordning. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses. Migrationsverkets personuppgiftsbehandling som föranleds av bidragsbrottslagen (2007:612) och lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen omfattas också.
Svenskt medborgarskap
Här avses Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen om svenskt medborgarskap och medborgarskapsförordningen (2001:218).
Statlig ersättning för kostnader för utlänningar
I förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. finns bestäm-
melser om statlig ersättning till kommuner, landsting, kommunalförbund och öppenvårdsapotek för vissa kostnader för utlänningar. Det är Migrationsverket som beslutar om sådan ersättning. Migrationsverkets personuppgiftsbehandling i samband med denna handläggning bör också höra till den nya lagens tillämpningsområde.
Bosättning av utlänningar
Härmed avses Migrationsverkets ansvar för bosättning av vissa utlänningar enligt lagen om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet enligt förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare avses.
Polismyndigheten och Säkerhetspolisen
Polismyndigheten
Som framgår av redogörelsen i kapitel 4 utför Polismyndigheten vissa uppgifter enligt utlännings- och medborgarskapslagstiftningen. Polismyndigheten har huvudansvaret för personkontroller vid yttre gräns i samband med inresa och utresa samt för inre utlänningskontroll. Polismyndigheten har behörighet att handlägga och besluta i viseringsärenden. Polismyndigheten får, vid sidan av Migrationsverket, i vissa fall besluta om avvisning. Myndigheten verkställer egna beslut om avvisning och en allmän domstols beslut om utvisning på grund av brott. Vidare verkställer Polismyndigheten beslut om utvisning och avvisning som har lämnats över från Migrationsverket. Det gäller ärenden som rör personer som håller sig undan eller sådana fall där Migrationsverket bedömer att tvång är nödvändigt för att verkställa beslutet. Det är också Polismyndigheten som verkställer utlämningar och överlämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.
När det gäller Polismyndighetens verksamhet på utlännings- och medborgarskapsområdet finns en annan närliggande lagstiftning som
bör beaktas. Polismyndighetens personuppgiftsbehandling i den brottsbekämpande verksamheten regleras i polisdatalagen, som trädde i kraft den 1 mars 2012. Polisdatalagen gäller från och med den 1 januari 2015 vid behandling av personuppgifter i
1. brottsbekämpande verksamhet vid Polismyndigheten, i Nationellt
forensiskt centrum dock endast vid behandling av personuppgifter i vissa särskilda register,
2. brottsbekämpande verksamhet vid Säkerhetspolisen i den utsträck-
ning som anges i lagen och
3. polisiär verksamhet vid Ekobrottsmyndigheten.
Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Polismyndighetens personuppgiftsbehandling i den brottsbekämpande verksamheten bör således falla utanför den föreslagna lagens tillämpningsområde. Frågan är vad som närmare avses med brottsbekämpande verksamhet.
Med brottsbekämpande verksamhet avses enligt förarbetena till polisdatalagen verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott (se prop. 2009/10:85 s. 74). I propositionen diskuteras vilka polisuppgifter som ryms inom dessa ändamål och därmed bör anses utgöra brottsbekämpande verksamhet. När denna bedömning görs finns det enligt propositionen skäl att utgå från beskrivningen av polisens uppgifter i 2 § polislagen (1984:387), trots att polisen numera tillämpar en något annan indelning av arbetsuppgifterna. Till Polismyndighetens uppgifter hör enligt 2 § polislagen att
1. förebygga, förhindra och upptäcka brottslig verksamhet och andra
störningar av den allmänna ordningen eller säkerheten,
2. övervaka den allmänna ordningen och säkerheten och ingripa
när störningar har inträffat,
3. utreda och beivra brott som hör under allmänt åtal,
4. lämna allmänheten skydd, upplysningar och annan hjälp, när så-
dant bistånd lämpligen kan ges av polisen och
5. fullgöra den verksamhet som ankommer på Polismyndigheten
enligt särskilda bestämmelser.
Den verksamhet som beskrivs i punkterna 1−3 avser som huvudregel brottsbekämpande verksamhet som faller under polisdatalagens tillämpningsområde. Den verksamhet som beskrivs i punkten 4, som brukar kallas polisens serviceverksamhet, och i punkten 5, den s.k. polismyndighetsverksamheten, faller generellt sett utanför polisdatalagens tillämpningsområde. Till polismyndighetsverksamheten räknas till exempel biträde åt andra myndigheter vid tvångsingripanden.
Till de uppgifter som faller utanför den brottsbekämpande verksamheten, och därmed inte omfattas av polisdatalagens tillämpningsområde, hör enligt propositionen bland annat hjälpåtgärder inom trafiken, medverkan vid katastrofer och liknande händelser samt åligganden av skilda slag inom området för offentlig förvaltning, till exempel tillstånds- och tillsynsärenden av olika slag (exempelvis avseende vapen, sprängämnen, offentliga tillställningar och nyttjande av offentlig plats), passärenden och ärenden om delgivning eller annan handräckning. Hit räknas även vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. I propositionen konstateras att begreppet allmän ordning och säkerhet under punkten 1 är vittomfattande och svårdefinierat. Den allmänna ordningen och säkerheten kan störas både genom brott och på andra sätt. Sådana polisuppgifter som innebär att polisen förebygger, hindrar och ingriper mot andra störningar av den allmänna ordningen och säkerheten än som innefattar brott kan enligt propositionen inte anses utgöra brottsbekämpande verksamhet i det här sammanhanget. Detsamma gäller övervakning av den allmänna ordningen och säkerheten som inte syftar till att förebygga brott. Den mer renodlade övervakningen och ordningshållande verksamhet som polisen bedriver ska inte betraktas som brottsbekämpande och faller därmed utanför polisdatalagens tillämpningsområde. I propositionen konstateras således att vissa uppgifter som omfattas av 2 § 1–3 polislagen inte kan anses utgöra brottsbekämpande verksamhet och därmed inte bör omfattas av polisdatalagens tillämpningsområde.
Som framgår av redogörelsen ovan är gränsen mellan Polismyndighetens olika uppgifter inte alltid tydlig. Det medför vissa svårigheter att avgöra vilken verksamhet på utlännings- och medborgar-
skapsområdet som utgör brottsbekämpande verksamhet och därmed faller under polisdatalagens tillämpningsområde och vilken verksamhet som i stället bör regleras av utlänningsdatalagen.
Polismyndigheten har huvudansvaret för den yttre och inre utlänningskontrollen. Sveriges fullvärdiga deltagande i Schengensamarbetet innebar att kontrollen vid s.k. inre gräns, dvs. gräns mot andra Schengenstater som exempelvis Danmark och Norge, i princip upphörde, medan utlänningslagens bestämmelser om kontroll vid yttre gräns, dvs. gräns mot icke-Schengenstat, skärptes bland annat genom att obligatorisk utresekontroll infördes.
När det gäller den yttre utlänningskontrollen anges i en kommentar till polislagen att den övervakning som avses i 2 § 2 polislagen omfattar bland annat gränsövervakning (Berggren, N. m.fl., Polislagen. En kommentar. 1 april 2014 Zeteo, kommentaren till 2 § polislagen). Detta ger intryck av att den personuppgiftsbehandling som utförs i samband med den yttre utlänningskontrollen regleras av polisdatalagen. I sammanhanget bör dock beaktas att den yttre utlänningskontrollen har flera syften. Ett av dem är den traditionella gränskontrollen, dvs. att kontrollera den inresandes identitet och att denne uppfyller de krav som ställs för att få resa in i Sverige och vistas här, dvs. att kontrollera att en utlänning uppfyller de formella och materiella kraven enligt utlänningslagen för rätt till inresa och vistelse i Sverige (se SOU 2004:110 s. 126 f.). Här avses framför allt kontroll av att de i utlänningslagen angivna avvisnings- eller utvisningsgrunderna inte föreligger (se 8 kap. UtlL).
Ett annat syfte med den yttre utlänningskontrollen är att förebygga, förhindra och upptäcka brottslig verksamhet, framför allt gränsöverskridande brottslighet, till exempel människohandel. Kontrollen syftar till att undersöka om utlänningen har eller kan förväntas begå brott, och på så sätt förhindra och bekämpa brottsligheten i Sverige och inom hela Schengenområdet. Kontrollens syfte är också att avvärja hot mot allmän ordning och säkerhet.
Även utresekontrollen har flera syften. Ett av dem är att fastställa utlänningens identitet och att kontrollera att utlänningen har giltiga resehandlingar. Kontrollen omfattar en undersökning av att en utlänning inte vistas längre i Sverige eller Schengenområdet än vad han eller hon haft tillstånd till. Ett annat är att fånga upp efterspanade brottslingar som försöker lämna landet och att hitta efterlyst egendom.
Det kan således konstateras att den yttre utlänningskontrollen innehåller moment av olika karaktär. Som ovan anförs är ett av syftena med verksamheten att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten. Den personuppgiftsbehandling som utförs i sådan verksamhet torde falla under polisdatalagens tillämpningsområde. Den yttre gränskontrollen har emellertid också som ändamål att se till att den som reser in i landet uppfyller villkoren för att få vistas här och att den som begär asyl får sin sak prövad på ett korrekt sätt. Denna typ av verksamhet kan inte sägas utgöra brottsbekämpande verksamhet. Den personuppgiftsbehandling som utförs vid denna typ av kontroll bör i stället falla under utlänningsdatalagens tillämpningsområde. En insats kan även innehålla moment av både brottsbekämpning och utlänningskontroll. Då får polisdatalagen och utlänningsdatalagen tillämpas på respektive verksamhet. Avgörande för gränsdragningen är om det rör sig om brottsbekämpande verksamhet eller inte.
Enligt 1 § Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens inre utlänningskontroll (RPSFS 2011:4) avses med inre
utlänningskontroll en åtgärd som vidtas med stöd av 9 kap. 9 § UtlL.
Bestämmelsen föreskriver bland annat en skyldighet för en utlänning att på begäran till en polisman överlämna pass och andra handlingar som visar att han eller hon har rätt att uppehålla sig i Sverige samt att på kallelse från Polismyndigheten komma till myndigheten och lämna uppgifter. I de allmänna råden i anslutning till 1 § anges att med inre utlänningskontroll avses alla handlingar som syftar till att kontrollera om en utlänning har rätt att uppehålla sig i landet. Därigenom inbegrips inte enbart en uppmaning till utlänningen att visa upp pass eller andra handlingar, utan även till exempel frågor till utlänningen och kontroller i dataregister. I 3 § anges att den inre utlänningskontrollen ska inriktas mot att övervaka att utlänningar inte vistas eller arbetar här i landet utan att uppfylla föreskrivna villkor och att efterspana utlänningar för vilka det finns ett beslut om avvisning eller utvisning som ska verkställas. Av 4 § följer att kontrollen ska bedrivas över hela det svenska territoriet och vara en integrerad del av Polismyndighetens olika verksamhetsgrenar. Det bör i sammanhanget uppmärksammas att inre utlänningskontroll enligt 9 kap. 9 § tredje stycket UtlL endast får ske om det finns grundad anledning att anta att utlänningen saknar
rätt att uppehålla sig här i landet eller om det annars finns särskild anledning till kontroll. Avslutningsvis anges i föreskrifterna, under rubriken Övrigt, att utöver inre utlänningskontroll bör Polismyndighetens uppgift att utreda brott, inklusive brott mot utlänningslagen, beaktas. Denna arbetsuppgift kan utföras både vid in- och utresa över yttre gräns och i anslutning till inre gräns likväl som på det svenska territoriet i övrigt. En kontroll av en misstänkt person under en förundersökning görs ytterst i syfte att lagföra den misstänkte för brottet. Om en kontroll görs eller straffprocessuella tvångsmedel enligt 24–28 kap. rättegångsbalken används under en förundersökning med anledning av misstanke om brott, är det inte att betrakta som en inre utlänningskontroll och inte heller som personkontroll vid in- och utresa över svensk gräns.
Enligt ovan angivna föreskrifter är syftet med den inre utlänningskontrollen att kontrollera om en utlänning har rätt att uppehålla sig i landet. Den inre utlänningskontrollen kan emellertid också ha ett brottsbekämpande syfte. Schengensamarbetet innebär att de inre gränskontrollerna i princip har avskaffats. Människosmuggling och annan gränsöverskridande brottslighet ska i stället förhindras genom kompensatoriska åtgärder. Med sådana åtgärder avses bland annat den inre utlänningskontrollen (se SOU 2004:110 s. 62). I de ovan angivna föreskrifterna anges i de allmänna råden i anslutning till 4 § att den inre utlänningskontrollen är en viktig kompensatorisk åtgärd för avskaffandet av gränskontrollen mellan de länder som deltar i det operativa Schengensamarbetet.
Av redogörelsen ovan framgår att det även när det gäller den inre utlänningskontrollen är svårt att dra en tydlig gräns mellan den brottsbekämpande verksamheten och Polismyndighetens utlänningsverksamhet. Den inre utlänningskontrollen innefattar olika typer av verksamhet. Polismyndigheten genomför personkontroller för att hitta personer som saknar rätt att vistas i landet på grund av att erforderliga tillstånd enligt utlänningslagen saknas, personer som har begått brott eller personer som håller sig undan verkställighet av avvisnings- eller utvisningsbeslut. Polismyndigheten utför arbetsplatskontroller i samverkan med Skatteverket och ibland även med Försäkringskassan för att motverka illegalt arbete. Inre utlänningskontroll sker också till exempel i samband med en trafikkontroll, i samband med ett ingripande eller i samband med en brottsutredning.
Även den inre utlänningskontrollen kan således ha flera ändamål. Ett är att kontrollera invandringen. Detta sker bland annat genom kontroll av att en utlänning innehar de tillstånd, dvs. visering, uppehållstillstånd eller arbetstillstånd, som krävs och efterspaning av utlänningar för vilka det finns ett avvisnings- eller utvisningsbeslut. Sådan verksamhet torde inte utgöra gränsövervakning som innebär polisverksamhet enligt 2 § 2 polislagen. Personuppgiftsbehandling som sker inom denna verksamhet bör i stället regleras av utlänningsdatalagen. En annan del av den inre utlänningskontrollen är att förebygga, förhindra och upptäcka brottslig verksamhet, dvs. brottsbekämpande verksamhet. Personuppgiftsbehandling som förekommer i sådan verksamhet omfattas av polisdatalagen. En polisinsats kan även innehålla moment av både utlänningskontroll och brottsbekämpning. Det medför att de båda lagarna får tillämpas parallellt.
Polismyndigheten utför vidare personuppgiftsbehandling inom verksamhet som avser verkställighet av beslut om förvar, avvisning, utvisning, utlämning eller överföring enligt utlänningslagstiftningen. När Polismyndigheten är handläggande myndighet enligt utlänningslagen får myndigheten fatta beslut om förvar och uppsikt.
I gränspolisverksamheten förs en särskild förteckning, s.k. förvarsliggare, över de personer som sitter frihetsberövade till följd av ett förvarsbeslut. En förvarsliggare innehåller olika uppgifter som till exempel namn, medborgarskap och till vilket land ett visst beslut ska verkställas. Men liggaren kan även innehålla känsliga personuppgifter som exempelvis uppgifter om en persons hälsotillstånd. Syftet med förvarsliggare är bland annat att bevaka olika tidsgränser som kan gälla för förvarsbeslut, ge information om vilket offentligt biträde som har utsetts för den förvarstagne personen eller i övrigt informera om ärendets handläggning (exempelvis om en resa är beställd eller om beslutet är överklagat).
Ett annat exempel på när Polismyndigheten själv behandlar och även lämnar ut uppgifter till andra myndigheter är när myndigheten beställer resor för utlänningar, vanligtvis från Kriminalvårdens Nationella transportenhet (NTE). NTE (och det företag som NTE upphandlat för medicinsk vård) informeras då i vissa fall om den enskildes hälsotillstånd. Informationen syftar till att säkerställa att den enskilde får adekvat medicinsk vård både på resan och efter hemkomsten. I vissa fall kräver även utländska myndigheter att
Polismyndigheten informerar om hälsotillståndet hos de personer som ska återvända till ett särskilt land.
Polismyndighetens ovan nämnda åligganden i form av verkställighet av beslut utgör en del av polismyndighetsverksamheten enligt 2 § 5 polislagen som faller utanför polisdatalagens tillämpningsområde. Personuppgiftsbehandling som utförs inom denna verksamhet bör därför regleras av utlänningsdatalagen.
Säkerhetspolisen
Även Säkerhetspolisen utför vissa uppgifter som regleras i utlänningslagstiftningen. I huvudsak finns bestämmelser härom i utlänningslagen, lagen om särskild utlänningskontroll och lagen om svenskt medborgarskap.
Av 1 kap. 7 § UtlL framgår vilka ärenden som utgör s.k. säkerhetsärenden enligt den lagen. Det är ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar 1) att en utlänning ska avvisas eller utvisas, 2) att en utlännings ansökan om uppehållstillstånd eller arbetstillstånd ska avslås eller att en utlännings uppehållstillstånd eller arbetstillstånd ska återkallas, 3) att en utlänning inte ska beviljas statusförklaring eller att en utlännings statusförklaring ska återkallas, 4) att en utlänning inte ska beviljas resedokument eller 5) att en utlännings ansökan om ställning som varaktigt bosatt ska avslås eller att en utlännings ställning som varaktigt bosatt ska återkallas.
Av 12 kap. 14 § UtlL följer vidare att Säkerhetspolisen ska verkställa beslut om avvisning eller utvisning i säkerhetsärenden. När Säkerhetspolisen fullgör en sådan uppgift är myndigheten handläggande myndighet enligt 10 kap. 13 § andra stycket UtlL från det att myndigheten tar emot ett beslut om avvisning eller utvisning för verkställighet till dess beslutet har verkställts. Det innebär att Säkerhetspolisen kan fatta beslut om till exempel omhändertagande av pass enligt 9 kap. 5 § UtlL samt om förvar och uppsikt enligt 10 kap. UtlL.
Enligt 14 kap. 11 § UtlL får Säkerhetspolisen vidare överklaga Migrationsverkets beslut i fråga om avvisning, utvisning, uppehållstillstånd, arbetstillstånd, statusförklaring, resedokument, ställning som varaktigt bosatt och förvar i ett säkerhetsärende.
Säkerhetspolisen kan även fatta andra beslut eller vidta andra åtgärder enligt utlänningslagen när Säkerhetspolisen leder polisverksamhet, se 3 § andra stycket polislagen.
Säkerhetspolisen får enligt 2 § lagen om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket. Säkerhetspolisen är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande. Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller utvisning i säkerhetsärenden (8 a §, 9 § och 13 § lagen om särskild utlänningskontroll). Även andra bestämmelser i lagen kan bli tillämpliga för Säkerhetspolisen.
När det till sist gäller medborgarskap kan Säkerhetspolisen föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet, se 27 § lagen om svenskt medborgarskap. Migrationsverkets beslut i ett sådant säkerhetsärende får överklagas av Säkerhetspolisen.
En mycket stor del av den ovan beskrivna verksamheten får enligt utredningens bedömning anses höra till Säkerhetspolisens brottsbekämpande verksamhet, som regleras av polisdatalagen. Som framgår av 5 kap 1 § PDL får således personuppgifter behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet som
innefattar a) brott mot rikets säkerhet, b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall eller d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,
2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt
beslut, annat brott,
3. fullgöra uppgifter i samband med personskydd,
4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),
5. fullgöra förpliktelser som följer av internationella åtaganden eller
6. lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndig-
heten, Åklagarmyndigheten eller Tullverket.
Regleringen i polisdatalagen av primära ändamål för personuppgiftsbehandling skiljer sig mellan Polismyndigheten och Säkerhetspolisen (se prop. 2014/15:94 s. 83 f.). För Säkerhetspolisens del är uppräkningen av primära ändamål mera detaljerad och omfattar även uppgifter som bara är brottsbekämpande i vid mening. Med brottsbekämpande verksamhet i polisdatalagen avses som tidigare nämnts sådan verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott. Enligt förarbetena i samband med polisens omorganisation anses all verksamhet hos Säkerhetspolisen i någon mening vara brottsbekämpande (se prop. 2013/14:110 s 480 f.)
Även om de områden där Säkerhetspolisen bedriver verksamhet enligt 3 § polislagen torde omfattas av ändamålsbestämmelserna i 5 kap. PDL anser utredningen att det inte kan uteslutas att Säkerhetspolisen även utför viss verksamhet där något brottsbekämpande inslag inte finns. Exempel på sådana situationer kan vara vissa verkställighetsärenden av Migrationsverkets beslut om avvisning eller utvisning. Den personuppgiftsbehandling som förekommer i samband torde därmed inte regleras polisdatalagen. För dessa fall bör den nya utlänningsdatalagen vara tillämplig. I annat fall skulle personuppgiftslagen bli tillämplig, vilket skulle försvåra behandlingen av känsliga personuppgifter.
I avsnitt 7.15 tar utredningen upp frågan om bland annat Säkerhetspolisens direktåtkomst till Migrationsverkets personuppgifter.
Sammanfattning
Sammanfattningsvis bör utlänningsdatalagen vara tillämplig vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som inte är hänförlig till brottsbekämpning och som rör kontroll av utlänningar i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Detta överensstämmer med den reglering som gäller i dag.
7.3.5. Vilken personuppgiftsbehandling faller utanför lagens tillämpningsområde?
Viss personuppgiftsbehandling som Migrationsverket, utlandsmyndigheterna, Polismyndigheten och Säkerhetspolisen utför på utlännings- och medborgarskapsområdet regleras av annan lagstiftning. Det gäller bland annat den personuppgiftsbehandling som sker med stöd av lagen (2000:344) om Schengens informationssystem och EU-förordningar. Dessa undantag kommer att utvecklas närmare i avsnitt 7.4.
Som beskrivs närmare i avsnitt 7.3.4 faller även Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling i den brottsbekämpande verksamheten utanför den föreslagna lagens tillämpningsområde. Se vidare även härom i avsnitt 7.4.
Vidare bör nämnas att personuppgiftsbehandling i samband med de ovan nämnda myndigheternas interna administration inte bör regleras av utlänningsdatalagen. Hos myndigheter finns behov av att behandla uppgifter för rent administrativa ändamål, som inte har samband med något enskilt ärende eller annan sådan verksamhet som avses enligt föregående avsnitt. Det kan röra sig om behandling av personuppgifter om anställda och arbetssökande, men även till exempel uppdragstagare eller leverantörer. Enligt utredningens bedömning kräver denna verksamhet ingen särreglering utan personuppgiftslagens bestämmelser ger ett tillräckligt skydd och en tillräcklig möjlighet att behandla personuppgifter på ett ändamålsenligt sätt.
7.4. Undantag från lagens tillämpningsområde
Utredningens förslag: Lagen ska inte tillämpas när personupp-
gifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),
3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),
4. polisdatalagen (2010:361) eller
5. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ PUL om rättelse m.m. och skadestånd i den mån inte annat följer av den förordningen.
De länder som deltar i Schengensamarbetet har ett gemensamt informationssystem, Schengens informationssystem (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. SIS II är en ny version av det
ursprungliga SIS som tog i bruk den 9 april 2013. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll. Den svenska enheten av Schengens informationssystem regleras i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem. Polismyndigheten ska med hjälp av automatiserad behandling föra ett register som ska vara den svenska delen av SIS (1 § lagen om Schengens informationssystem). I lagen regleras bland annat bestämmelser om för vilka ändamål uppgifter i registret får behandlas, vilka uppgifter som får registreras och förbud mot registrering av känsliga personuppgifter. Syftet med SIS II är att främja samarbete som avser polisära och rättsliga frågor, men också som hjälpmedel för att avgöra om en person ska nekas tillträde till eller uppehållstillstånd i Schengenstaterna (2 §). Den personuppgiftsbehandling som Polismyndigheten utför med stöd av lagen träffas av beskrivningen av utlänningsdatalagens tillämpningsområde. I utlänningsdatalagen bör det därför införas en reglering som anger att lagen om Schengens informationssystem har företräde i händelse av en kollision.
Det finns vidare ett antal EU-förordningar som reglerar sådan verksamhet som i och för sig motsvarar den verksamhet som faller under utlänningsdatalagens tillämpningsområde.
VIS är EU:s gemensamma informationssystem för viseringar. Användningen av VIS regleras i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse, (VIS-förordningen)(1). Migrationsverket är registeransvarigt och har centralt ansvar för Sveriges behandling av personuppgifter i VIS enligt artikel 41.4 VISförordningen.
Sedan införandet av Europaparlamentets och rådets förordning (EG) nr 810/2009 om inrättande av en gemensam viseringskodex (viseringskodexen) handläggs viseringsansökningar som huvudregel av utlandsmyndigheterna. Även Polismyndigheten får med stöd av viseringskodexen handlägga vissa viseringsansökningar.
De ovan nämnda myndigheternas behandling av personuppgifter i VIS regleras i princip uteslutande genom viseringskodexen och VIS-förordningen. Undantagen behandlas nedan.
Migrationsverket är vidare kontaktmyndighet i frågor som rör EU:s databas för identifiering av fingeravtryck, Eurodac. Syftet med Eurodac är att fastställa vilken medlemsstat som ska vara ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller statslös person lämnar in i en medlemsstat. Varje medlemsstat är skyldig att ta fingeravtryck av en person som ansöker om internationellt skydd och som är 14 år eller äldre och överföra uppgifterna tillsammans med vissa andra uppgifter till EU:s centrala system. Behandlingen av uppgifter i Eurodacsystemet regleras fram till den 20 juli 2015 av Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen och därefter av Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
Den behandling av personuppgifter som ovan nämnda myndigheter utför enligt viseringskodexen, VIS-förordningen och Eurodacförordningen hade i och för sig kunnat falla inom utlänningsdatalagens tillämpningsområde. Som framgår av avsnitt 6.5 blir en EUförordning, när den trätt i kraft, automatiskt en del av medlemsstatens nationella rättssystem. Medlemsstaterna får inte vidta några implementeringsåtgärder, utan förordningen ska tillämpas i sin ursprungliga form. De ovan nämnda förordningarnas bestämmelser om behandling av personuppgifter har därför inte införlivats i den nuvarande utlänningsdataförordningen, och får således inte heller införlivas i den nya utlänningsdatalagen. Behandling av personuppgifter med stöd av förordningarna bör därför, med undantag för vad som anges nedan, inte omfattas av utlänningsdatalagens tillämpningsområde.
Av EU-domstolens praxis följer att EU-rätten har företräde framför nationell rätt (se avsnitt 6.5). I de fall det finns bestämmelser om personuppgiftsbehandling i en EU-förordning ska dessa bestämmelser således ha företräde framför bestämmelser i svensk lag eller förordning. Någon uttrycklig bestämmelse om det i utlänningsdatalagen krävs egentligen inte. I förtydligande syfte bör dock i lagen uttryckligen anges att personuppgiftsbehandling enligt VISförordningen, viseringskodexen och Eurodac-förordningen faller utanför den föreslagna lagens tillämpningsområde.
Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling i brottsbekämpande verksamhet regleras av polisdatalagen. Gränsdragningen mellan brottsbekämpande verksamhet och Polismyndighetens och Säkerhetspolisens verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas i avsnitt 7.3.4. För att undvika överlappande lagstiftning bör det i utlänningslagen införas en bestämmelse som tydliggör att behandling av personuppgifter som regleras av polisdatalagen faller utanför utlänningsdatalagens tillämpningsområde.
Enligt 15 § andra meningen nuvarande utlänningsdataförordning ska bestämmelserna i 28 § och 48 § PUL om rättelse och skadestånd tillämpas vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.
Artikel 38.2 i VIS-förordningen reglerar korrigering och radering av uppgifter. Enligt bestämmelsen får var och en begära att oriktiga uppgifter om honom eller henne korrigeras och att uppgifter som har registrerats på olagligt sätt raderas. Denna korrigering eller radering ska utföras utan dröjsmål av den ansvariga medlemsstaten i enlighet med dess författningar. I svensk rätt finns allmänna bestämmelser om rättelse, blockering och utplåning av personuppgifter i 28 § PUL. Där föreskrivs att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I lagtexten anges inte vilken av de alternativa metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Av detta följer att det i princip är den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som själv får välja vilken av metoderna som ska tillämpas i det enskilda fallet (se prop. 1997/98:44 s. 86). I 28 § PUL föreskrivs vidare att den person-
uppgiftsansvarige ska underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller då mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon underrättelse behöver emellertid inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Enligt VIS-förordningens bestämmelser ska korrigering och radering av personuppgifter utföras i enlighet med nationella bestämmelser. Personuppgiftslagens bestämmelse om rättelse gäller enligt sin ordalydelse endast vid behandling som skett i strid mot personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. I utlänningsdatalagen bör därför införas en uttrycklig hänvisning till 28 § PUL.
Det följer av artikel 33 i VIS-förordningen att de nationella bestämmelserna om skadestånd är tillämpliga när det gäller skadeståndsanspråk mot en medlemsstat för skada till följd av otillåten behandling eller av något annat handlande som är oförenligt med bestämmelserna i förordningen. Eftersom skadeståndsbestämmelsen i personuppgiftslagen enligt sin ordalydelse endast gäller vid behandling av personuppgifter i strid mot bestämmelserna i den lagen, bör det i utlänningsdatalagen även införas en bestämmelse som hänvisar till personuppgiftslagens bestämmelse om skadestånd. Personuppgiftslagens bestämmelse avser endast skadestånd till den registrerade, medan VIS-förordningens krets av skadeståndsberättigade är betydligt vidare och omfattar bland annat varje person och medlemsstat. Om en ersättningsfråga inte berörs i personuppgiftslagen bör i stället allmänna skadeståndsrättsliga regler i skadeståndslagen (1972:207) tillämpas.
7.5. Den registrerades inställning
Utredningens förslag: Behandling av personuppgifter som är
tillåten enligt utlänningsdatalagen ska få utföras även om den enskilde motsätter sig den.
Enligt 1 § tredje stycket nuvarande utlänningsdataförordning har en registrerad inte rätt att motsätta sig behandling av personuppgifter enligt förordningen. Bestämmelsen ska ses mot bakgrund av arti-
kel 14 a Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som föreskriver att den enskilde i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. I verksamhet enligt utlännings- och medborgarskapslagstiftningen finns behov av att behandla personuppgifter även om den enskilde motsätter sig sådan behandling. I utlänningsdatalagen bör det därför införas en bestämmelse av vilken det framgår att personuppgiftsbehandling som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den.
7.6. Förhållandet till personuppgiftslagen
Utredningens förslag: Utlänningsdatalagen ska gälla i stället för
personuppgiftslagen inom sitt tillämpningsområde. I lagen hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter enligt lagen.
Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter. Av 2 § PUL följer dock att om det i annan lag eller förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Bestämmelserna i den nya lagen kommer således som huvudregel att ha företräde framför personuppgiftslagens bestämmelser. Finns inga särskilda bestämmelser i lagen ska dock personuppgiftslagens bestämmelser gälla. Frågan är hur de bestämmelser i personuppgiftslagen som ska gälla även för personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska infogas i den nya lagen. I tidigare lagstiftning har olika lösningar valts.
En modell är att ange att den särskilda författningen gäller utöver personuppgiftslagen eller att inte över huvud taget nämna personuppgiftslagen i särlagstiftningen. Det innebär att personuppgiftslagens bestämmelser automatiskt blir tillämpliga när den särskilda författningen inte innehåller någon särbestämmelse. Metoden har använts i bland annat i patientdatalagen och studiestödsdatalagen (2009:287). Metoden har kritiserats, eftersom det anses vara svårt
för den som ska tillämpa lagen att klart och tydligt se vilka bestämmelser i personuppgiftslagen som är tillämpliga.
En annan modell är en heltäckande modell som innebär att de bestämmelser i personuppgiftslagen som ska vara tillämpliga anges uttryckligen i registerförfattningen. Denna typ av reglering har till exempel valts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Fördelen med denna modell är att alla relevanta bestämmelser framgår direkt av lagen. Nackdelen är att identiska bestämmelser upprepas i flera olika författningar och att lagtexten blir omfattande.
Ett tredje sätt är att utöver de bestämmelser som avviker från personuppgiftslagen hänvisa till de lagrum i personuppgiftslagen som är tillämpliga.
I förarbetena till polisdatalagen anges att fördelen med den heltäckande modellen är att tillämparen snabbt kan få klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen (se prop. 2009/10:85 s. 80). Problemet är att det i viss mån blir dubbelreglering, eftersom personuppgiftslagen ändå gäller och att lagstiftningen blir omfattande. Som ett alternativ föreslogs i polisdatapropositionen den modell som finns i lagen om Tullverkets brottsbekämpande verksamhet, nämligen reglering genom hänvisningar till de lagrum i personuppgiftslagen som är tillämpliga. Det konstaterades i propositionen att Lagrådet inte hade några invändningar mot den valda metoden samt att samma lösning nyligen också har föreslagits för Kustbevakningens personuppgiftsbehandling och för åklagarväsendets personuppgiftsbehandling (se SOU 2006:18 och SOU 2008:87). Fördelarna med en sådan lösning är enligt propositionen att lagstiftningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering. För denna modell talar också, enligt propositionen, att det ligger ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet.
Samma argument som anförs ovan rörande polisdatalagen är giltiga även när det gäller utformningen av bestämmelserna i en ny utlänningsdatalag. I den nya lagen bör därför hänvisning göras till
de bestämmelser i personuppgiftslagen som är tillämpliga utöver utlänningsdatalagens bestämmelser.
7.7. Tillämpliga bestämmelser i personuppgiftslagen
Utredningens förslag: Följande bestämmelser i personuppgifts-
lagen ska tillämpas på motsvarande sätt vid behandling av personuppgifter enligt utlänningsdatalagen eller enligt föreskrifter som meddelats i anslutning till lagen:
1. definitioner (3 §),
2. förhållandet till offentlighetsprincipen (8 §),
3. grundläggande krav på behandlingen av personuppgifter (9 §),
4. behandling av uppgifter om personnummer (22 §),
5. information till den registrerade (23 och 25–27 §§),
6. rättelse (28 §),
7. säkerheten vid behandling (30 och 31 §§ samt 32 § första
stycket),
8. överföring av personuppgifter till tredjeland (33–35 §§),
9. personuppgiftsombudets uppgifter m.m. (38–41 §§), 10. upplysningar till allmänheten om vissa behandlingar (42 §), 11. tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första
stycket och 47 §), 12. skadestånd (48 §) och 13. överklagande (51 § första stycket, 52 § första stycket och 53 §).
Om personuppgifter ska gallras enligt utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Datainspektionen ska inte kunna förena ett förbud att utföra viss behandling med vite.
7.7.1. Definitioner
I 3 § PUL finns definitioner av vissa för personuppgiftsbehandling grundläggande begrepp, bland annat behandling, personuppgift, personuppgiftsansvarig, den registrerade och samtycke. Med behand-
ling (av personuppgifter) avses till exempel varje åtgärd eller serie av
åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Exempel på detta är insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Definitionerna i 3 § PUL gäller vid personuppgiftsbehandling med stöd av nuvarande utlänningsdataförordning. Det har inte framkommit skäl att ändra på denna ordning. Vidare är det lämpligt att de begrepp som används i den nya lagen har samma innebörd som i personuppgiftslagen. En hänvisning till 3 § PUL bör därför tas in i den nya lagen.
7.7.2. Förhållande till offentlighetsprincipen
Av 8 § första stycket PUL följer att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (TF). I 2 kap. TF finns bestämmelser om allmänna handlingars offentlighet. Även om grundlagens bestämmelser alltid har företräde framför bestämmelser i vanlig lag, anfördes i förarbetena till personuppgiftslagen att det i klargörande syfte bör tas in en bestämmelse som uttryckligen anger detta förhållande i lagen (se prop. 1997/98:44 s. 46). För tydlighetens skull bör en hänvisning till 8 § första stycket PUL göras i den nya lagen. En myndighet är således alltid skyldig att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser. Tryckfrihetsförordningen innebär dock ingen skyldighet för en myndighet att lämna ut uppgifter i elektronisk form.
I 8 § andra stycket PUL anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndig-
het. I förarbetena till personuppgiftslagen anges att bestämmelsen rör det bevarande av allmänna handlingar som utgör en förutsättning för att offentlighetsprincipen i 2 kap. TF ska kunna uppfylla sina syften (se prop. 1997/98:44 s. 118).
Som ovan angetts finns det i nuvarande utlänningsdataförordning med undantag för en särbestämmelse avseende fingeravtrycksregistret inga bestämmelser om gallring. Utgångspunkten är således att allmänna handlingar i verksamhet enligt utlännings- och medborgarskapslagstiftningen som omfattas av utlänningsdataförordningen ska bevaras. Utredningen gör i avsnitt 7.16.2 därför bedömningen att utgångspunkten även fortsättningsvis bör vara att arkivlagens (1990:782) bestämmelser om bevarande ska gälla i den nya utlänningsdatalagen. Om det i särförfattningar för myndigheters behandling av personuppgifter saknas gallringsbestämmelser, tillämpas arkivlagens bestämmelser om bevarande som huvudprincip och gallring som undantag. Någon särskild bestämmelse om bevarande behövs således egentligen inte i utlänningsdatalagen. I klargörande syfte bör dock en hänvisning till bestämmelserna i 8 § andra stycket PUL tas in i den nya lagen.
Utredningen anser dock att det i den nya lagstiftningen finns behov av gallringsföreskrifter på vissa områden. Som framgår av avsnitt 7.10.3 föreslår utredningen att det även i fortsättningen ska gälla särskilda regler för gallring av uppgifter i Migrationsverkets fingeravtrycks- och fotografiregister. Vidare anser utredningen att särskilda gallringsbestämmelser ska gälla för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag, se kapitel 8. Utredningen anser också att särskilda bestämmelser om gallring ska gälla för känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se avsnitt 7.16.2 och 7.17. Av den nya utlänningsdatalagen bör det således framgå att 8 § andra stycket PUL inte ska tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.
7.7.3. Grundläggande krav på behandlingen av personuppgifter
I 9 § PUL föreskrivs vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed (a och b). Vad som är god sed vid behandling av personuppgifter får enligt förarbetena till personuppgiftslagen avgöras i rättstillämpningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig (se prop. 1997/98:44 s. 143). Den nya lagen bör hänvisa till 9 § första stycket a) och b) PUL.
Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (c). Bestämmelsen innebär att ändamålen med en behandling måste bestämmas redan när uppgifterna samlas in (se SOU 1997:39 s. 350, prop. 1997/98:44 s 120 f.) Det bör göras en hänvisning även till denna bestämmelse i personuppgiftslagen.
Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (d). I denna bestämmelse kommer den s.k. finalitetsprincipen till uttryck. Bestämmelsen är av central betydelse vid behandling av personuppgifter. Den innebär att vidarebehandling av redan insamlade personuppgifter inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Utredningen kommer att i avsnitt 7.9 föreslå att den nya lagen bör ange vissa primära och sekundära ändamål, att de primära ändamålen ska vara uttömmande samt att vidarebehandling ska vara tillåten förutsatt att behandlingen inte är oförenlig med insamlingsändamålet. Vad som är oförenligt med de ursprungliga ändamålen får enligt förarbetena till personuppgiftslagen bestämmas genom praxis och kompletterande föreskrifter (se SOU 1997:39 s. 351). Det bör finnas en hänvisning även till 9 § första stycket d PUL.
Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen (e). Den personuppgifts-
ansvarige ansvarar också för att behandlingen inte omfattar fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (h). Enligt utredningen bör den nya lagen hänvisa även till dessa bestämmelser i personuppgiftslagen.
Av 9 § första stycket i PUL följer slutligen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Denna bestämmelse har betydelse för hur personuppgifter som behandlas elektroniskt ska arkiveras och gallras. Personuppgiftslagen innehåller två undantag från bestämmelsen. För det första hindrar personuppgiftslagens bestämmelser aldrig att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket PUL). För det andra följer det av 9 § tredje stycket PUL att personuppgifter får bevaras under längre tid än som anges i punkten i, om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål. Detta undantag gäller för alla personuppgifter, oavsett om det rör sig om uppgifter i en allmän handling eller inte.
Som utredningen närmare kommer att utveckla i avsnitt 7.16 gäller för närvarande arkivlagens regler om bevarande och gallring för personuppgifter på det aktuella verksamhetsområdet, både de som behandlas helt eller delvis automatiserat och de som behandlas manuellt. Utgångspunkten är således att allmänna handlingar ska bevaras. För personuppgifter som inte är allmänna handlingar gäller däremot bestämmelserna i 9 § första stycket i och tredje stycket PUL, dvs. de ska som huvudregel förstöras om de inte längre är nödvändiga för det ändamål de behandlas för. Av skäl som redovisas närmare i avsnitt 7.16.2 anser utredningen att den nuvarande ordningen bör upprätthållas även i den nya lagen. Utredningen föreslår dock särskilda bestämmelser om avskiljande av personuppgifter som inte längre behövs i den löpande verksamheten (se avsnitt 7.16.2). Avskiljande får inte innebära att uppgifterna gallras.
En stor del av den personuppgiftsbehandling som den nya lagen ska reglera torde avse uppgifter i allmänna handlingar. Det enklaste sättet att reglera frågan om bevarande och gallring skulle därför eventuellt vara att i utlänningsdatalagen bara hänvisa till 8 § andra
stycket PUL. En hänvisning till den bestämmelsen innebär att personuppgifter i allmänna handlingar kan bevaras elektroniskt och behandlas för arkivering utan hinder av personuppgiftslagen. Det kan dock förekomma fall av automatiserad personuppgiftsbehandling som inte rör uppgifter i allmänna handlingar. För att regleringen ska bli heltäckande bör därför en hänvisning till bestämmelserna i 9 § första stycket i) och tredje stycket PUL också göras. Det innebär att personuppgifter som inte finns i en allmän handling kan bevaras elektroniskt så länge det är nödvändigt med hänsyn till ändamålen med behandlingen eller om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål. Därefter ska uppgiften förstöras.
Av 9 § andra stycket PUL följer att senare behandling som sker för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Som anges ovan får enligt tredje stycket sådana uppgifter bevaras under längre tid än andra uppgifter, dock inte under längre tid än vad som behövs för historiska, statistiska eller vetenskapliga ändamål. Fjärde stycket föreskriver att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. En hänvisning bör finnas i den nya lagen även till dessa bestämmelser i personuppgiftslagen.
7.7.4. Behandling av personnummer
Enligt 22 § PUL får uppgifter om personnummer eller samordningsnummer behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får dock fritt besluta hur de materiella reglerna ska utformas. Bestämmelsen i personuppgiftslagen har utformats med motsvarande bestämmelse i den tidigare datalagen (1973:289) som förebild.
Uppgift om personnummer eller samordningsnummer utgör inte en känslig personuppgift enligt personuppgiftslagens definition,
men är ändå en typ av uppgift som bör behandlas med försiktighet. Bestämmelsen i 22 § PUL ger uttryck för att behandlingen av personnummer och samordningsnummer bör vara restriktiv och föregås av en avvägning mellan behovet och de integritetsrisker som behandlingen innebär.
I nuvarande utlänningsdataförordning finns inga särskilda bestämmelser som rör personnummer och samordningsnummer. Personuppgiftslagens bestämmelser är således tillämpliga i verksamhet inom utlännings- och medborgarskapslagstiftningen. Vikten av en säker identifiering medför att personnummer och samordningsnummer ofta måste behandlas i den verksamhet som omfattas av utlänningsdatalagen. Utredningen bedömer därför att det inte bör införas några inskränkningar i rätten att behandla personnummer eller samordningsnummer i förhållande till personuppgiftslagens bestämmelse. Den nya lagen bör därför hänvisa till 22 § PUL.
7.7.5. Information till den registrerade
Information till den registrerade regleras i 23−27 §§ PUL.
Enligt 23 § PUL ska den personuppgiftsansvarige självmant informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § PUL uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § PUL, lämnas på begäran av den registrerade. Om uppgifter behandlas, ska information lämnas till sökanden om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Sådan information ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart
för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten föreligger enligt 27 § PUL vid sekretess och tystnadsplikt.
Bestämmelserna i 23 och 25−27 §§ PUL är redan i dag tillämpliga vid myndigheternas behandling av personuppgifter inom utlännings- och medborgarskapsverksamheten. Annat har inte framkommit än att bestämmelserna bör tillämpas även vid en lagreglering av personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet. En hänvisning till bestämmelserna bör därför införas i den nya lagen.
Någon hänvisning till 24 § PUL är emellertid inte nödvändig enligt utredningen, eftersom personuppgiftsbehandlingen i den nya lagen är reglerad på sätt som artikel 11 i dataskyddsdirektivet föreskriver, se vidare härom i SOU 2015:39 s. 494 f.
7.7.6. Rättelse
Den personuppgiftsansvarige är enligt 28 § PUL skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska vidare underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade därigenom kan undvikas. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
I förarbetena till personuppgiftslagen konstateras att redan bestämmelserna i 9 § första punkten e och g PUL medför en skyldighet för den personansvariga myndigheten att vara aktiv för att se till att de behandlade uppgifterna är korrekta (se prop. 1997/98:44 s. 87). Bestämmelsen i 28 § PUL ger dock den registrerade rätt att påkalla den personuppgiftsanvariges aktivitet för att korrigera uppgifter, som gäller utöver de grundläggande kraven i 9 § PUL. I personuppgiftslagen anges inte vilken av metoderna rättelse, blockering och utplånande som ska väljas i olika situationer. Det är enligt för-
arbetena den personuppgiftsansvarige som avgör vilken åtgärd som är lämpligast i varje enskilt fall (se prop. 1997/98:44 s. 87).
Bestämmelsen i 28 § PUL gäller i nuläget vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är viktigt att det även i fortsättningen finns en möjlighet för enskilda att se till att personuppgifter som behandlas felaktigt rättas, blockeras eller utplånas. En hänvisning till 28 § PUL bör därför göras i den nya utlänningsdatalagen. En sådan hänvisning är även nödvändig med hänsyn till dataskyddsdirektivet.
7.7.7. Säkerhet vid behandlingen
I 30–32 §§ PUL finns bestämmelser om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Av 30 § följer bland annat att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, ska de bestämmelserna dock ha företräde (30 § tredje stycket). Här avses särskilt bestämmelser om tystnadsplikt och sekretess (se prop. 1997/98:44 s. 136). Enligt 30 § andra stycket PUL ska det i fråga om personuppgiftsbiträden finnas ett skriftligt avtal om biträdets behandling för den personuppgiftsansvariges räkning. Det ska i avtalet särskilt föreskrivas att biträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket PUL. Av 31 § PUL följer bland annat att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade personuppgifter. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Enligt 32 § första stycket PUL får Datainspektionen i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §.
Säkerhetsbestämmelserna är redan tillämpliga vid personuppgiftsbehandling i här aktuell verksamhet och de bör gälla även fortsättningsvis. En hänvisning till bestämmelserna bör alltså föras in i den nya lagen. Undantag bör dock göras för 32 § andra stycket PUL i vilket hänvisas till tillsynsmyndighetens möjlighet att förena förbud med vite. Regler om vite bör enligt allmänna rättsgrundsatser inte tillämpas i förhållandet mellan statliga myndigheter (se prop. 2004/05:164 s. 54, prop. 2006/07:46 s. 105 och 2009/10:85 s. 90). Någon hänvisning till 32 § andra stycket PUL bör därför inte göras i den nya lagen.
7.7.8. Överföring av personuppgifter till tredjeland
Allmänt om överföring av personuppgifter till tredjeland
Överföring av personuppgifter till tredjeland regleras i 33−35 §§ PUL. Regleringen grundas på bestämmelserna i artikel 25 och 26 i dataskyddsdirektivet och ingresspunkt 56−60 till direktivet.
I 33 § PUL finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Med tredjeland avses en stat som inte ingår i EU eller är ansluten till EES, se 3 § PUL.
Från förbudet finns vissa undantag, se 34 § PUL. Av den bestämmelsen följer att det trots förbudet är tillåtet att föra över personuppgifter till tredjeland om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig bland annat för rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Av bestämmelsen följer vidare att det även är tillåtet att föra över personuppgifter för användning i ett land som har anslutit sig till dataskyddskonventionen.
Enligt 35 § PUL har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bland annat om det behövs med hänsyn till ett viktigt allmänt intresse.
I 8 § andra stycket nuvarande utlänningsdataförordning finns en särskild bestämmelse om överföring av uppgifter till tredjeland. Enligt den bestämmelsen får de personuppgifter som finns i ett rättsfalls-
register föras över till en stat som inte ingår i EU eller är ansluten till EES. I övrigt gäller de ovan nämnda bestämmelserna i 33−35 §§ PUL vid behandling av personuppgifter inom utlännings- och medborgarskapsområdet.
Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är i dag till betydande del av internationell karaktär och överföring av uppgifter till andra EUländer eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete och uppfyllande av myndighetsuppdrag.
Det bör inledningsvis anmärkas att informationsutbyten genom direktåtkomst till Migrationsverkets datasystem eller som sker på annat sätt med svenska utlandsmyndigheter belägna i tredjeland enligt utredningens uppfattning inte innebär att personsuppgifter förs över till tredjeland (se artikel 4 i dataskyddsdirektivet som bland annat stadgar att en medlemsstats nationella rätt ska tillämpas även om den registeransvarige inte är etablerad inom medlemsstatens territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten).
Däremot är det fråga om överföring av uppgifter till ett annat land då utlandsmyndigheten i sin tur i olika situationer lämnar ut personuppgifter till mottagare i tredjeland. Exempel på sådan överföring är när utlandsmyndigheten begär biträde av lokala s.k. förtroendeadvokater eller andra utomstående. Sådant biträde kan till exempel begäras för att på ort och ställe kontrollera äktheten av vissa handlingar. Ytterligare exempel på överföring av uppgifter till tredjeland är när Migrationsverket i ärenden om återvändande behöver ordna resehandlingar och mottagande i mottagarlandet. Ett vanligt fall när personuppgifter överförs till tredjeland är vidare när polisen ska verkställa beslut om avvisningar eller utvisningar. Polisen kan då behöva kontakta utländska beskickningar för att kunna fastställa en persons identitet och för att få ut resehandlingar för personen. Olika uppgifter, exempelvis om familjeförhållanden och adresser i utlandet, skickas då över till den utländska beskickningen för att möjliggöra utredningen av identiteten, se bland annat 7 kap. 20 § UtlF. Överföring av personuppgifter till tredjeland sker i sistnämnda fall normalt utan den enskildes samtycke. Vidare kan polisen behöva få uppgifter verifierade hos myndigheter i det land där en utlandsmyndighet finns.
Utredningens övervägande
Utredningens förslag: Förutom med den registrerades samtycke
bör överföring av personuppgifter till tredjeland få ske om det är absolut nödvändig för
1. handläggning av ärenden eller biträde i sådana ärenden,
2. kontroll av utlänning och
3. återsökning av rättslig information.
När det gäller tillhandahållande av information till en utländsk myndighet i tredjeland, se avsnitt 7.9.3.
Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.
Internationellt samarbete och informationsutbyte har, som tidigare nämnts, en stor betydelse i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är därför av allmänt intresse att personuppgifter som behandlas enligt utlänningslagstiftningen bör kunna föras över till tredjeland när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt och rimligt sätt. Förslaget till en ny utlänningsdatalagstiftning bör därför enligt utredningen utformas på ett sådant sätt att den inte hindrar överföring till tredjeland som är befogad utifrån detta allmänintresse.
Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredjeland, om den registrerade samtycker till det. Om en registrerad i tredjeland exempelvis ansöker om visum vid en utlandsmyndighet, får han eller hon anses ha samtyckt till den överföring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredjeland som inleder en elektronisk kommunikation med en myndighet i Sverige, exempelvis via e-post eller via ett särskilt inrättat elektroniskt ansökningsförfarande, anses ha samtyckt till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredjeland.
I bland finns det även, som ovan nämnts, behov för aktuella myndigheter att överföra personuppgifter till tredjeland oavsett om samtycke till detta föreligger. Så kan exempelvis vara fallet vid
utlämnande av personuppgifter till förtroendeadvokater eller andra personer när utlandsmyndigheter i tredjeland biträder svenska myndigheter med utredning i enskilda ärenden, men även vid återvändandeärenden och verkställighetsärenden avseende avvisningar eller utvisningar.
Personuppgifter överförs ibland även till andra EU-länder vid s.k. Joint Return Operations (JRO), dvs. gemensamma återvändaroperationer koordinerade och finansierade genom EU:s gränskontrollbyrå Frontex. Anledningen till överföringen av uppgifter är att en medlemsstat som organiserar en insats behöver information om de som ska återvända för att kunna organisera och möjliggöra ett återvändande hos destinationslandet.
Vidare deltar Migrationsverket, Polismyndigheten och de andra myndigheterna som utför verksamhet enligt utlännings- och medborgarskapslagstiftningen i olika samarbetsorgan rörande asyl- och migrationsfrågor där även tredjeländer medverkar. I dessa fall lämnas dock aldrig några personuppgifter ut. Det rör sig i huvudsak om uppgifter som finns i Migrationsverkets informationssamling Lifos.
Vad nu anförts leder utredningen till slutsatsen att de undantagen från förbudet mot överföring av personuppgifter till tredjeland i 34 § PUL och undantaget i utlänningsdataförordningen inte är tillräckliga för att tillgodose all sådan överföring av personuppgifter som är befogad utifrån ovan nämnda allmänna intressen. Ytterligare undantag behövs alltså i den nya utlänningsdatalagen.
Förutom med den registrerades samtycke anser utredningen att överföring av personuppgifter till tredjeland ska få ske om det är absolut nödvändigt för 1) den överförande myndighetens handläggning av ärende eller biträde i sådana ärenden, 2) kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige och 3) sådan behandling som sker för ändamålet för återsökning av avgöranden, rättsutredningar och annan rättslig information.
Det kompletterande undantaget är enligt utredningens bedömning förenligt med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse, se artikel 26 i dataskyddsdirektivet.
Ett av de sekundära ändamålen i den nya lagstiftningen är tillhandahållande av information till en utländsk myndighet, se avsnitt 7.9.3. Den myndigheten kan finnas i tredjeland. Att sådan överföring får
ske under vissa förutsättningar följer redan av ändamålsbestämmelsen. Möjligheten behöver därför inte anges som ett särskilt undantag från förbudet för överföring av personuppgifter till tredjeland.
En fråga som har diskuterats är om personuppgifter kan anses överföras till tredjeland även om de fortsätter att vara under den personuppgiftsansvariges kontroll. Ett exempel på detta är om den personuppgiftsansvarige på en tillfällig resa till tredjeland tar med sig en bärbar dator i vilken personuppgifter dessförinnan lagrats (se SOU 2003:40 s. 247). Enligt utredningen finns det inget stöd för att tolka dataskyddsdirektivet på detta sätt. Utredningen föreslår därför inga undantag från förbudet mot överföring av personuppgifter till tredjeland som tar sikte på situationer som den nu beskrivna.
Av hänsyn till integritetsintresset bör regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kunna meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.
Eventuella sekretesshinder måste dock alltid övervägas innan personuppgifter lämnas ut till tredjeland, se bland annat SOU 2001:160 s. 66 f. och JO 2012/13 s. 265. I beslutet uttalade JO kritik mot Utrikesdepartementet för brister vid äkthetskontrollen av handlingar i ett asylärende. När det gäller sekretess och överföring av personuppgifter till tredjeland, se även SOU 2015:39 s. 483 f.
7.7.9. Anmälningsskyldighet och personuppgiftsombud
I 36 § första stycket PUL föreskrivs att behandling som är helt eller delvis automatiserad ska anmälas till tillsynsmyndigheten. Regeln bygger på artikel 18.1 i dataskyddsdirektivet. Artikeln är emellertid bara en huvudregel. Undantag är i viss utsträckning tillåtna. Enligt utredningen finns förutsättningar för att undanta personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet från anmälningsskyldighet. Någon hänvisning till 36 § PUL behövs därför inte.
I avsnitt 7.8 föreslås en särskild bestämmelse med skyldighet för Migrationsverket, Polismyndigheten och Säkerhetspolisen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett
sådant ombud utses och entledigas. Den nya lagen bör hänvisa till 38–40 §§ PUL om personuppgiftsombudets uppgifter.
Ett personuppgiftsombud ska enligt 38 § PUL självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister. Har ett personuppgiftsombud anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla förhållandet till Datainspektionen. Även i övrigt ska personuppgiftsombud samråda med Datainspektionen vid tveksamhet rörande tillämpningen av utlänningsdatalagen eller de bestämmelser i personuppgiftslagen som lagen hänvisar till. Av 39 § PUL följer att personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Slutligen har personuppgiftsombuden också till uppgift att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga, se 40 § PUL.
I 41 § PUL anges att regeringen har möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna ordning bör gälla även fortsättningsvis vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Den nya lagen bör därför innehålla en hänvisning till 41 § PUL.
7.7.10. Upplysningar till allmänheten
Den personuppgiftsansvarige ska enligt 42 § PUL till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan enligt 36 § första stycket PUL skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.
Den enskilde bör på ett snabbt och enkelt sätt kunna få besked om vilka behandlingar som utförs i den här aktuella verksamheten även i de fall den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § PUL bör därför tas in i den nya lagen.
7.7.11. Tillsynsmyndighetens befogenheter
Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Om Datainspektionen inte efter en begäran enligt 43 § PUL kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. I tidigare lagstiftning har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. Någon sådan möjlighet finns exempelvis inte i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt polisdatalagen.
Bestämmelserna om Datainspektionens befogenheter är i dag tillämpliga vid personuppgiftsbehandling i här aktuell verksamhet. Enligt gällande rätt finns det således redan en möjlighet för Datainspektionen att förbjuda myndigheternas personuppgiftsbehandling. Denna möjlighet bör finnas även fortsättningsvis. En hänvisning bör därför göras också till 43 och 44 §§ PUL.
En annan fråga är om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. Som ovan anförts är huvudprincipen att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter. Ett förbud enligt 44 § PUL bör således inte kunna förenas med vite.
Av 45 § första stycket PUL framgår att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse eller om saken är brådskan-
de, får Datainspektionen förbjuda behandlingen. Bestämmelsen gäller redan inom verksamheten och bör gälla även fortsättningsvis. En hänvisning till 45 § första stycket bör således göras. Däremot bör den nya lagen inte hänvisa till paragrafens andra stycke eller till 46 §. Dessa båda bestämmelser rör vite.
Enligt 47 § PUL har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen har sitt ursprung i dataskyddsdirektivet, som anger att varje nationell tillsynsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Av förarbetena till personuppgiftslagen framgår att vid bedömningen kan beaktas om utplånandet skulle innebära stora praktiska svårigheter för den personuppgiftsansvarige eller ett svårt ekonomiskt avbräck (se prop.1997/98:44 s. 142). När det gäller personuppgifter hos myndigheter är det i praktiken inte möjligt att utplåna uppgifter som behövs för handläggningen av ärenden eller som på grund av grundlagsbestämmelser eller lag ska bevaras.
Bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.
7.7.12. Skadestånd och straff
I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen tillämpas vid behandling enligt nuvarande utlänningsdataförordning och bör gälla även fortsättningsvis. En hänvisning till 48 § PUL bör därför tas in i den nya lagen.
I kapitel 11 behandlar utredningen skadeståndsskyldighet efter kontroll vid Schengenviseringar.
I 49 § PUL föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Behandlingen av personuppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid statliga myndigheter. De omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Eftersom det är myndigheter som
kommer att utföra personuppgiftsbehandlingen, torde det inte bli aktuellt att tillämpa straffbestämmelsen (se prop. 1997/98:97 s. 109). Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i den nya lagen.
7.7.13. Överklagande
I 51 § första stycket PUL föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Som anges ovan föreslås Datainspektionen kunna meddela förbud enligt 44 § eller 45 § första stycket PUL. Därmed bör även en hänvisning till 51 § första stycket PUL göras.
Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Datainspektionen bör ges möjlighet att meddela interimistiska beslut i här aktuella fall. Hänvisning i den nya lagen bör därför göras även till 51 § andra stycket PUL.
En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket PUL, överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser anges att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen (se prop. 2005/06:173 s. 53). Den nya lagen bör således inte innehålla någon särskild bestämmelse om överklagande, endast en hänvisning till personuppgiftslagens bestämmelser om överklagande.
7.8. Personuppgiftsansvar
7.8.1. Allmänt om personuppgiftsansvar
Enligt 3 § PUL är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter. I registerförfattningar är det vanligt att
det anges vem som är personuppgiftsansvarig för den personuppgiftsbehandling som regleras.
I 2 § nuvarande utlänningsdataförordning anges att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför. Verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför. Polismyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför och Säkerhetspolisen för den behandling som den utför.
7.8.2. Utredningens överväganden
Utredningens förslag: Den myndighet som utför en behandling
eller som det åligger att utföra en behandling ska vara personuppgiftsansvarig för behandlingen. Migrationsverket bör även vara personuppgiftsansvarigt för utlandsmyndigheternas automatiserade personuppgiftsbehandling.
Migrationsverket, Polismyndigheten och Säkerhetspolisen ska vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.
Den personuppgiftsansvarige ska anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas.
I den nya lagen bör som huvudregel gälla att den som utför själva behandlingen också ska ha personuppgiftsansvaret. Således bör Migrationsverket, Polismyndigheten och Säkerhetspolisen vara personuppgiftsansvariga för den behandling som respektive myndighet utför.
Som framgår ovan gäller för närvarande särskilda regler för utlandsmyndigheternas personuppgiftsbehandling. Det kan diskuteras om Migrationsverket även i fortsättningen bör ha personuppgiftsansvaret för utlandsmyndigheterna. Vid denna bedömning bör beaktas vilken möjlighet Migrationsverket har att utöva kontroll och inflytande över utlandsmyndigheternas personuppgiftsbehandling, till exempel vilken kontroll verket har över säkerheten vid personuppgiftsbehandlingen på utlandsmyndigheterna.
De argument som kan framföras mot nuvarande ordning är att det är Utrikesdepartementet som äger och är anvarigt för utlands-
myndigheternas lokaler och har ansvar för deras externa avtal. Migrationsverket och utlandsmyndigheterna ingår inte i någon gemensam myndighetsorganisation och Migrationsverket har inte en överordnad roll i förhållande till utlandsmyndigheterna. Eftersom utlandsmyndigheterna är underställda Utrikesdepartementet torde departementet ha bättre möjligheter än Migrationsverket till faktisk kontroll och inflytande över verksamheten.
Det som ändå talar för att nuvarande ordning ska bestå är att det är Migrationsverket som är tekniskt ansvarigt för de datasystem som utlandsmyndigheterna använder vid handläggning av sina viseringsärenden och olika tillståndsärenden. Behörigheten till datasystemen Wilma och W2 styrs av Migrationsverket. Uppgifterna hämtas från CUD. Det talar för att ansvaret bör ligga på Migrationsverket. Inget annat har heller framkommit än att nuvarande ordning har fungerat relativt väl. Vidare underlättar det för den enskilde om personuppgiftsansvaret är samlat hos en myndighet. Migrationsverket bör således även i fortsättningen ansvara för utlandsmyndigheternas behandling av personuppgiftsbehandling enligt utlännings- och medborgarskapslagstiftningen. Ansvaret bör begränsas till utlandsmyndigheternas automatiserade behandling, eftersom det är sådan behandling som Migrationsverket har möjlighet att utöva kontroll över. Personuppgiftsansvaret för manuell behandling av personuppgifter i register bör i stället ligga på utlandsmyndigheterna.
En myndighet har enligt 36 § PUL möjlighet att välja om ett personuppgiftsombud ska utses eller inte. Med hänsyn till omfattningen av personuppgiftsbehandlingen och typen av uppgifter som behandlas inom verksamhet på utlännings- och medborgarskapsområdet anser utredningen att det vore lämpligt att de personuppgiftsansvariga myndigheterna var skyldiga att utse personuppgiftsombud. Att en myndighet utser ett personuppgiftsombud innebär att det finns en person som har ansvar för granskning och kontroll av den egna myndighetens verksamhet och för att behandlingen är laglig och korrekt. Det underlättar vidare för de enskilda som vill kontakta myndigheten i frågor som rör personuppgiftsbehandling att ha en särskild person att vända sig till. Migrationsverket, Polismyndigheten och Säkerhetspolisen bör därför enligt utredningen vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det
åligger myndigheten att utföra och anmäla dessa till Datainspektionen.
Utredningen har övervägt om även utlandsmyndigheterna bör vara skyldiga att utse personuppgiftsombud. Med tanke på att dessa myndigheter ser ganska olika ut och ofta är små har utredningen dock kommit till slutsatsen att det bör vara frivilligt för dessa myndigheter om de vill ha ett personuppgiftsombud. I en del fall kan det säkert vara lämpligt.
7.9. Ändamål
7.9.1. Allmänt om ändamål
Personuppgiftslagens regelverk har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I 9 § PUL anges vissa grundläggande krav som den personuppgiftsansvarige måste leva upp till vid behandling av personuppgifter. Enligt punkten c får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. I punkten d anges den s.k. finalitetsprincipen enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Bestämmelserna innebär bland annat att den personuppgiftsansvariga redan vid insamlingen av uppgifterna måste bestämma för vilket eller vilka ändamål insamlingen sker. De innebär också att vidarelämning av uppgifter måste föregås av en prövning av om mottagarens ändamål är oförenligt med de ursprungliga ändamålen eller inte.
Vid behandling av personuppgifter är ändamålsbestämmelsen således av central betydelse för skyddet för den personliga integriteten. Ändamålet definierar vilka uppgifter som får behandlas och hur uppgifterna får behandlas. Ändamålet reglerar också hur länge uppgifterna får bevaras. Ändamålsbestämmelsen är den yttre ram som ska garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt. Bestämda ändamål begränsar den personuppgiftsansvariges handlingsfrihet, vilket ska ge ett skydd för den enskildes personliga integritet.
7.9.2. Primära och sekundära ändamål
Registerlagar innehåller normalt dels ändamål som avser den berörda myndighetens eget behov av att behandla personuppgifter, dels ändamål som reglerar i vilken utsträckning uppgifter som samlats in för myndighetens egen verksamhet får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. De förstnämnda ändamålen brukar kallas för primära och de sistnämnda för sekundära. I registerförfattningar är det också vanligt att man i författningen redovisar de primära och sekundära ändamålen var för sig, se till exempel polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).
Det finns vidare olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilka behandling får ske, både primära och sekundära. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in i enlighet med finalitetsprincipen.
Det finns exempel på båda metoderna i senare lagstiftning. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges uttömmande samtliga de ändamål för vilka behandling får ske, både de som gäller insamling av uppgifter och efterföljande behandling. I polisdatalagen och kustbevakningsdatalagen har i stället den andra metoden valts. I dessa lagar anges att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet. Valet av metod diskuteras bland annat i förarbetena till polisdatalagen och kustbevakningsdatalagen (se prop. 2009/10:85 s. 98 f. och prop. 2011/12:45 s. 101 f.). I propositionerna anförs att de primära ändamålen bör anges uttömmande. En annan fråga enligt propositionerna är om även de sekundära ändamålen bör anges uttömmande. Den fördel som ses med en sådan reglering är att lagstiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart för både tillämpare och andra vilken personuppgiftsbehandling som får förekomma med stöd av den aktuella lagen. Det anförs vidare i propositionerna att man i förarbetena till
flera registerlagar dock har gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Att bedöma nuvarande och förutse framtida behov av att kunna utlämna uppgifter är särskilt svårt i en sådan varierad och omfattande verksamhet som polisens brottsbekämpande verksamhet. Det konstateras att de sekundära ändamålen bör uttryckas så preciserat och fullständigt som möjligt men att vidarebehandling därutöver bör vara möjlig om den är förenlig med finalitetsprincipen. För andra sekundära ändamål än de som anges i lagen bör utlämnande alltså tillåtas under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet att lämna ut uppgifterna.
7.9.3. Utredningens överväganden
Utredningens förslag: Personuppgifter får behandlas bara om
det är nödvändigt för vissa ändamål. Ändamålen ska anges i lagen. Utöver de ändamål som anges i lagen får insamlade personuppgifter även behandlas för att tillhandahålla andra information, om tillhandahållandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Särskilda ändamål
I nuvarande utlänningsdataförordning finns vissa särskilda bestämmelser om ändamål. Enligt 3 § utlänningsdataförordningen får personuppgifter behandlas i verksamhetsregister för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller författning, fullgörande av underrättelseskyldighet som följer av lag eller annan författning samt för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet. Av 8 § framgår att Migrationsverket får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Vidare anges i 9 § att Migrationsverket får föra ett fingeravtrycksregister som får användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl
åberopats, i ärenden om avvisning och utvisning samt i testverksamhet. Ändamålet testverksamhet tillkom genom en ändring i utlänningsdataförordningen som träder i kraft den 15 juli 2015 (SFS 2015:310).
På senare tid har frågan huruvida ändamål bör regleras på det sätt som i dag är brukligt i registerlagar diskuterats. Exempelvis menar Informationshanteringsutredningen att huvudregeln bör vara att det är den personuppgiftsansvariga myndigheten själv som, inom ramen för sitt uppdrag, närmare specificerar för vilket eller vilka ändamål personuppgifter behandlas i verksamheten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen, se SOU 2015:39 s. 277 f. Även om det finns skäl för Informationshanteringsutredningens överväganden i frågan anser utredningen att samma princip för ändamålsreglering som finns i dagens reglering på utlännings- och medborgarskapsområdet bör finnas i den nya lagstiftningen. Utgångspunkten bör alltså vara att den nya lagen ska innehålla ändamålsbestämmelser.
Frågan är då hur ändamålsbestämmelserna ska formuleras. Som ovan anges ska ändamålsbestämmelserna definiera gränserna för den tillåtna personuppgiftsbehandlingen. Bestämmelserna bör därför vara så tydliga och specificerade som möjligt. Enligt 9 § första stycket c PUL får personuppgifter endast samlas in för särskilda ändamål. Av denna bestämmelse följer enligt förarbetena till personuppgiftslagen att en alltför allmänt hållen ändamålsangivelse inte kan godtas (se SOU 1997:39 s. 350 och prop. 1997/98:44 s. 120). Hur detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav får dock enligt förarbetena avgöras i praxis och genom kompletterande föreskrifter. När det gäller hur ändamålen i en registerförfattning ska formuleras har regeringen emellertid uttalat att syftet med ändamålen i en registerförfattning är att ange en yttersta ram inom vilken personuppgifter får behandlas och att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt (se prop. 1997/98:97 s. 121).
Den verksamhet som ska regleras i den nya lagen är både omfattande och mångskiftande och utförs av flera myndigheter. Följden blir att ändamålsbestämmelserna måste formuleras tämligen generellt. Samtidigt ska bestämmelserna uppfylla personuppgiftslagens krav på särskilda ändamål. Ändamålen måste vara tillräckligt preciserade
för att det ska gå att kontrollera att personuppgifter endast behandlas för avsedda ändamål.
Vid den kartläggning som utredningen gjort av användningen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen har framkommit att ändamålsregleringen i nuvarande utlänningsdataförordning stämmer väl överens med Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas behov. Det är därför lämpligt att ändamålsbestämmelserna i den nya lagen har sin utgångspunkt i dessa bestämmelser. Behandling av personuppgifter bör således vara tillåtet för ändamålen handläggning av ärenden i enlighet med vad som följer av lag och förordning, fullgörande av underrättelseskyldighet som följer av lag och förordning samt för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet. Behandling bör också vara tillåten för ändamålen återsökning av avgöranden, rättsutredningar och annan information samt information rörande förhållanden i andra länder. Men även ändamålet att lämna ut insamlade uppgifter till enskilda och andra myndigheter bör regleras.
Utredningen konstaterar i avsnitt 7.11.2 att lagen inte bör innehålla någon uppräkning av vilka uppgifter som får behandlas i verksamheten motsvarande den som i dag finns i 4 § utlänningsdataförordningen. Det ska i stället bestämmas av ändamålet. Endast sådana uppgifter som är nödvändiga för ett i lagen angivet ändamål får behandlas. Det innebär att det är ännu viktigare att ändamålsbestämmelserna är tydliga och inte alltför vida. En ytterligare specificering i förhållande till vad som gäller enligt utlänningsdataförordningen är därför lämpligt. Utredningens förslag på ändamålsbestämmelser beskrivs närmare nedan.
Utöver de i utlänningsdatalagen angivna särskilda ändamålen kommer personuppgiftsbehandlingen styras av de bestämmelser i personuppgiftslagen som ska gälla utöver utlänningsdatalagen. Det innebär att de grundläggande kraven på personuppgiftsbehandlingen i 9 § PUL kommer att gälla även vid personuppgiftsbehandling enligt den nya lagen. Av denna bestämmelse följer bland annat att den personuppgiftsansvarige har ansvar för att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter än
nödvändigt behandlas. Även denna reglering begränsar således personuppgiftsbehandlingen.
Den nya lagens ändamålsreglering och finalitetsprincipen
I den nya lagen kommer det, som närmare kommer att utvecklas nedan, att finnas både primära och sekundära ändamål. När det gäller innebörden av begreppen primära och sekundära ändamål, se avsnitt 7.9.2. Även i den nuvarande utlänningsdataförordningen finns båda slagen av ändamålsbestämmelser. Frågan är då om ändamålen i den nya lagen ska regleras uttömmande eller om myndigheterna ska ha möjlighet att behandla personuppgifter för något annat ändamål under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet.
Ändamålsregleringens utformning har tagits upp i utredningens direktiv. Där anges att det, som bland annat Integritetsskyddskommittén har uppmärksammat i sitt betänkande Skyddet för den
personliga integriteten (SOU 2007:22), numera förekommer att ut-
tömmande ändamålsreglering leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (se SOU 2007:22 s. 464 f.). Utredaren ska därför enligt utredningens direktiv se till att föreslagen reglering inte innehåller några uttömmande ändamålsregleringar. Det finns olika möjligheter att utforma ändamålsregleringen. Det verkar, som har berörts ovan, finnas i princip två olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med de i lagen angivna ändamålet (jfr finalitetsprincipen). Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling får ske, vare sig det är fråga insamling av uppgifter eller efterföljande behandling.
En utgångspunkt för den nya lagen bör enligt utredningen vara att tillåtna ändamål ska anges så tydligt och fullständigt som möjligt. Särskilt viktigt är detta när det gäller de primära ändamålen. Det får således inte råda någon tvekan om vilken personuppgiftsbehandling som är tillåten i kärnverksamheten. Detta talar för att i vart fall de primära ändamålen bör anges uttömmande. Mot en sådan reglering
talar att den nuvarande utlänningsdataförordningen inte är uttömmande i fråga om tillåtna ändamål. Senare behandling får således i dag ske för något annat ändamål än de som anges i förordningen förutsatt att ändamålet inte är oförenligt med det i förordningen angivna ändamålet. Såvitt är känt har denna möjlighet inte föranlett några olägenheter när det enskildas integritetsskydd. Utredningen har ändå stannat för slutsatsen att ett fullgott integritetsskydd kräver att regleringen av de primära ändamålen är uttömmande. En annan ordning skulle kunna leda till otydlighet och oförutsebarhet. De primära ändamålen bör således redovisas uttömmande i lagen. Uttalandet i utredningens direktiv avser rimligen inte de primära ändamålen utan tar sikte på hur de sekundära ändamålen bör utformas.
Vad därefter gäller de sekundära ändamålen finns det förstås fördelar om den regleringen också är uttömmande. Med en uttömmande reglering bestämmer man en gång för alla i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. En sådan reglering blir både tydlig och förutsebar. Det finns emellertid vissa nackdelar med att reglera de sekundära ändamålen uttömmande. Det är nämligen, som har berörts ovan, knappast möjligt att i en lag som den nu aktuella på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Mot den bakgrunden föreslår utredningen i enlighet med direktiven till utredningen att de sekundära ändamålen i den nya lagen inte ska anges uttömmande. Det ska alltså vara möjligt att i vissa fall kunna behandla information för andra sekundära ändamål än de som anges i förslaget under förutsättning att det i det enskilda fallet inte kan anses vara oförenligt med insamlingsändamålet att lämna ut uppgifterna.
Denna möjlighet bör alltså ses som en ventil, eftersom det inte går att förutse alla de fall då uppgifter bör kunna lämnas ut.
I den nya lagen kommer det således att finnas både primära och sekundära ändamål. De förstnämnda, alltså de ändamål som avser den berörda myndighetens eget behov av att behandla personuppgifter, kommer att vara uttömmande. Uppgifter kan alltså inte behandlas för några andra primära ändamål än de särskilt angivna. Däremot kommer myndigheterna att ha möjlighet att lämna ut uppgifter i enlighet med finalitetsprincipen.
Nödvändighetskravet
Många registerförfattningar innehåller ändamålsbestämmelser som anger att en behandling av personuppgifter ska behövas eller vara nödvändig för de ändamål som anges i författningen (se till exempel 2 kap. 4 § patientdatalagen). Kravet att behandlingen ska vara nödvändig följer av dataskyddsdirektivets artikel 7. I bestämmelsen anges de principer som gör att personuppgiftsbehandling kan tillåtas. Av artikeln framgår att personuppgifter endast får behandlas om det är nödvändigt för vissa i artikeln angivna syften, såvida inte den registrerade otvetydigt lämnat sitt samtycke till behandlingen. Artikel 7 har genomförts i svensk rätt genom 10 § PUL och genom särskilda ändamålsbestämmelser i registerförfattningar.
I en kommentar till personuppgiftslagen anförs att nödvändighetskravets närmare innebörd inte är helt klart (Öman. S. m.fl., Personuppgiftslagen. En kommentar, 30 september 2014, Zeteo, kommentaren till 10 § ). Enligt Datalagskommittén, som bland annat hade till uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter i anledning av EU:s dataskyddsdirektiv, kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen. De flesta arbetsuppgifter kan rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt (se SOU 1997:39 s. 359). I senare förarbeten har det konstaterats att nödvändighetskravet inte rimligen kan innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (se SOU 2001:32 s. 95 och SOU 2001:100 s. 90). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg. En personuppgift torde vara nödvändig att behandla för ett visst ändamål, om ändamålet inte kan realiseras om inte personuppgiften får användas (se SOU 1999:109 s. 156).
Prövning av om en behandling är nödvändig ska göras inte bara då en personuppgift samlas in och registreras utan även vid senare
behandling av uppgiften, såsom vid fortsatt lagring, behandling för framställning av statistik eller utlämnande.
Som framgår ovan är nödvändighetskravet svårt att närmare definiera. Det kan framstå som olämpligt att i lagen införa ett begrepp som har en oklar betydelse. Utredningen bedömer ändå att det är lämpligt att införa ett krav på att personuppgifter får behandlas endast om det är nödvändigt för de i lagen angivna ändamålen. Enligt 4 § nuvarande utlänningsdataförordning får de personuppgifter som anges i paragrafen behandlas i den mån det är nödvändigt för det ändamål för vilket behandlingen utförs. Ett nödvändighetskrav gäller således redan i dag för behandling av personuppgifter i verksamhetsregister i här aktuell verksamhet. Genom nödvändighetskravet betonas att behandling av uppgifter inte ska ske slentrianmässigt och att en bedömning av nödvändigheten måste göras innan en behandling påbörjas. Eftersom begreppet är hämtat från dataskyddsdirektivet och personuppgiftslagen, har viss praxis utvecklats på området. Utredningen anser därför att det är lämpligt att införa ett krav på att behandlingen ska vara nödvändig för de i lagen angivna ändamålen för att vara tillåten.
För vilka ändamål ska personuppgifter få behandlas?
Handläggning av ärenden eller en myndighets biträde i sådana ärenden
En stor del av den personuppgiftsbehandling som sker i dag utförs i samband med de olika myndigheternas handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen. Myndigheterna måste naturligtvis kunna inhämta, ta emot, lagra och på andra sätt behandla personuppgifter i samband med att myndigheten fullgör sina uppgifter enligt lag och förordning.
Begreppet handläggning bör i sammanhanget tolkas ganska vidsträckt och innefatta alla moment som kan bli aktuella vid handläggning av ett ärende. Bestämmelsen ger till exempel stöd åt Migrationsverkets behandling av personuppgifter i samband med mottagande, registrering och beredning av ärenden, förordnande av offentligt biträde, kommunikation med parter, kommunikation med andra tjänstemän inom samma myndighet i anledning av ärendet och upprättande och meddelande av beslut. Under denna punkt faller även
Polismyndighetens personuppgiftsbehandling i kontroll- och verkställighetsärenden. Till sådan verksamhet räknas också till exempel att Polismyndigheten på elektronisk väg får tips om var personer som ska utvisas befinner sig eller att myndigheten själv använder sig av automatiserad behandling i syfte att identifiera och hitta personer vars beslut om avlägsnande ankommer på Polismyndigheten att verkställa. Därutöver ger bestämmelsen stöd för utlandsmyndighets personuppgiftsbehandling i den medverkan med utredning i Migrationsverkets, Polismyndighetens och Säkerhetspolisens handläggning av utlännings- och medborgarskapsärenden som sker med stöd av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepresentationen. Även den personuppgiftsbehandling som utförs i samband med Polismyndighetens och Säkerhetspolisens verkställande av Migrationsverket beslut om förvar faller under denna punkt.
Bestämmelsen ger också stöd åt att personuppgifter som samlats in för ett visst ärende behandlas i ett senare ärende som rör samma person eller i ett ärende som rör en annan person men där den registrerade förekommer som till exempel anhörig.
Den förslagna bestämmelsen avser endast behandling av personuppgifter som behövs för den egna myndighetens handläggning. Utlämnande av uppgifter till andra myndigheter för deras handläggning regleras på annat sätt, se nedan.
Kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige
Polismyndigheten utför personuppgiftsbehandling i samband med den yttre och inre utlänningskontrollen. Migrationsverket kan också medverka vid sådan kontrollverksamhet. Den yttre och inre utlänningskontrollen kan ha brottsbekämpande syfte, till exempel att upptäcka gränsöverskridande brottslighet. I sådana fall regleras personuppgiftsbehandlingen av polisdatalagen. I andra fall är ändamålet med kontrollen att kontrollera den inresandes identitet och att kontrollera att han eller hon uppfyller de formella och materiella kraven enligt utlänningslagen, för rätt till inresa och vistelse i Sverige. I sådana fall bör personuppgiftsbehandlingen regleras av utlänningsdatalagen. Den personuppgiftsbehandling som Migrationsverket utför i samband med kontrollverksamheten omfattas inte av någon annan särlagstiftning. Det bör således finnas en bestämmelse av
vilken det framgår att behandling av personuppgifter är tillåten för ändamålet yttre och inre utlänningskontroll, dvs. kontroll av utlänning i samband med inresa, utresa och kontroll under vistelsen i Sverige.
Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar
Migrationsverket har ett omfattande ansvar när det gäller mottagande och bosättning av och sysselsättning för asylsökande och andra utlänningar. Särskilda bestämmelser om detta finns bland annat i lagen om mottagande av asylsökande m.fl. Bestämmelsen möjliggör personuppgiftsbehandling hos Migrationsverket som avser ombesörjandet av boende och sysselsättning för asylsökande och andra utlänningar, men som inte direkt utförs inom ramen för ett enskilt ärende. Som exempel kan anges myndighetens kontakter med arbetsgivare och andra myndigheter för att ordna praktikplats åt en asylsökande. Inom detta område faller också myndighetens arbete med att ta emot kvotflyktingar. Kvotflyktingar är de flyktingar som FN:s flyktingorgan UNHCR beviljat flyktingstatus och som kommer till Sverige från något av FN:s flyktingläger. Migrationsverket har ansvar för att välja vilka personer som ska väljas ut. Denna verksamhet innefattar praktiskt arbete med mottagande och bosättning i vilken en stor mängd personuppgifter behandlas. En särskild bestämmelse som tillåter behandling av uppgifter för mottagande och bosättning av asylsökande och andra utlänningar bör därför införas. Det torde sällan bli aktuellt för polisen att behandla personuppgifter för detta ändamål. Det kan dock enligt utredningen inte uteslutas att det någon gång skulle kunna bli aktuellt. Även polisen bör därför omfattas av bestämmelsen.
Tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet
Myndigheter har ett behov av att behandla uppgifter inom verksamheten för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet. Med testverksamhet avses användning av personuppgifter, exempelvis fingeravtryck, för
att kunna genomföra olika tester av ny utrustning och teknik. Detta behov finns även hos myndigheter inom verksamhet på utlännings- och medborgarskapsområdet. En myndighet kan till exempel behöva behandla personuppgifter för tillsyn av handläggningen av enskilda ärenden eller kontroll av delar av eller hela verksamheten. Behov finns också av personuppgiftsbehandling för utvärdering och planering av verksamheten på olika nivåer. Det kan till exempel röra sig om utvärdering av en viss del av verksamheten genom framställning av statistik med hjälp av uppgifter från ärendehanteringssystemet. Enligt förordningen (2007:996) med instruktion för Migrationsverket ska verket föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Migrationsverket framställer även statistik till externa mottagare såsom riksdagen, Justitiedepartementet, fackförbund, Eurostat och UNHCR. Ytterligare ett exempel då Migrationsverket kan behöva behandla personuppgifter för tillsyn m.m. är när verket registrerar kvalitetsomdömen om offentliga biträden, tolkar, översättare och språkanalytiker, se vidare kapitel 8.
I lagrådsremissen Behandling av uppgifter i Tullverkets brottsbe-
kämpande verksamhet från år 2005 föreslog regeringen en uttrycklig
bestämmelse om att uppgifter som behandlas för något av de enligt lagförslaget tillåtna primära ändamålen även skulle få behandlas för att planera, följa upp och utvärdera verksamheten. Lagrådet uttalade att en sådan bestämmelse är obehövlig (se prop. 2004/05:164 s. 179). Planering, uppföljning och utvärdering är en integrerad del av själva verksamheten och enligt Lagrådet var det självklart att uppgifter som får användas i verksamheten också får användas för planering m.m. Regeringen delade Lagrådets bedömning (se prop. 2004/05:164 s. 66 f. och 162 samt prop. 2009/10:85 s. 116). Av ovan angivna skäl avstod regeringen från att föreslå en motsvarande bestämmelse i polisdatalagen (se prop. 2009/10:85 s. 116) och kustbevakningsdatalagen (se prop. 2011/12:45 s. 111).
Datainspektionen har emellertid i sitt yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10) (Datainspektionens yttrande 2013-05-31, Diarienr 361-2013) anfört att det bör övervägas att i lagtexten tydliggöra att de primära ändamålen även omfattar vidarebehandling av personuppgifter för planering, uppföljning och utvärdering hos de enskilda myndigheterna. Detta trots Lagrådets uttalande att planering, uppföljning och utvärdering
kan ses som en integrerad del av själva verksamheten. Som den aktuella bestämmelsen var utformad ansåg inspektionen att det förhållandet var alltför otydligt för den enskilde. Ur ett integritetsperspektiv bör det enligt Datainspektionen vara tydligt för den enskilde för vilka ändamål som dennes personuppgifter får behandlas.
Av 9 § andra stycket PUL följer att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med det ändamål för vilket uppgifterna samlades in. Som framgår av avsnitt 7.7.3 föreslår utredningen att bestämmelsen ska vara tillämplig vid behandling av personuppgifter med stöd av utlänningsdatalagen. Det innebär att behandling av personuppgifter för statistiska ändamål alltid är tillåtet, oavsett för vilket ändamål det samlades in. Någon särskild bestämmelse om att uppgifter får behandlas för statistikändamål krävs således egentligen inte i lagen.
Datainspektionens ovan redovisade synpunkter framstår som välgrundade. Det är viktigt att lagens ändamålsbestämmelser är så tydliga som möjligt, inte bara för de myndigheter som ska tillämpa dem utan även för dem vars uppgifter behandlas. Lagen bör därför enligt utredningen innehålla en uttrycklig bestämmelse om att uppgifter i verksamheten även får behandlas för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet.
När det gäller behandling för ändamålet tillsyn etc. torde det normalt vara aktuellt att bara behandla uppgifter som redan har insamlats för något annat ändamål. Det kan dock inte uteslutas att det någon gång kan bli aktuellt att samla in uppgifter som inte finns i verksamheten för tillsyn etc. Ett exempel på detta kan vara om Migrationsverket vill genomföra ett bemötandeprojekt och därför måste ta in uppgifter från utomstående aktörer.
Registrering och annan dokumentationsskyldighet
Viss personuppgiftsbehandling är nödvändig utan att den kan sägas direkt röra verksamheten enligt utlännings- och medborgarskapslagstiftningen. Till myndigheter lämnas av olika anledningar uppgifter, däribland personuppgifter, som inte har betydelse för myndighetens handläggning eller bedömning av ett visst ärende. Det finns
bestämmelser som medför skyldighet för den mottagande myndigheten att behandla inkommande personuppgifter, oavsett om de är nödvändiga för myndighetens verksamhet eller inte. De inkomna uppgifterna kan till exempel utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § OSL gäller som huvudregel att allmänna handlingar som kommit in till en myndighet ska registreras, dvs. diarieföras, så snart som möjligt. I 5 kap. 2 § OSL uppställs vissa minimikrav beträffande uppgifterna i ett sådant register. Av registret ska bland annat framgå uppgifter om handlingens avsändare eller mottagare och i korthet vad handlingen rör. I förvaltningslagen (1986:223, FL) finns vissa regler om anteckningsskyldighet, parts rätt att ta del av det som tillförts ärendet och kommunikationsplikt. Vidare är en myndighet enligt 5 § andra stycket FL skyldig att se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bland annat e-post och att svar kan lämnas på samma sätt. Dessa bestämmelser kan innebära att personuppgifter måste behandlas.
I 2 kap. 9 § PDL finns en bestämmelse som tillåter personuppgiftsbehandling för bland annat diarieföring. En motsvarande ändamålsbestämmelse behövs i den nya lagstiftningen.
Återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder
Enligt gällande utlänningsdataförordning har Migrationsverket rätt att föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Verket får vidare föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder. Inom främst Migrationsverket är tillgången till aktuell rättspraxis och uppdaterad information om länder nödvändig för att myndigheten ska kunna fatta korrekta beslut i enlighet med gällande praxis och i övrigt bedriva verksamheten så effektivt och rättssäkert som möjligt. Tjänstemän och beslutsfattare på Migrationsverket bör även i fortsättningen ha möjlighet att behandla personuppgifter för ändamålet att söka avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder.
I gällande utlänningsdataförordning finns en bestämmelse om att ett rättsfallsregister inte får innehålla personuppgifter som direkt
pekar ut den registrerade (8 § första stycket). Enligt utredningen finns det inget behov av att ha kvar denna begränsning. Kravet på att behandlingen ska vara nödvändig och bestämmelserna i 9 § första stycket e) och f) PUL bör innebära att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas. I enlighet med kravet att behandlingen ska vara nödvändig följer att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas. I rättsfallssamlingar är identiteten på en person oftast oväsentlig för informationsvärdet. Något förbud av det slag som finns i dag behövs därför inte. Titlar på domar från exempelvis EU-domstolen och Europadomstolen får anses nödvändiga att behandla även om de innehåller något namn på en person.
Uppgiftsutlämnande till andra med stöd av bland annat lag
Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna behandlar inte enbart uppgifter för egen del utan även genom utlämnande till andra. Uppgiftsutlämnande kan ske av olika anledningar.
Det finns en rad olika författningar som föreskriver en uppgiftsskyldighet för myndigheterna, dvs. att myndigheterna ska lämna ut uppgifter i vissa angivna situationer. För det första är myndigheterna i vissa fall skyldiga att lämna ut uppgifter till vissa utpekade myndigheter. Till exempel har enligt 17 kap. 3 § UtlL Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Ett annat exempel är att Migrationsverket ska lämna vissa uppgifter om utlänningar till Centrala studiestödsnämnden enligt 30 § förordningen (1990:1361) för prövning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiftsskyldighet följer av lag eller förordning.
Myndigheter är i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är till exempel skyldig att lämna ut personuppgifter som är allmänna handlingar, om inte sekretess gäller för uppgifterna. Det följer av 2 kap. TF och 8 § PUL. Uppgiftsskyldighet kan även följa av bestäm-
melser i offentlighets- och sekretesslagen. Enligt 6 kap. 5 § OSL ska således en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. I tidigare lagstiftningsärenden har denna bestämmelse inte ansetts innebära någon uppgiftsskyldighet i nu aktuellt hänseende. I flera senare lagstiftningsärenden har dock en motsatt bedömning gjorts (se till exempel prop. 2008/09:96 s. 80). Mot den bakgrunden får 6 kap. 5 § OSL anses innefatta en sådan skyldighet att lämna uppgifter som kommer att innefattas i ändamålet uppgiftslämnande med stöd av lag.
Vidare finns det ett antal författningar med bestämmelser som medför att uppgifter får lämnas ut. Bestämmelserna innebär således inte, som de ovan beskrivna, en uppgiftsskyldighet utan att utlämnande är tillåtet. Ett exempel på en sådan bestämmelse är 10 kap. 15 § OSL. I bestämmelsen anges att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen. Vidare finns i 10 kap. 27 § samma lag en generalklausul som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.
Myndigheterna lämnar inte enbart ut uppgifter för att tillgodose andras behov. En myndighet kan även lämna ut uppgifter på eget initiativ, till exempel för att kunna utföra en uppgift i den egna verksamheten. Det kan till exempel ske med stöd av 10 kap. 2 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Ett annat exempel är 10 kap. 18 § OSL, som anger att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiften behövas där för förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat rättsligt förfarande vid myndighet mot någon rörande hans eller hennes deltagande i verksamheten vid den myndighet där uppgiften förekommer.
Gemensamt för de uppgiftslämnande som behandlats i det föregående är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När bestämmelser om sådant uppgiftslämnande har införts, får det förutsättas att det gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda
enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, förhindra att personuppgifter som finns i verksamheten enligt utlännings- och medborgarskapslagstiftningen lämnas ut i dessa fall. Det här beskrivna ändamålet torde i huvudsak motsvara ändamålsbestämmelsen i 3 § nuvarande utlänningsdataförordning.
I avsnitt 4.3.3 redogörs för den utveckling som skett på migrationsområdet inom EU under senare år. Även det internationella samarbetet på detta område blir alltmer omfattande. Samverkan över gränserna innebär att svenska myndigheter i allt högre utsträckning behandlar uppgifter genom utlämnande till myndigheter i andra länder. När det gäller EU-samarbetet är mycket av den personuppgiftshantering som sker reglerad i särskilda förordningar som gäller som svensk lag här i Sverige. För det fall sådana bestämmelser saknas krävs det i den nya lagen en särskild ändamålsbestämmelse som tillåter att uppgifter behandlas genom att lämnas ut enligt bestämmelser som följer av Sveriges medlemskap i EU. En sådan bestämmelse bör också införas när det gäller utlämnande av uppgift som sker på grund av förpliktelser i konventioner eller av riksdagen godkända avtal med främmande stat eller mellanfolkliga organisationer. Denna ändamålsbestämmelse kan även bli tillämplig då information tillhandahålls en utländsk myndighet i tredjeland, se avsnitt 7.7.8.
Utredningen föreslår således bestämmelser som specificerar för vilka ändamål personuppgiftsbehandling är tillåten. Insamlade personuppgifter ska även få behandlas för att tillhandahålla information för något annat ändamål än som framgår av lagen under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Som redovisats i avsnitt 7.3.5 ska den nya lagen inte tillämpas på myndigheternas interna administration, till exempel personaladministration.
7.10. Migrationsverkets register över fingeravtryck och fotografier
7.10.1. Allmänt om fingeravtrycksregistret m.m.
Enligt 9 § nuvarande utlänningsdataförordningen får Migrationsverket föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § UtlL. Registret, som brukar benämnas fingeravtrycksregistret, får föras med hjälp av automatisk databehandling och får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats, i ärenden om avvisning och utvisning samt i testverksamhet. Registret får endast innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift, se 10 § nuvarande utlänningsdataförordningen. Uppgifter från registret får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning. En uppgift i fingeravtrycksregistret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.
I praktiken för Migrationsverket ett särskilt register över fingeravtryck, medan verket registrerar och lagrar fotografierna i den centrala utlänningsdatabasen (CUD) som ägs av och finns hos Migrationsverket. Även verkets samlade fotografier kan ses som ett register.
Nedan kommer utredningen relativt utförligt att redovisa de speciella rutiner som gäller för Migrationsverkets register över fingeravtryck och den konstruktion som valts för registerföringen. Systemet är ganska komplicerat och inte helt lätt att genomskåda. Den valda konstruktionen har inte bara betydelse för Migrationsverkets registrering av uppgifter i registret. Den används också när Migrationsverket genom Polismyndighetens försorg kontrollerar fingeravtryck som Migrationsverket har tagit mot det fingeravtrycksregister som Polismyndigheten för enligt polisdatalagen. Sistnämnda fråga behandlar utredningen i kapitel 10.
Migrationsverkets önskan om att kunna jämföra fotografier vid registrering av inkomna fotografier tas upp i avsnitten 7.10.2 och 7.10.3.
Migrationsverkets register över fingeravtryck utgör tillsammans med Polismyndighetens fingeravtrycksregister det nationella fingeravtrycksregistret.
Migrationsverkets register över fingeravtryck innehåller fingeravtryck som samlats in av Migrationsverket i utlänningsärenden, se nedan. Detta register benämns vanligtvis B-filen.
Polismyndighetens fingeravtrycksregister innehåller fingeravtryck som samlats in med stöd av 4 kap. PDL. Som följer av 4 kap. 11−12 a §§ PDL får det registret innehålla fingeravtryck från en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken eller som har lämnat fingeravtryck enligt 19 § lagen om särskild utlänningskontroll. Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden. Detta register benämns vanligtvis A-filen.
Migrationsverkets fingeravtrycksregister (B-filen) och Polismyndighetens fingeravtrycksregister (A-filen) behandlas och lagras i ett automatiserat fingeravtrycksidentifieringssystem (AFIS), men registren är tekniskt separerade från varandra. Utöver fingeravtryck finns även viss annan information om namn, födelsetid, nationalitet m.m. registrerad i registren.
AFIS är placerat i Polismyndighetens lokaler. Det är endast Polismyndigheten (i praktiken ett fåtal personer på Nationellt Forensiskt centrum, NFC) som har tillgång till Migrationsverkets fingeravtryck i B-filen. För åtkomst till B-filen krävs det en särskild behörighet och tillgång till särskilt anpassade arbetsstationer och programvaror. I praktiken är det alltså Polismyndigheten som handhar, förvaltar och underhåller B-filen genom en överenskommelse mellan Migrationsverket och Polismyndigheten. Verket har alltså ingen möjlighet att registrera, radera eller komma åt uppgifter i sitt eget fingeravtrycksregister utan Polismyndighetens biträde.
Trots det sagda bör Migrationsverket enligt utredningen uppfattas som personuppgiftsansvarigt för sitt fingeravtrycksregister, eftersom verket får anses utföra behandlingen i det. Frågan om vem som är personuppgiftsansvarig ska nämligen bedömas utifrån de faktiska omständigheterna i det särskilda fallet. En personuppgiftsansvarig myndighet får anses utföra en behandling även om den faktiska hanteringen av personuppgifter har överlämnats till ett personuppgiftsbiträde, se SOU 2015:39 s. 699. När det gäller B-
filen är Polismyndigheten personuppgiftsbiträde för den behandling av personuppgifter som utförs i B-filen.
Ett skriftligt personuppgiftsbiträdes- och säkerhetsavtal har ingåtts mellan myndigheterna rörande denna behandling. I avtalet finns bland annat föreskrifter om att Polismyndigheten (dvs. personuppgiftsbiträdet) får behandla personuppgifter bara i enlighet med instruktioner från Migrationsverket (dvs. den personuppgiftsansvarige). Inget annat har i och för sig framkommit än att parterna rättar sig efter detta avtal. Men det får ändå anses tveksamt hur man rättsligen ska se på avtal mellan statliga myndigheter i vilka en statlig myndighet avtalar med en annan statlig myndighet om att den ena myndigheten ska vara personuppgiftsbiträde åt den andra, se SOU 2015:39 s. 359 f. Vilken rättslig betydelse avtalet mellan Migrationsverket och Polismyndigheten har är därför enligt utredningen inte helt klart.
Som följer av 9 kap. 8 § UtlL får Migrationsverket och Polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige (punkten 1), utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande (punkten 2) eller det finns grund för att besluta om förvar (punkten 3). Vad gäller de två sistnämnda punkterna får alltså fingeravtryck tas även om utlänningen kan styrka sin identitet.
Beslut om att Polismyndigheten ska ta aktuella fingeravtryck fattas av den befattningshavare som ansvarar för att utredning genomförs i ett ärende som rör uppehållstillstånd, avvisning eller utvisning eller av den som har till uppgift att fatta beslut om förvar, se 6 kap. 14 § UtlF. Av samma paragraf följer att de fingeravtryck som Polismyndigheten har tagit med stöd av 9 kap. 8 § UtlL härefter ska skickas Migrationsverket. Kravet i bestämmelsen att Polismyndigheten ska skicka fingeravtryck som myndigheten har tagit till Migrationsverket får anses utgöra en sådan sekretessbrytande uppgiftsskyldighet som avses i 10 kap. 28 § OSL.
I de fall Migrationsverket tar fingeravtryck görs detta vid någon av Migrationsverkets fotostationer. Fingeravtrycken förs sedan automatiskt över till en dator som är utrustad med ett slags fingeravtrycksprogram på Migrationsverkets ID-enhet. Fingeravtrycksprogrammet möjliggör manuell kontroll av fingeravtrycken och alfanumerisk information. Härefter skickar ID-enheten finger-
avtrycken till Polismyndigheten för registrering i B-filen och för sökning i A- och B-filen. Så sker även med de fingeravtryck som Polismyndigheten har tagit med stöd av 9 kap. 8 § UtlL och som skickats till Migrationsverket.
Kommunikationen mellan myndigheterna sker via en krypterad kommunikationslina för myndighetsbruk och inte via internet. Transaktionerna sker i form av e-post till vilka en s.k. NIST-fil innehållande fingeravtryck och övrig information är bifogad. Transaktionen inkommer till Polismyndighetens server och omdirigeras till AFIS som automatiskt kodar fingeravtrycken genom en kvalitetskontrollprocess.
Efter den automatiska kvalitetskontrollen söker AFIS de inkomna fingeravtrycken mot A- och B-filen och levererar sedan en lista över de tidigare registrerade fingeravtrycken som mest liknar det sökta. Denna lista presenteras för de personer på NFC som har åtkomstbehörighet till B-filen. Dessa personer jämför sedan fingeravtrycken och avgör om de sökta fingeravtrycken överensstämmer med något eller några av de tidigare transaktionerna som AFIS presenterat. I och med att fingeravtrycken har kodats i kvalitetskontrollen är de sökbara, men det är först efter att fingeravtrycken har granskats som registreringen slutförs.
Resultatet från Polismyndighetens jämförelser levereras automatiskt och elektroniskt till Migrationsverket efter att sökningen är gjord och registreras då i CUD. Resultatet innehåller endast information om träff eller ej träff skett samt, vid träff, referensnummer på träffen/träffarna. Om träff erhållits mot annan identitet i B-filen eller mot A-filen, upprättar NFC ett skriftligt sakkunnigutlåtande i vilket namn, nationalitet, födelsetid och upptagningsort ingår. Handläggare på Migrationsverket ansvarar för att ta kontakt med Polismyndigheten för närmare uppföljning i ärendet. En sådan kontakt kan exempelvis innebära att Polismyndigheten informeras om att någon som har återreseförbud förefaller försöka komma in i landet under annan identitet.
Filerna med fingeravtryck sparas i B-filen i AFIS genom Polismyndighetens biträde.
Fingeravtryck som tas med stöd av 9 kap. 8 § UtlL söks även bland annat mot Eurodac. Eurodac har dock ingen koppling till AFIS utan alla sökningar i Eurodac utförs av ID-enheten på Migrationsverket. Eurodac är ett informationssystem som innehåller finger-
avtryck på alla personer över 14 år som sökt asyl i ett EU-land, se Eurodacförordningen ((EU) nr 603/2013) som även behandlas översiktligt i avsnitten 4.3.3, 6.5 och 7.4.
Syftet med fingeravtryckskontrollerna mot det nationella fingeravtrycksregistret (A- och B-filen) och Eurodac är dels att fastställa ansvarig medlemsstat enligt EU-förordningar, exempelvis Dublinförordningen ((EU) nr 604/2013), dels att fastställa den sökandes identitet. Fastställande av den sökandes identitet är av betydelse för Migrationsverkets handläggning av ärenden både vad gäller prövningen av asylskäl och för att underlätta vid eventuell återresa eller svenskt medborgarskap. Fingeravtryckskontrollerna görs alltså för att kontrollera om sökanden redan finns registrerad under samma eller annan identitet.
Avslutningsvis kan även nämnas att Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) innebär att vissa utländska myndigheter ska ges rätt att göra automatiska sökningar i Polismyndighetens fingeravtrycksregister för jämförelse av fingeravtrycksuppgifter i vissa fall. Denna rätt omfattar emellertid inte sökning i Migrationsverkets fingeravtrycksregister och berörs därför inte ytterligare här.
De fingeravtrycksuppgifter som Migrationsverket lämnar till Polismyndigheten för registrering i Migrationsverkets fingeravtrycksregister (B-filen) torde normalt omfattas av sekretess. Den sekretessbestämmelse som i första hand är tillämplig är 37 kap. 1 § OSL. Reglerna om sekretess hos Migrationsverket redovisas närmare i avsnitt 7.15.2, varför det hänvisas dit. För att uppgifterna ska kunna lämnas till Polismyndigheten fordras det därför något sekretessundantag eller någon sekretessbrytande bestämmelse. Det finns inte något undantag från sekretessen eller någon särskilt sekretessbrytande bestämmelse som tar sikte på just det här aktuella utlämnandet. Det får därför antas att utlämnandet sker med stöd av generalklausulen i 10 kap. 27 § OSL, som medger att en sekretessbelagd uppgift lämnas till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Eventuellt kan utlämnandet grunda sig på 10 kap. 2 § OSL, som innebär att sekretess inte hindrar att en myndighet lämnar ut uppgifter till bland annat andra myndigheter,
om det är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet.
7.10.2. Särskilt om jämförelser av fotografier
Migrationsverket får i dag löpande in ett stort antal underrättelser, tips och identitetshandlingar från myndigheter och privatpersoner rörande olika personer, se bland annat Polismyndighetens underrättelseskyldighet i 6 kap. 14 § och 7 kap. 2 och 3 §§ UtlF. I många av dessa handlingar finns, förutom alfanumeriska data rörande de personer som avses, även ibland kopior på identitetshandlingar med fotografier.
Fotografier utgör personuppgifter, se 1 § nuvarande utlänningsdataförordningen och 3 § PUL.
I 5 kap. 1–4 §§ OSL finns de grundläggande bestämmelserna om myndigheternas skyldighet att registrera allmänna handlingar. Av bestämmelserna följer bland annat att allmänna handlingar som huvudregel ska registreras så snart de har kommit in till eller upprättats hos en myndighet.
Registreringsskyldigheten gäller dock inte för handlingar som inte omfattas av sekretess, om de hålls ordnade så att det utan svårighet kan fastställas om de har kommit in eller upprättats. Registreringsskyldigheten gäller inte heller en allmän handling, om det är uppenbart att den är av ringa betydelse för myndighetens verksamhet.
Av ovan nämnda bestämmelser i offentlighets- och sekretesslagen följer även att åtminstone följande uppgifter ska antecknas vid registrering av allmänna handlingar, nämligen 1) datum då handlingen kom in eller upprättades, 2) diarienummer eller annan beteckning handlingen fått vid registreringen, 3) i förekommande fall uppgifter om handlingens avsändare eller mottagare och 4) i korthet vad handlingen rör.
Myndigheternas skyldighet att registrera allmänna handlingar ska fylla den funktionen att allmänheten därigenom kan få vetskap om vilka handlingar som finns hos en myndighet. Kraven på hur registreringen ska ordnas är dock inte särskilt höga. Myndigheterna har en betydande frihet att ordna registreringen efter vad som är lämpligast för den enskilda myndigheten. Den metod som tillämpas bör dock användas konsekvent.
I många fall kan Migrationsverket endast efter mycket arbete eller i vissa fall inte alls koppla inkomna underrättelser, fotografier och tips till någon fysisk person som finns registrerad hos verket med hjälp av tillgänglig alfanumeriska data. Det finns olika förklaringar till detta. Bland annat kan personerna ha använt sig av falska identiteter vid asylansökan eller kan namnet, födelsedata, medborgarskap m.m. vara felaktigt angivet. I de fall någon koppling inte kan göras läggs handlingarna i det allmänna diariet.
För att öka effektiviteten vid registreringen av aktuella handlingar hos Migrationsverket har verket i testmiljö tagit fram ett fotojämförelseprogram, som är tänkt att användas som ett komplement till de alfanumeriska sökningarna. Det har vid genomförda tester framkommit att träffrekvensen vid de automatiserade fotojämförelserna är hög, även om de har långt ifrån samma träffsäkerhet som fingeravtryckskontroller. Genom jämförelseprogrammet generas en lista med 20–50 kandidater att välja manuellt ifrån. Vid en eventuell träff görs sedan en fotojämförelse med sakkunnigutlåtande där två identiteter kan kopplas samman. Med hjälp av fotojämförelseprogrammet kan alltså ytterligare handlingar, till exempel fotografier, kopplas till fysiska personer med befintliga dossier hos verket.
Mot denna bakgrund har Migrationsverket i framställan till Justitiedepartementet i juni 2014, dnr Ju 2014/3918/L7, efterfrågat ett rättsligt stöd i utlänningsdataförordningen för att få göra automatiserade jämförelser av foton för att kunna uppfylla skyldigheten att kunna diarieföra en inkommen handling under rätt ärende. Migrationsverket har härvid uppgett att verket anser att användande av fotojämförelser medför att Migrationsverket skulle kunna utföra skyldigheten att diarieföra en inkommen allmän handling på ett bättre sätt än vad verket gör i dag och att identitetsarbetet skulle bli effektivare. Detta medför enligt Migrationsverket även att handläggningstiderna i asylprocessen skulle kunna förkortas, eftersom fler uppenbart ogrundade asylansökningar skulle kunna upptäckas, identiteten på fler personer skulle kunna fastställas och arbetet med återresor skulle kunna effektiviseras. Vidare skulle enligt verket färre alias- och dubbeldossier behöva skapas och fler personer skulle även kunna registreras som konstaterat utresta.
Migrationsverket har enligt uppgift inte någon avsikt att lagra de sökta fotografierna i någon särskild databas. Underrättelser med
fotografier som inte gett någon träff ska därför precis som i dag registreras i det allmänna diariet efter sökning.
Utredningen har fått i uppdrag att överväga denna fråga.
7.10.3. Utredningens överväganden
Utredningens förslag: Migrationsverkets fingeravtrycks- och
fotografiregister ska särregleras i förhållande till övrig personuppgiftsbehandling i lagen. Ändamålet för fingeravtrycks- och fotografiregistren anges i lagen. Regeringen meddelar närmare bestämmelser om registrens innehåll och gallring. Särskilda sekretessbrytande bestämmelser föreslås i vissa fall.
Migrationsverkets register för fingeravtryck och fotografier
Som framgår av avsnitt 6.4.5 är utgångspunkten att utlänningsdatalagen ska vara teknikneutral och att lagen ska reglera all helt eller delvis automatiserad behandling av personuppgifter och uppgifter i manuella register. När det gäller behandling av automatiserade uppgifter är målsättningen således att undvika särreglering av vissa personuppgiftssamlingar eller viss typ av personuppgiftsbehandling. Som anförts kan det trots denna utgångspunkt i vissa fall finnas skäl att införa särbestämmelser för vissa personuppgiftssamlingar.
I förarbetena till polisdatalagen konstateras att det kan finnas viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna och att det är nödvändigt att i några fall ha särskilda bestämmelser om vissa register (se prop. 2009/10:85 s. 229). Detta gäller enligt propositionen dels register över DNA-profiler, dels fingeravtrycks- eller signalementsregister. Detsamma bör enligt propositionen gälla för behandling av uppgifter om misstänkt penningtvätt och misstänkt finansiering av terrorism i penningtvättsregister. Vidare finns det enligt propositionen skäl att särreglera viss behandling av uppgifter i det internationella polissamarbetet. Vidare bör det allmänna spaningsregistret enligt propositionen regleras för sig i en särskild lag. Skälen till särreglering varierar. När det gäller fingeravtrycks- och signalementsregistret motiveras
särregleringen av att det rör sig om ett speciellt slag av uppgifter som kräver teknisk lösning för att kunna behandlas.
Enligt utredningens bedömning finns det skäl som talar för att Migrationsverkets fingeravtrycksregister och fotografiregister bör särregleras även i den nya lagen.
Som framgår ovan registreras de fingeravtryck som samlas in av Migrationsverket i B-filen i det nationella fingeravtrycksregistret. Migrationsverket har personuppgiftsansvaret för den behandling av personuppgifter som utförs i B-filen, men det är Polismyndigheten som handhar, förvaltar och underhåller registret genom en överenskommelse med Migrationsverket. Det nationella fingeravtrycksregistret, dvs. både A- och B-filen, är placerat i Polismyndighetens lokaler och Migrationsverket har ingen möjlighet att utan biträde från Polismyndigheten komma åt uppgifterna i B-filen. Migrationsverket har inte någon möjlighet att kontrollera vilka uppgifter som tillförs, raderas eller används i registret. Uppgifterna i Migrationsverkets register över fingeravtryck är alltså avskilda från Migrationsverkets ärendehanteringssystem och andra datasystem hos verket. Vidare är fingeravtrycksregistret utformat som ett traditionellt register. Endast vissa i förordningen specificerade uppgifter får föras in i registret och uppgifterna får endast användas för ett avgränsat ändamål. Slutligen gör sig det argument som anförs för särbehandling av polisens fingeravtrycks- och signalementsregister gällande även när det gäller Migrationsverkets fingeravtrycksregister. Fingeravtryck utgör ett speciellt slag av uppgifter som kräver teknisk lösning för att kunna behandlas.
Sammanfattningsvis bedömer utredningen att övervägande skäl talar för att Migrationsverkets fingeravtrycksregister bör särregleras i den utlänningsdatalag som utredningen föreslår. Utredningen gör även motsvarande bedömning av Migrationsverkets fotografiregister, även om detta förs av verket i CUD.
Tillräckliga skäl att i nuläget införa en teknikoberoende benämning, till exempel biometri, i stället för fingeravtryck saknas.
De särskilda bestämmelserna som gäller för Migrationsverkets register över fingeravtryck och fotografier enligt nuvarande utlänningsdataförordningen bör alltjämt gälla även i den reglering som utredningen föreslår. I utredningens förslag till utlänningsdatalag bör det alltså anges för vilka ändamål personuppgifter får behandlas i Migrationsverkets register över fingeravtryck och fotografier. Som
framgår nedan anser utredningen dock att dessa bör kompletteras bland annat rörande Migrationsverkets önskan att få jämföra fotografier vid registrering av inkomna fotografier. Vidare behövs det enligt utredningen inte längre någon föreskrift motsvarande den i nuvarande utlänningsdataförordning att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning, se avsnitt 7.14.2. Regeringen bör ges möjlighet att meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.
Den omständigheten att Migrationsverket får föra ett fingeravtrycksregister och att Polismyndigheten är personuppgiftsbiträde åt verket innebär att utlämnandet av fingeravtrycksuppgifterna till Polismyndigheten för registrering i B-filen är en tillåten behandling. De uppgifter som Migrationsverket lämnar ut torde normalt vara sekretessbelagda hos verket enligt i vart fall 37 kap. 1 § OSL. För att uppgifterna ska få lämnas till Polismyndigheten för registrering måste därför något undantag från huvudregeln om sekretess mellan myndigheter finnas. Enligt utredningen bör ett sådant undantag föreskrivas som en skyldighet för Migrationsverket att lämna uppgifterna till Polismyndigheten, se 10 kap. 28 § OSL. Den sekretessbrytande bestämmelsen kan lämpligen tas in i en ny paragraf i utlänningslagen.
Utredningen vill avslutningsvis ta upp en fråga som visserligen ligger utanför direktiven men som enligt utredningen bör uppmärksammas i fortsättningen. Den organisatoriska konstruktionen med att låta Polismyndigheten handha, förvalta och underhålla Migrationsverkets fingeravtrycksregister utan att Migrationsverket har någon tillgång till sitt eget register väcker en del frågor. Migrationsverket torde i praktiken inte kunna ha någon insyn i vilka uppgifter som tillförs, raderas eller används i registret. Man kan då fråga sig om det över huvud taget är möjligt för Migrationsverket att kontrollera att Polismyndigheten följer givna instruktioner från verket och att Polismyndigheten genomför de säkerhetsåtgärder som måste vidtas (30 § andra stycket och 31 § andra stycket PUL). En annan fråga som den organisatoriska konstruktionen reser är hur framställningar hos Migrationsverket enligt tryckfrihetsförordningen om utbekommande av uppgifter ur registret hanteras av verket. Registeruppgifterna torde knappast utgöra allmänna handlingar hos Migrationsverket, eftersom de inte kan anses förvarade hos verket. Man kan enligt utredningen inte heller påstå att Polismyndigheten
förvarar uppgifterna endast som ett led i teknisk bearbetning eller teknisk lagring enligt 2 kap. 6 § tredje stycket och 10 § första stycket TF med tanke på det sätt som Polismyndigheten disponerar över uppgifterna. Här kan också tilläggas den ovan beskrivna problematiken med avtal mellan statliga myndigheter om personuppgiftsbiträde, se SOU 2015:39 s. 359 f. Sannolikt är det tekniska skäl som har föranlett den organisatoriska lösningen, men de rättsliga konsekvenserna av den bör enligt utredningen övervägas närmare.
Särskilt om önskade jämförelser av fotografier
Migrationsverket får, som ovan nämnts, regelbundet in allmänna handlingar med fotografier i olika sammanhang, vilka verket har en skyldighet att registrera enligt offentlighets- och sekretesslagen.
I många fall behöver Migrationsverket lägga ner ett omfattande arbete för att handlingarna med hjälp av tillgänglig alfanumeriska data ska kunna registreras och kopplas till en fysisk person som redan är registrerad hos verket. I andra fall kan någon sådan koppling inte göras.
För att öka effektiviteten vid registreringen av aktuella handlingar har Migrationsverket, som tidigare nämnts, i testmiljö tagit fram ett fotojämförelseprogram som ett komplement till de alfanumeriska sökningarna.
Om ett fotografi endast registreras i Migrationsverkets allmänna diarium utan någon närmare information om vem fotografiet föreställer, är det enligt utredningens bedömning tveksamt om fotografiet över huvud taget kan få någon praktisk betydelse i Migrationsverkets verksamhet. Utredningen delar således verkets uppfattning om att det är viktigt att inkomna fotografier om möjligt kan registreras och hänföras till en dossier som eventuellt redan finns beträffande den person som fotografiet avser. Ju fler inkomna allmänna handlingar med fotografier som kan hänföras till en befintlig dossier desto effektivare torde identitetsarbetet bli, vilket i sin tur kan leda till en förkortad asylprocess i vissa fall. Utredningen delar därför Migrationsverkets ståndpunkt att en ”korrekt” registrering av inkomna fotografier skulle kunna innebära effektivitetsvinster för verket.
Migrationsverkets testverksamhet visar enligt utredningen att fotojämförelserna har förhållandevis hög träffsäkerhet. Fotojämförelser kan därmed utgöra ett komplement till andra undersökningar när det gäller att knyta en identitet till ett ingivet fotografi. Goda skäl talar därför enligt utredningen för att Migrationsverket bör få kunna jämföra ingivna fotografier med verkets register över fotografier om osäkerhet råder om identiteten på den person som finns på fotografiet. Sådana jämförelser kan Migrationsverket inte utföra enligt dagens reglering.
Frågan är då om det skulle kunna innebära några integritetsrisker för den enskilde om verket i framtiden tillåts att jämföra inkomna fotografier mot verkets fotografiregister. Det är enligt utredningen svårt att se att jämförelserna skulle kunna innebära några kränkningar för den enskilde. I själva verket bör en säkrare identitetsanalys av inkomna fotografier snarast gynna enskildas integritet, genom att risken för oklarheter och missförstånd om enskildas identitet minskar.
Sammanfattningsvis menar utredningen att Migrationsverket bör ges möjlighet att göra fotojämförelser av aktuellt slag, om det är oklart vilken identitet som en person på ett till verket ingivet fotografi har. Ett sådant ändamål bör därför finnas i den nya lagen.
7.11. Personuppgifter som får behandlas
7.11.1. Allmänt om tillåten behandling av personuppgifter
Vissa registerförfattningar har en eller flera bestämmelser om innehåll, dvs. en specifikation av vilka kategorier av uppgifter som får behandlas. I 4 § nuvarande utlänningsdataförordning anges vilka uppgifter som får behandlas i ett verksamhetsregister, exempelvis namn, personnummer, kön och vårdnadshavare. Denna teknik har ofta ansetts ha fördelar från integritetssynpunkt, eftersom det tydligt framgår vilka uppgifter som får behandlas. I en verksamhet där behandlingen är mycket omfattande och varierande kan en sådan reglering dock vara begränsande. I många registerlagar från senare år har lagstiftaren därför valt att inte specificera vilka personuppgifter som får eller inte får behandlas i en viss verksamhet. I stället får ändamålsbestämmelserna styra vilka uppgifter som får behandlas. De personuppgifter som är nödvändiga för de ändamål för vilken
behandlingen utförs får behandlas. Så är exempelvis fallet i polisdatalagen och kustbevakningsdatalagen.
7.11.2. Utredningens överväganden
Utredningens förslag: Alla personuppgifter som är nödvändiga
för det ändamål för vilken behandlingen utförs får behandlas.
Känsliga personuppgifter som anges i 13 § PUL får dock enbart behandlas i begränsad omfattning, se avsnitt 7.11.4.
En fråga som utredningen har att ta ställning till är om det i den kommande utlänningsdatalagstiftningen bör specificeras vilka personuppgifter som ska få behandlas för de i lagen angivna ändamålen eller om lagens ändamålsbestämmelser i stället bör styra vilka uppgifter som får behandlas.
Från ett integritetsskyddsperspektiv kan det, som ovan nämnts, vara en fördel med en reglering som specificerar de personuppgifter som får behandlas. En innehållsreglering kan fungera särskilt väl när det rör sig om personuppgiftsbehandling av ett register i traditionell mening, dvs. att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt särskilda kriterier och att de är sökbara med särskilda sökord, koder eller liknande. Sådan reglering finns till exempel när det gäller Polismyndighetens fingeravtrycks- och signalementsregister, se 4 kap. 13 § PDL. Den ärendehantering som sker hos Migrationsverket är emellertid inte anpassad till register. Verket tillämpar ett dossiersystem, där all information om en person samlas i en dossier. Alla elektroniska dokument som hör till en person skrivs ut och läggs i dossiern. Migrationsverket har för avsikt att övergå till elektroniska personakter, men än så länge sker ingen systematisk registrering av de uppgifter som kommer in om den enskilde på elektronisk väg.
Den behandling av personuppgifter som sker i verksamhet enligt utlännings- och medborgarskapslagstiftningen är även omfattande och mångsidig. Det talar också för att en reglering med hänvisning endast till ändamålsbestämmelserna är att föredra. Att specificera exakt vilken kategori av uppgifter som ska få behandlas kan bli komplicerat, särskilt i en sådan reglering som utredningen förordar som ska omfatta all helt eller delvis automatiserad behandling (dvs.
inte bara personuppgiftsbehandling i särskilda register). En reglering som specificerar vilka uppgifter som får behandlas torde också vara svår att tillämpa och det finns risk för att bestämmelserna behöver ändras ofta.
Ett argument som kan framföras för en bestämmelse som specificerar vilka personuppgifter som får behandlas är att myndigheternas behandling av personuppgifter annars kan komma att bli alltför vidlyftig. Myndigheternas behandling kommer dock att styras och även begränsas av både de särskilda ändamålen som anges i lagen och de grundläggande kraven på personuppgiftsbehandling som följer av 9 § PUL, se avsnitt 7.9 och 7.7.3. Av den senare bestämmelsen följer bland annat att endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålet får behandlas. Därutöver gäller även till exempel 30 och 31 §§ samt 32 § första stycket PUL om säkerheten vid behandling, se avsnitt 7.7.7. I sammanhanget bör också beaktas att integritetskänsliga uppgifter i verksamheten skyddas av sekretess, som begränsar möjligheten till insyn och spridning.
Utredningen bedömer således sammanfattningsvis att utlänningsdatalagen inte bör innehålla bestämmelser som specificerar vilka personuppgifter som får eller inte får behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I stället bör som ovan nämnts ändamålsbestämmelserna och de grundläggande bestämmelserna i 9 § PUL som huvudregel styra vilka uppgifter som får behandlas.
För vissa typer av personuppgifter anser utredningen dock att det finns skäl att införa särskilda begränsande bestämmelser. Det gäller för personuppgifter som direkt pekar ut den registrerade vid behandling för ändamålet återsökning av avgöranden i vissa fall, se avsnitten 7.11.4 och 7.13.2.
Vad gäller behandling av uppgifter om personnummer och samordningsnummer hänvisas till 22 § PUL, se avsnitt 7.7.4.
I sammanhanget bör även noteras att utredningen föreslår särbestämmelser för Migrationsverkets fingeravtrycks- och fotografiregister, som ska gälla utöver de allmänna bestämmelserna i den föreslagna lagen, se avsnitt 7.10.
7.11.3. Särskilt om känsliga personuppgifter
Det är enligt 13 § PUL som huvudregel förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
Det finns dock ett antal undantag från förbudet, se 14−20 §§ PUL. Det följer vidare av artikel 8.4 i dataskyddsdirektivet att medlemsstaterna, under förutsättning att lämpliga skyddsåtgärder vidtas, av hänsyn till ett viktigt allmänt intresse kan besluta om andra undantag, antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten. I svensk rätt har en sådan möjlighet införts i 20 § PUL. Enligt den bestämmelsen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I 8 § PUF har regeringen även föreskrivit att känsliga personuppgifter, utöver de undantag som anges i personuppgiftslagen, får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
I registerlagstiftningen är känsliga personuppgifter ofta föremål för särskild reglering. I verksamhet enligt utlännings- och medborgarskapslagstiftningen förekommer känsliga personuppgifter i stor utsträckning och omfattar alla de kategorier av uppgifter som anges i 13 § PUL. De undantag som finns i personuppgiftslagen eller dess förordning är dock inte tillräckliga för att täcka all den behandling som i dag utförs av de myndigheter som omfattas av den föreslagna lagen. En reglering av behandlingen av känsliga personuppgifter krävs således i den kommande utlänningsdatalagen.
Det finns olika möjliga modeller för en sådan reglering. I vissa registerförfattningar har exempelvis lagstiftaren specificerat vilka känsliga personuppgifter som får behandlas och för vilka ändamål behandling får ske. I vissa senare registerlagar, till exempel polisdatalagen och kustbevakningsdatalagen, är däremot utgångspunkten att känsliga personuppgifter, liksom övriga personuppgifter, får behandlas om det behövs för de ändamål som anges i lagen. Det finns dock en särskild bestämmelse som anger att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om per-
sonens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund, får de alltså kompletteras med sådana uppgifter som avses ovan när det är absolut nödvändigt för syftet med behandlingen. I polisdatalagen anges också att känsliga personuppgifter får behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I nuvarande utlänningsdataförordning finns vissa särskilda bestämmelser som rör behandling av känsliga personuppgifter. Enligt 4 § utlänningsdataförordningen får uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet, hälsotillstånd och sexuell läggning behandlas i verksamhetsregister, om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden eller fullgörande av underrättelseskyldighet. Vidare får uppgifter om hälsotillstånd och andra personliga förhållanden behandlas, om uppgifterna är oundgängligen nödvändiga för tagande i förvar eller verkställighet enligt utlänningslagen. I 5 § finns en generell bestämmelse som rör behandling av känsliga personuppgifter i verksamhetsregister. Enligt bestämmelsen får sådana uppgifter behandlas endast om uppgifterna är oundgängligen nödvändiga för myndigheternas handläggning av ärenden och fullgörande av underrättelseskyldighet. Av 7 § följer vidare att känsliga personuppgifter inte får användas som sökbegrepp i myndigheternas verksamhetsregister. I Migrationsverkets landinformationsregister får känsliga personuppgifter endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra uppgifter i verksamhet inom utlännings- och medborgarskapslagstiftningen, se 12 § nuvarande utlänningsdataförordningen.
7.11.4. Utredningens överväganden
Utredningens förslag: Känsliga personuppgifter som anges i 13 §
PUL får, förutom då den registrerade har lämnat sitt samtycke eller offentliggjort uppgifterna, behandlas endast om det är absolut nödvändigt för de ändamål som anges i lagen.
Känsliga personuppgifter får dock inte behandlas för återsökning av rättslig information. Vid återsökning av information rörande förhållanden i andra länder får känsliga personuppgifter behandlas bara i löpande text.
Som ovan nämnts medför verksamhet på utlännings- och medborgarskapslagsområdet behandling av känsliga personuppgifter i stor omfattning och behandlingen omfattar alla de kategorier av uppgifter som anges i 13 § PUL. Till exempel kräver handläggningen av asylärenden hos Migrationsverket behandling av känsliga personuppgifter, eftersom den asylsökandens hälsotillstånd, etnicitet eller sexuella läggning är uppgifter som kan ha betydelse för en mängd beslut som fattas i asylprocessen. Uppgifterna härrör i sådana fall ofta från vad den sökande själv har uppgett till myndigheten. Ett annat exempel på ärenden som kräver behandling av känsliga personuppgifter är verkställighetsärenden, där bland annat behandling av uppgifter om den enskildes hälsa kan vara nödvändig. Inte sällan ligger det i den registrerades eget intresse att sådana uppgifter om honom eller henne kan behandlas och beaktas. Myndigheterna måste således kunna behandla känsliga personuppgifter med hjälp av modern informationsteknik.
Annat har inte framkommit än att myndigheternas behov av behandling av känsliga personuppgifter i huvudsak tillgodoses genom de undantag från det generella förbudet att behandla känsliga personuppgifter som följer av nuvarande utlänningsdataförordning. Motsvarande undantag bör därför införas i den nya lagen.
Behandling av känsliga personuppgifter bör alltså vara tillåten om den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.
Det är troligt att samtycke till behandling av känsliga personuppgifter på utlännings- och medborgarskapsområdet inte kommer att ha någon större praktisk betydelse. Ett giltigt samtycke förutsätter nämligen en frivillig, särskild och otvetydig viljeyttring genom vilken de registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne (3 § PUL). Det är inte heller så naturligt att tala om samtycke i dessa sammanhang. Det skulle därför kunna övervägas att i den nya lagstiftningen inte ge ett samtycke någon rättsverkan. Regler om samtycke till behandling av känsliga personuppgifter finns dock i artikel 8.2 punkt a
dataskyddsdirektivet. Dessa regler innebär att behandling av känsliga personuppgifter är tillåten om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Eftersom ett syfte med dataskyddsdirektivet är att inte hindra det fria flödet av personuppgifter inom unionen, bör enligt utredningen motsvarande regler om samtycke gälla i utlänningsdatalagen.
Därutöver bör känsliga personuppgifter endast få behandlas för handläggning av ärenden eller en myndighets biträde i sådana ärenden, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar, tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik, testverksamhet samt uppgiftsutlämnande i vissa fall, om uppgifterna är absolut nödvändiga för syftet med behandlingen. Känsliga personuppgifter bör även få behandlas av Migrationsverket i löpande text för återsökning av information rörande förhållanden i andra länder, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i Migrationsverkets verksamhet såsom den anges i 2 § i utredningens förslag till kommande utlänningsdatalag.
Vad gäller regleringen av i vilka fall som känsliga personuppgifter får behandlas används i nuvarande utlänningsdataförordning rekvisitet om det är oundgängligen nödvändigt. Utredningen föreslår i stället, som ovan nämnts, att det mer moderna begreppet absolut
nödvändigt ska används i den nya lagen. Syftet med rekvisiten är
dock det samma, det vill säga att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisiten innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Som ovan anförs kräver verksamheten på utlännings- och medborgarskapsområdet ofta att känsliga personuppgifter behandlas. Genom rekvisitet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda ärendet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.
Känsliga personuppgifter får alltså i dag inte behandlas för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se 5 § nuvarande utlän-
ningsdataförordning. Migrationsverket har dock uppgett att det föreligger ett behov av att kunna behandla känsliga personuppgifter även för dessa ändamål för att kunna tillgodose både externa och interna intressen i vissa fall.
Som tidigare nämnts är det nödvändigt i verksamheten på utlännings- och medborgarskapsområdet att behandla känsliga personuppgifter i stor omfattning. Ofta är ärendena hos verket av det slag att känsliga personuppgifter måste behandlas för att verksamheten ska fungera, vilket som ovan nämnts även är tillåtet. Verksamhet som syftar till ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet är starkt integrerad med Migrationsverkets ärendehantering. Verket ska fortlöpande bevaka effektiviteten och kvaliteten i verksamheten. Detta åtagande förutsätter uppföljning och kontroll av olika slag och då kan känsliga personuppgifter många gånger vara relevanta. Migrationsverket har vidare krav på sig att föra statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Vidare kan utländska organ, exempelvis UNCHR, begära viss statistik som bygger på känsliga personuppgifter (exempelvis rörande verkets handläggning av asylärenden som rör HBTQ-personer, dvs. homosexuella, bisexuella, trans- och queerpersoner). Rimligen finns det enligt utredningens bedömning ett lika stort behov för Migrationsverket att kunna behandla känsliga personuppgifter för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som för ärendehanteringen. En effektiv hantering av dessa frågor torde därför förutsätta att verket får behandla även känsliga personuppgifter i sådan verksamhet.
Behandlingen av känsliga personuppgifter kan dock även i detta fall medföra integritetsrisker. Utredningen anser emellertid att Migrationsverkets rutiner för dataskydd och säkerhet vid behandlingen bör kunna utgöra en tillräcklig garanti för att hanteringen av känsliga personuppgifter blir lika god vid aktuella ändamål som vid ärendehanteringen. Migrationsverket bör därför enligt utredningen ges rätt att behandla känsliga personuppgifter även för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Känsliga personuppgifter som behandlas för dessa ändamål bör dock genast gallras när behandlingen inte längre är nödvändig för ändamålet. En föreskrift om detta bör tas in i den nya utlänningsdataförordningen.
7.12. Tillgången till personuppgifter
7.12.1. Allmänt om behörighetsbegränsningar
Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i den personliga integriteten. Ett sätt att stärka integritetsskyddet är att begränsa antalet personer som har tillgång till uppgifterna samt att begränsa deras hantering av uppgifterna.
Modern teknik har gjort det möjligt att begränsa en enskild tjänstemans tillgång till personuppgifter som behandlas automatiserat till en viss information så att denne endast har behörighet till de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. I registerförfattningar av senare datum är det vanligt att det finns en särskild bestämmelse som reglerar tillgången till personuppgifter. Exempel på detta är polisdatalagen och kustbevakningsdatalagen i vilka det finns bestämmelser om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Myndigheterna som behandlar personuppgifter på utlännings- och medborgarskapsområdet har redan i dag behörighetssystem som ska reglera de anställdas tillgång till personuppgifter. Behörigheterna kan anpassas till den anställdes behov med hänsyn till tjänstenivå och arbetsuppgifter.
Migrationsverket har till exempel i dag system för autentisering som innebär att det krävs ett ”smartkort” med en tillhörande pinkod för att få tillgång till Migrationsverkets interna datasystem. Vidare finns ett system för auktorisering, genom vilket behörigheten till olika datasystem begränsas till vad varje enskild person behöver med hänsyn till hans eller hennes befattning, vilken uppgift han eller hon utför och var i arbetsprocessen han eller hon befinner sig.
Under år 2009 granskade Datainspektionen hur ett antal stora statliga myndigheter behandlar personuppgifter i sina verksamheter (Datainspektionens åtkomstprojekt). Inom ramen för detta projekt genomförde Datainspektionen i januari 2009 en inspektion av Migrationsverkets personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik (logg) och åtkomstkontroll (logguppföljning) samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem (ärende dnr
1807-2008). Härefter har Datainspektionen gjort uppföljningar (ärende dnr 1601-2011, dnr 1332-2012 och dnr 761-2013). Datainspektionen har förelagt Migrationsverket att inkomma med skriftliga åtgärdsplaner avseende bland annat vilka åtgärder myndigheten avser vidta för att begränsa åtkomsten till skyddade personuppgifter och skriftliga redogörelser för vilka konkreta åtgärder Migrationsverket är berett att vidta för att säkerställa verkningsfulla loggkontroller m.m. Samtliga ärenden har numera avslutats då Datainspektionen fått in den redovisning som begärts.
7.12.2. Utredningens överväganden
Utredningens förslag: Tillgången till personuppgifter ska begrän-
sas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.
I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas en stor mängd personuppgifter. Många av dessa är känsliga personuppgifter enligt 13 § PUL eller i övrigt av integritetskänslig karaktär. Det är viktigt att så långt som möjligt motverka att uppgifterna sprids till någon som inte är behörig att ta del av dem. Enligt utredningens bedömning är det lämpligt att en sådan bestämmelse som beskrivs ovan införs även i den nya utlänningsdatalagen. Det är dock svårt att i detalj förutse och reglera vilken information varje anställd bör få tillgång till i olika sammanhang. Bestämmelsen måste därför bli allmänt formulerad. Det bör i stället vara den enskilda myndighetens ansvar att, med utgångspunkt i den egna myndighetens organisation och behov, se till att tillgången till personuppgifter begränsas i enlighet med den föreslagna bestämmelsen. Regeringen eller den myndighet som regeringen bestämmer bör därför ha möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter. Migrationsverket, Polismyndigheten och Säkerhetspolisen bör således få möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Migrationsverket bör också få meddela sådana föreskrifter för utlandsmyndigheterna när det gäller uppgifter som
behandlas automatiserat. Enligt utredningens förslag till förordning ska vid tilldelning av behörighet för åtkomst till personuppgifter särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ansvarar vidare enligt utredningens förslag för att det inom den egna myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Migrationsverket bör vidare ansvara för utlandsmyndigheternas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter vid automatiserad behandling av personuppgifter.
7.13. Sökbegränsningar
7.13.1. Allmänt om sökbegränsningar
I nuvarande utlänningsdataförordning finns vissa bestämmelser som rör sökbegrepp. Enligt 7 § får känsliga personuppgifter som anges i 13 § PUL inte användas som sökbegrepp i verksamhetsregister. I fråga om register som förs för ändamålet att återsöka information om förhållanden i andra länder (landinformationsregister) får personuppgifter som direkt pekar ut den registrerade, till exempel namn, inte användas som sökbegrepp, se 13 § utlänningsdataförordning.
Vid behandling av personuppgifter är det från ett integritetsperspektiv viktigt i vilken utsträckning uppgifter kan sökas och sammanställas. Generellt kan sägas att ju större möjligheter det finns att på olika sätt sammanställa uppgifter om enskilda, desto större blir riskerna för intrång i enskildas integritet. Ett förbud mot att använda vissa sökbegrepp kan å andra sidan försvåra en myndighets effektiva arbete.
7.13.2. Utredningens överväganden
Utredningens förslag: Känsliga personuppgifter som anges i
13 § PUL får användas som sökbegrepp vid behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.
Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information rörande förhållanden i andra länder. Personuppgifter om lagöverträdelse m.m. får inte användas som sökbegrepp. Uppgift om beslut om förvar enligt utlänningslagen bör dock få användas som sökbegrepp.
Sökningar på känsliga personuppgifter är typiskt sett förknippade med särskilda risker i integritetshänseende. I många registerlagar är det därför förbjudet att använda känsliga personuppgifter som sökbegrepp. Skälet till detta är att det inte helt kan uteslutas att sammanställningar över känsliga personuppgifter kan komma att missbrukas med risk för allvarliga intrång i enskildas personliga integritet.
Ett annat viktigare skäl till att vissa sökbegrepp ofta är förbjudna att använda har samband med den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF. Den innebär att en potentiell handling inte är förvarad hos myndigheten, och den är därmed inte en allmän handling, om sammanställningen innehåller personuppgifter och myndigheten inte enligt lag eller förordning har rättslig befogenhet att göra sammanställningen tillgänglig. Syftet med begränsningsregeln är att hindra allmänheten från att göra anspråk på att få del av sammanställningar av uppgifter ur upptagningar hos myndigheten som myndigheten själv, av integritetsskäl, är rättsligen förhindrad att ta fram i sin egen verksamhet. Integritetsskyddet ska alltså upprätthållas även om 2 kap. TF åberopas (se SOU 2010:4 s. 143 och SOU 2012:90 s. 115).
Inskränkningar i myndigheternas möjligheter att söka i sina uppgiftssamlingar behövs således för att skydda den enskildes integritet. Men följden av sådana inskränkningar blir också att användbarheten av myndigheternas uppgiftssamlingar begränsas.
Enligt utredningens förslag får känsliga personuppgifter över huvud taget inte behandlas för återsökning av avgöranden, rättsut-
redningar och annan rättslig information, se avsnitt 7.11.4. Det innebär att känsliga personuppgifter inte heller kan användas som sökbegrepp för detta ändamål.
Migrationsverket har framhållit att användningen av känsliga personuppgifter som sökbegrepp kan utgöra ett viktigt verktyg för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Verket har som exempel pekat på UNCHR:s framställningar om information om verkets handläggning av asylärenden som rör HBTQ-personer (se avsnitt 7.11.6). För att tillhandahålla begärd statistik anser sig verket behöva söka på känsliga personuppgifter som rör sexuell läggning av aktuellt slag. Det är enligt verket knappast möjligt att genom manuella sökningar få fram begärd information.
Utredningen har förståelse för att det högst avsevärt skulle underlätta för verket om det var möjligt att söka på känsliga personuppgifter vid framställning om statistik av berört slag. Det finns enligt utredningen goda skäl för att verket bör ha möjlighet att söka på beskrivna uppgifter för att kunna efterkomma kraven på statistik.
Det finns också andra liknande situationer då det framstår som lika rimligt att Migrationsverket för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet bör få behandla känsliga personuppgifter. Verket bör således enligt utredningen ha möjlighet att mäta tendenser som är av betydelse för verksamheten. Det kan till exempel finnas anledning att följa upp och planera för flyktingströmmar från en viss etnisk konflikt eller för att kunna bereda verksamheten på att ta emot stora strömmar av asylsökande som är HIV-bärare eller drabbade av svåra miljökatastrofer.
Sammanfattningsvis menar utredningen att känsliga personuppgifter bör få användas som sökbegrepp när det gäller personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering, framställning av statistik samt testverksamhet. Med tanke på att personuppgifterna normalt torde omfattas av sekretess och på att endast ett fåtal anställda är sysselsatta med den verksamhet som det här är fråga om bör detta vara acceptabelt från integritetssynpunkt. Utredningen föreslår även att en särskild bestämmelse om gallring ska införas för sådana personuppgifter, se avsnitt 7.11.4.
I dag får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information rörande förhållanden i andra länder. Enligt utredningen bör den sökbegränsningen gälla fortfarande.
Enligt utredningen bör vidare sökningar inte få göras på andra personuppgifter om lagöverträdelser m.m. som avses i 21 § PUL än uppgifter som avser beslut om förvar enligt utlänningslagen. Förvar är ett frihetsberövande som vidtas inom det egna verksamhetsområdet. Det är därför naturligt och acceptabelt utifrån integritetssynpunkt att uppgifter om förvar får sökas och sammanställas av myndigheter som är inbegripna i verksamheten.
7.14. Annat elektroniskt utlämnande än genom direktåtkomst
7.14.1. Allmänt om annat elektroniskt utlämnande än genom direktåtkomst
Personuppgifter som behandlas hos myndigheter kan lämnas ut på olika sätt, till exempel muntligen, på papper eller i elektronisk form. Alla dessa sätt utgör behandling av personuppgifter enligt personuppgiftslagens definition. Utlämnande i elektronisk form, dvs. på medium för automatiserad behandling, kan innebära att elektronisk information till exempel överförs via e-post, genom utlämnande av uppgifter på cd-rom, DVD, USB-minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. Begreppet utlämnande på medium för automatiserad behandling har dock i takt med att tekniken utvecklats ibland getts en vidare innebörd (se SOU 2012:90 s. 198). I förarbetsuttalanden har som exempel på sådant utlämnande exempelvis framhållits s.k. batchkörningar, ett automatiskt utlämnande efter sökningar och sammanställningar där svar lämnas med viss tidsfördröjning (se prop. 2000/01:129 s. 76 och prop. 2007/08:160 s. 60). Begreppet utlämnande på medium för automatiserad behandling får i dag anses som omodernt och bör därför inte användas, se SOU 2015:39 s. 442.
Personuppgiftslagen skiljer inte på elektroniskt utlämnande och utlämnande i annan form och innehåller inga särskilda regler för utlämnande i elektronisk form. Något krav på särskild reglering för utlämnande på medium för automatiserad behandling i författningar
som innehåller särreglering i förhållande till personuppgiftslagen finns således egentligen inte heller. Utlämnande av personuppgifter på medium för automatiserad behandling anses emellertid medföra särskilda risker från integritetssynpunkt (se prop. 2009/10:85 s. 184 f. och prop. 20011/12:45 s. 96 f.). Sådant utlämnande medför vanligtvis att mottagaren på ett enkelt sätt kan bearbeta informationen, till exempel genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det anses öka riskerna för att uppgifterna ska behandlas på ett sätt som innebär att den enskildes integritet kränks.
7.14.2. Utredningens överväganden
Utredningens bedömning: Någon regel som tillåter eller för-
bjuder att personuppgifter lämnas ut genom annat elektroniskt utlämnande än direktåtkomst behövs inte i lagen.
I nuvarande utlänningsdataförordning finns inga särskilda regler om annat elektroniskt utlämnande än genom direktåtkomst. Ett undantag finns dock i bestämmelsen i 10 § andra stycket, av vilken det framgår att uppgifter ur Migrationsverkets fingeravtrycksregister får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning.
I praktiken sker elektroniskt utlämnande på annat sätt än genom direktåtkomst i många olika situationer inom verksamhet för utlännings- och medborgarskapslagstiftningen. Uppgifter lämnas ut av exempelvis Migrationsverket på begäran av andra myndigheter för att användas i den mottagande myndighetens verksamhet eller för att verket ska kunna fullgöra sina uppgifter inom utlännings- och medborgarskapsverksamheten. Exempelvis lämnar Migrationsverket personuppgifter till Skatteverket via cd-rom. Utlämnande av uppgifter på medium för automatiserad behandling sker också till privata bolag. Migrationsverket skickar till exempel filer som innehåller personuppgifter till passleverantören Gemalto AB och till Strålfors svenska AB som skriver ut och kuverterar kallelser, beslut m.m. för myndighetens räkning. Myndigheternas kommunikation med exempelvis parter och ombud via e-post kan också innebära utlämnande av personuppgifter.
Som anförts anses även annat elektroniskt utlämnande än genom direktåtkomst medföra vissa integritetsrisker. Det är dock från ett effektivitetsperspektiv viktigt att myndigheterna har möjlighet att utnyttja automatiserade förfaranden i sin verksamhet. Om elektroniskt utlämnande inte får ske, måste den utlämnande myndigheten göra utskrifter på papper och skicka till mottagaren. Mottagaren måste därefter eventuellt vidta åtgärder för att överföra uppgifterna till elektronisk form igen. Denna ordning framstår som onödigt ineffektiv och tidskrävande, särskild som exempelvis myndigheter i allt större utsträckning övergår till helt elektronisk informationshantering.
Skyddet för den personliga integriteten bör enligt utredningens bedömning kunna upprätthållas på andra sätt än genom begränsning av formen för utlämnande. De utlämnande myndigheterna får endast behandla personuppgifter för utlämnande för vissa i lagen angivna ändamål eller för ändamål som inte är oförenliga med dessa ändamål. Även de mottagande myndigheternas behandling av personuppgifterna styrs vanligtvis av särskilda författningar med ändamålsbestämmelser som reglerar för vilka ändamål behandling får ske. Vidare är den personuppgiftsansvariga myndigheten skyldig att vidta lämpliga tekniska åtgärder för att skydda de uppgifter som behandlas (31 § PUL). Myndigheten ansvarar således för att överföringen sker på ett säkert sätt, till exempel att uppgifterna krypteras innan de överförs till mottagaren. Utlämnande av uppgifter ska också föregås av en sekretessprövning. Det bör därför sammanfattningsvis inte införas någon särskild regel om utlämnande av personuppgifter i annan elektroniskt form än genom direktåtkomst i den nya lagen, se även SOU 2015:39 s. 44 f. Det bör inte heller införas någon motsvarande konstruktion som den som finns i polisdatalagen att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling (se 2 kap. 20 § PDL). En sådan modell skulle enligt utredningen kunna försvåra Migrationsverkets arbete utan att egentligen främja enskildas integritet. Utredningens principiella slutsats när det gäller utlämnande på medium för automatiserad behandling innebär också att någon motsvarighet inte behövs till föreskriften i nuvarande utlänningsdataförordning att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning, se avsnitt 7.10.
7.15. Direktåtkomst
7.15.1. Allmänt om direktåtkomst
En typ av utlämnande i elektronisk form som brukar förknippas med särskilda risker är direktåtkomst. Någon legaldefinition av begreppet direktåtkomst finns inte (se SOU 2012:90 s. 198 och SOU 2015:39 s. 389 f.). Enligt Informationshanteringsutredningen bör begreppet, liksom hittills gjorts, definieras på så sätt att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF (se SOU 2015:39 s. 390 f.). Utredningen utgår från denna definition i sina fortsatta överväganden.
Ett skäl till att direktåtkomst anses innebära särskilda risker för otillbörligt integritetsintrång är att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos en mottagande myndighet (se SOU 2012:90 s. 64 f. och 123 f. samt SOU 2015:39 s. 134 f.). Allmänna handlingar är som huvudregel offentliga och rätten att ta del av dem får begränsas endast av de skäl som anges i 2 kap. TF och endast om det anges i lag. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således allmänhetens möjlighet att få tillgång till dessa uppgifter (se SOU 2003:40 s. 201).
Bestämmelser om direktåtkomst är ofta begränsade på så sätt att direktåtkomst bara medges till vissa typer av uppgifter som behövs i en viss typ av ärenden eller verksamhet hos den mottagande myndigheten. För att den mottagande myndigheten ska kunna utnyttja direktåtkomsten måste myndigheten dock ha teknisk tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas i myndighetens verksamhet. Sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten anses förvarade hos myndigheten och utgör således en allmän handling hos den myndigheten, se 2 kap. 3 § andra stycket TF. Detta gäller även om den mottagande myndigheten inte använder uppgiften i sin egen verksamhet.
Generellt kan sägas att möjligheten till direktåtkomst ökar riskerna för intrång i den personliga integriteten, eftersom det typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar.
I registerförfattningar finns ofta särskilda bestämmelser avseende utlämnande på medium för automatiserad behandling och direktåtkomst. Genom informationsteknikens utveckling har emellertid gränserna mellan de olika utlämnandeformerna blivit svårare att dra (se SOU 2012:90 s. 198 f.). Gränsdragningsproblematiken har under senare år behandlats vid ett antal tillfällen i samband med lagstiftning på registerförfattningsområdet (se prop. 2002/03:135 s. 89, SOU 2006:82 s. 221 f. och prop. 2011/12:45 s. 132 f.). Regeringen har i olika motivuttalanden konstaterat att begreppsbildningen avseende olika former av elektroniskt utlämnande i registerförfattningar är oklar, att mycket står att vinna med en mer enhetlig och tydlig begreppsbildning, men att frågan inte bör lösas inom ramen för ett enskilt lagstiftningsärende (se prop. 2007/08:160 s. 58). Lagstiftaren har således fortsatt att i de olika registerförfattningarna göra åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Exempel på en sådan reglering finns i nuvarande utlänningsdataförordningen, lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, polisdatalagen och kustbevakningsdatalagen.
För att komma tillrätta med bland annat denna problematik tillsattes år 2011 Informationshanteringsutredningen (dir. 2011:86) (se avsnitt 6.9). Utredningen fick enligt tilläggsdirektiv bland annat i uppdrag att utreda förutsättningarna för att skapa en generell, enhetlig och helt eller i vart fall delvis samlad reglering för myndigheternas personuppgiftsbehandling (dir. 2014:31). Utredningen fick i samband därmed i uppdrag att behandla frågan om det finns skäl att behålla åtskillnad mellan olika former av elektroniskt utlämnande (se SOU 2012:90 s. 197 f.). I sitt slutbetänkande Myndighets-
datalag gör utredningen bedömningen att det från både principiella
och rättsliga synpunkter finns starkt vägande skäl för att behålla en begreppsmässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form (se SOU 2015:39 s. 149 f.). I konsekvens härmed innehåller den av utredningen föreslagna lagstiftningen olika reglering för direktåtkomst respektive annat utlämnande i elektronisk form. När det gäller begreppet direktåtkomst anser utredningen att direktåtkomst, liksom i dag, bör som sagts ovan definieras på så sätt att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk till-
gång till upptagningar som avses i 2 kap. 3 § andra stycket TF (a.a. s. 390 f.).
Enligt 6 § nuvarande utlänningsdataförordning får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåtkomst ska begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har för närvarande direktåtkomst till Migrationsverkets centrala utlänningsdatabas, CUD.
Migrationsverket har träffat en överenskommelse, den s.k. Wilmaöverenskommelsen (inklusive bilagorna Wilma I-III), med Rikspolisstyrelsen avseende polisverksamheternas åtkomst till CUD. Överenskommelsen innehåller bland annat uppgift om vilka uppgifter Rikspolisstyrelsen får ta del av genom direktåtkomst, begränsning av användningen av uppgifterna och krav på de personer som ska få tillgång till uppgifterna genom direktåtkomst. Med anledning av polisens nya organisation från och med den 1 januari 2015 har Migrationsverket och de nya myndigheterna Polismyndigheten och Säkerhetspolisen inlett en dialog avseende ändring av överenskommelserna.
Utlandsmyndigheternas direktåtkomst är inte reglerad av någon särskild överenskommelse mellan myndigheterna. Tillgången till personuppgifter regleras i stället genom en uppdelning av behörighet på olika grupper, som bestäms av Migrationsverket.
Även Försäkringskassan och Pensionsmyndigheten får i dag ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 a § nuvarande utlänningsdataförordning. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda. Vidare får direktåtkomsten endast avse uppgift om
1. namn, personnummer och i förekommande fall samordnings-
nummer,
2. bevis om uppehållstillstånd, arbetstillstånd eller uppehållsrätt,
3. dag för beslut om uppehållstillstånd, arbetstillstånd eller utfär-
dande av uppehållskort samt uppgift om varje period för vilken uppehållstillstånd eller arbetstillstånd har beviljats eller uppehållskort har utfärdats,
4. inresedatum,
5. datum för ansökan om uppehållstillstånd, arbetstillstånd eller
uppehållskort,
6. särskilt bevis enligt 5 kap. 4 § tredje stycket UtlF,
7. att uppehållstillstånd har beviljats den enskilde som flykting enligt
4 kap. 1 § eller annan skyddsbehövande enligt 4 kap. 2 eller 2 a § UtlL eller motsvarande äldre bestämmelser,
8. att statusförklaring har beviljats enligt 4 kap. 3 c § UtlL eller mot-
svarande äldre bestämmelser,
9. att uppehållstillstånd har beviljats den enskilde för studier eller
som familjemedlem till en sådan person och 10. beslut om återkallelse av uppehållstillstånd eller arbetstillstånd,
uppgift om från och med vilket datum uppehållstillstånd eller arbetstillstånd har återkallats samt uppgift om från och med vilket datum beslut om återkallelse av uppehållstillstånd eller arbetstillstånd har vunnit laga kraft.
Försäkringskassan och Pensionsmyndigheten har ännu inte någon direktåtkomst till Migrationsverkets verksamhetsregister och det finns inte heller någon överenskommelse mellan myndigheterna härom. För närvarande pågår dock arbetet med att etablera direktåtkomst för Försäkringskassan.
Slutligen får även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister, se 6 b § nuvarande utlänningsdataförordning. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identi-
tetskort enligt förordningen (2009:284) om identitetskort för folkbokförda i Sverige1. Direktåtkomsten får endast avse uppgift om namn och personnummer, längd, fotografi, underskrift, typ av resehandling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd. Skatteverket har även i praktiken direktåtkomst till Migrationsverkets verksamhetsregister och myndigheterna har träffat en överenskommelse som reglerar direktåtkomsten. I överenskommelsen specificeras vilka uppgifter som direktåtkomsten avser. I överenskommelsen anges angående säkerhet och spårbarhet att Skatteverket ansvarar för att individer med sekretesskyddade personuppgifter endast handläggs av särskilda sekretesshandläggare. Migrationsverket loggar alla slagningar från Skatteverket. Skatteverket ska vid förfrågan kunna ange vem som utfört en slagning och varför slagning skett.
7.15.2. Utredningens överväganden
Utredningens förslag: Polismyndigheten, Säkerhetspolisen, ut-
landsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket får för vissa särskilda ändamål medges direktåtkomst till Migrationsverkets personuppgifter som behandlas automatiserat. Inhämtade uppgifter får endast behandlas för dessa särskilda ändamål.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
I utlänningslagen föreslås en sekretessbrytande bestämmelse enligt vilken Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att ta del av uppgifter om enskilda hos Migrationsverket.
1 Behandlingen av uppgifter enligt förordningen kommer sannolikt i framtiden delvis att regleras i en särskild lag om identitetskort för folkbokförda i Sverige. Ett förslag till lag bereds för närvarande inom Regeringskansliet. Se promemorian Vissa registerfrågor (Finansdepartementet, april 2015).
Enligt utredningen bör utgångspunkten för en kommande reglering vara att terminologin bör överensstämma med den som Informationshanteringsutredningen har föreslagit. Det innebär att begreppet direktåtkomst bör ges den innebörd som får anses vara den redan etablerade.
Nästa fråga är hur tillgången till uppgifter genom direktåtkomst bör regleras i den nya lagen. Som framgår av föregående avsnitt får enligt nuvarande utlänningsdataförordning Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket ha direktåtkomst till vissa uppgifter hos Migrationsverket. Frågan om lämpligheten av direktåtkomst för berörda myndigheter har således redan övervägts av regeringen. Utredningen har inte någon anledning att ifrågasätta dessa överväganden och utgår från att dagens reglering i huvudsak ska bestå. Det innebär att dessa myndigheter bör få ha direktåtkomst för samma ändamål och i samma utsträckning som i dag. Utredningen vill ändå något beröra nuvarande ordning. Som kommer att framgå menar utredningen att det finns anledning till vissa mindre justeringar av gällande reglering.
Innan utredningen resonerar kring nuvarande ordning ska dock en annan fråga tas upp. En fråga att överväga är om det finns andra än ovannämnda myndigheter som bör kunna medges direktåtkomst till Migrationsverkets uppgifter. Migrationsverket har upplyst om att verket för närvarande arbetar med en s.k. visningstjänst, som innebär att enskilda genom direktåtkomst till Migrationsverket skulle kunna få tillgång till vissa uppgifter om sig själva, framför allt sådana som rör handläggningen av deras ärenden. Verket har dock inte (juni 2015) presenterat något egentligt underlag för hur denna direktåtkomst är tänkt att se ut enligt verket. Utredningen anser i och för sig att tanken att enskilda ska kunna få viss direktåtkomst till uppgifter om sig själva är god. En sådan möjlighet kräver dock åtskilliga rättsliga överväganden. Eftersom Migrationsverkets arbete, som utredningen förstår det, med visningstjänsten än så länge inte har kommit så långt, är det inte möjligt att på befintligt underlag göra de överväganden som krävs. Utredningen kan därför inte lägga fram något förslag om direktåtkomst för enskilda. Avslutningsvis i detta avsnitt tar utredningen upp frågan om regleringen i lag av direktåtkomst bör vara uttömmande.
Modern teknik har medfört att information på ett enkelt sätt kan sökas, sammanställas och överföras mellan myndigheter. Direktåtkomst kan innebära effektivitetsvinster för den mottagande myndigheten, eftersom handläggande tjänstemän inte behöver begära ut de uppgifter som behövs för bedömningen av ett enskilt fall från den utlämnande myndigheten utan själv kan söka den information som krävs i den utlämnande myndighetens personuppgiftssamling. Direktåtkomst kan också innebära fördelar för den utlämnande myndigheten, eftersom den inte behöver avsätta resurser för att hantera de förfrågningar om utlämnande som kommer in från andra myndigheter. Det kan även innebära fördelar från informationssäkerhetssynpunkt, då överföring av information vid direktåtkomst kan ske på ett säkrare sätt än till exempel genom e-post.
Samtidigt anses direktåtkomst, som ovan framförts, typiskt sett innebära att risken för kränkningar av den enskildes integritet blir större. För att intrånget i den personliga integriteten vid direktåtkomst ska bli acceptabelt måste därför vissa krav ställas på denna (se prop. 2007/08:160 s.46 f., s. 56 f., SOU 2012:90 s. 123 f. samt SOU 2015:39 s. 138 f. och 387 f.). Vad det i princip handlar om är att skyddet för personuppgifterna vid direktåtkomst ska säkerställas på olika sätt. Om det skyddet kan garanteras, behöver enligt utredningen direktåtkomst inte vara så mycket känsligare än andra former av informationsutbyten. Det finns några aspekter som är särskilt viktiga.
En viktig fråga vid direktåtkomst är hur uppgifterna sprids och används hos den mottagande myndigheten. Om kretsen av personer som har tillgång till uppgifterna kan begränsas, är risken för integritetsintrång generellt sett mindre. Den mottagande myndigheten måste därför begränsa åtkomstmöjligheterna så mycket som möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Anställda inom en myndighet bör endast ha elektronisk tillgång till de personuppgifter som de behöver i sitt arbete.
En närliggande fråga rör behovet av risk- och sårbarhetsanalys då direktåtkomst medges. I förarbetena till bestämmelsen om Försäkringskassans direktåtkomst till Migrationsverkets verksamhetsregister konstateras att det med dagens teknik är möjligt att utforma system som innebär att det vid direktåtkomst bara är möjligt för handläggarna att söka på uppgifter om en viss person om den personen är aktuell i den verksamhet där direktåtkomst tillåts (se
prop. 2007/08:160 s. 97 f). För att säkerställa att sådana tekniska spärrar införs föreskrevs i paragrafen som reglerar Försäkringskassans direktåtkomst till Migrationsverkets uppgifter en bestämmelse som anger att direktåtkomst får medges först sedan Migrationsverket försäkrat sig om att handläggare hos Försäkringskassan bara kan ta del av uppgifter om enskilda som är aktuella i ärenden eller i verksamhet som avser registrering av enskilda hos Försäkringskassan (se 6 a § första stycket nuvarande utlänningsdataförordning). Motsvarande gäller i dag när Pensionsmyndigheten ska medges direktåtkomst till Migrationsverkets personuppgifter. När det gäller kravet på risk- och sårbarhetsanalyser, se också SOU 2015:39 s. 387 f.
Ytterligare en aspekt att beakta vid direktåtkomst är att den mottagande myndigheten endast har direktåtkomst till sådana uppgifter som myndigheten verkligen kan antas ha behov av. Införandet av direktåtkomst bör därför föregås av en analys av vilka uppgifter som är nödvändiga med hänsyn till ändamålen med behandlingen. Från ett integritetsperspektiv är det också en fördel om det framgår av författningstexten vilka uppgifter som får inhämtas genom direktåtkomst.
En omständighet som också bör beaktas då direktåtkomst övervägs är, i de fall direktåtkomsten avser sekretessbelagda uppgifter, vilka sekretessbestämmelser som blir tillämpliga hos de mottagande myndigheterna.
När det till en början gäller de anställdas elektroniska tillgång till personuppgifter föreslår utredningen att det i den kommande lagen införs en särskild bestämmelse, 16 §, enligt vilken den personuppgiftsansvariga myndigheten har ansvar för att begränsa tillgången till personuppgifter till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 7.12). Denna bestämmelse får anses uppfylla kravet på att uppgifterna inte sprids hos mottagarmyndigheterna på ett oacceptabelt sätt. Bestämmelsen kommer att bli tillämplig hos Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. Den kommer däremot inte att bli tillämplig hos Försäkringskassan, Pensionsmyndigheten och Skatteverket, eftersom den nya lagen inte ska tillämpas av dessa myndigheter. En motsvarande åtkomstregel bör därför finnas för dessa myndigheter. En sådan regel kan för Försäkringskassan och Pensionsmyndigheten lämpligen tas in i 114 kap. socialförsäkringsbalken (2010:110), som innehåller regler om behandling av personuppgifter hos dessa myndig-
heter. I 114 kap. 17 § finns en åtkomstregel, som dock inte är tillämplig på den direktåtkomst som myndigheterna har till Migrationsverkets personuppgifter. Utredningen föreslår att regeln ändras så att den blir tillämplig även vid åtkomst av uppgifter från Migrationsverket.
När det gäller Skatteverket finns det ingen särskild regel om åtkomstbegränsning. Utredningen föreslår att 16 a § förordningen (2009:284) om identitetskort för folkbokförda i Sverige kompletteras med ett andra stycke som anger att tillgången till aktuella uppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Innan Migrationsverket medger direktåtkomst till personuppgifter bör verket göra en risk- och sårbarhetsanalys. Migrationsverket ska då kontrollera att mottagande myndigheter har ett tillräckligt skydd för mottagna personuppgifter. En bestämmelse bör därför finnas om att verket inte får medge någon direktåtkomst innan verket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet. En sådan bestämmelse motsvarar i huvudsak 6 a § första stycket nuvarande utlänningsdataförordning. Viktiga instrument för risk- och sårbarhetsanalyserna är också de överenskommelser som finns mellan Migrationsverket och mottagande myndigheter rörande behörighet och säkerhet vid direktåtkomst.
Migrationsverket bör vidare ha möjlighet att meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att verket ska kunna medge direktåtkomst, jmf. 14 § polisdataförordningen (2010:1155). Syftet med en sådan bestämmelse är att betona vikten av att verket inte lättvindigt får för sig att medge direktåtkomst utan att ha funderat över säkerhetsaspekterna.
Vad sedan avser mottagande myndigheters behov av uppgifter kan det konstateras att det i 6 a och 6 b §§ i nuvarande utlänningsdataförordning specificeras vilka uppgifter som Försäkringskassans, Pensionsmyndighetens och Skatteverkets direktåtkomst får avse. Någon motsvarande begränsning av direktåtkomsten finns inte avseende Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. Utredningen har övervägt om inte även sistnämnda myndigheters direktåtkomst borde preciseras genom att i den kommande utlänningsdatalagstiftningen ange vilka slags uppgifter som myndigheterna får ha direktåtkomst till. Tillgången skulle då inte som i dag
begränsas till personuppgifter som är nödvändiga för att en tjänsteman ska fullgöra sina arbetsuppgifter.
Vad som talar för att precisera vilka uppgifter som Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får ha direktåtkomst till är att en sådan reglering bör minska risken för att myndigheternas direktåtkomst blir alltför vid. Utredningens undersökningar visar dock att myndigheternas direktåtkomst i praktiken har begränsats till uppgifter som myndigheterna har behov av i sin verksamhet. Det är även svårt att säkert förutse vilka slags uppgifter som Polismyndigheten och Säkerhetspolisen kan ha behov av. Utredningen har mot denna bakgrund kommit till slutsatsen att Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till Migrationsverkets personuppgifter bör utformas på i princip samma sätt som i dag, se 6 § nuvarande utlänningsdataförordning. Inom ramen härför ligger även att Polismyndigheten får medges direktåtkomst till Migrationsverkets fingeravtrycksregister för att biträda verket med att registrera och kontrollera fingeravtryck mot detta register, se närmare härom i avsnitt 7.10.
Sammanfattningsvis bör alltså Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket på motsvarande sätt som gäller i dag få ha direktåtkomst till vissa uppgifter som Migrationsverket behandlar i sin verksamhet. Direktåtkomst får dock inte omfatta avskilda uppgifter, se avsnitt 7.16.2. Myndigheterna får inte använda direktåtkomsten för andra ändamål än de som bestämmelserna tillåter myndigheterna att ha direktåtkomst för. Det innebär till exempel att Polismyndigheten i brottsutredande syfte inte får använda direktåtkomsten till Migrationsverkets uppgifter för att kontrollera en brottsmisstänkt utlänning. Ibland kan man tänka sig att Polismyndighetens insats har dubbla syften. Om Polismyndigheten exempelvis stoppar en bil med utlänningar, kan omständigheterna vara sådana att det finnas anledning att kontrollera såväl om utlänningarna har rätt att uppehålla sig i landet som om bilen är stulen. När det gäller den förstnämnda frågan kan Polismyndigheten utnyttja sin direktåtkomst till Migrationsverkets uppgifter. Den personuppgiftsbehandling som måste utföras därför att bilen kan vara stulen måste dock göras med stöd av polisdatalagen. Polismyndigheten får vägledning i frågor av berört slag i den s.k. Wilmaöverenskommelsen, se avsnitt 7.15.1.
En ytterligare fråga som är av betydelse för direktåtkomsten är, som sagts ovan, vad sekretessregleringen innebär för en sådan direktåtkomst. Frågan är viktig, eftersom handlingar som är åtkomliga genom direktåtkomst utgör allmänna handlingar även hos den mottagande myndigheten och det gäller alla de handlingar som görs tillgängliga genom direktåtkomsten, även de som utgör överskottsinformation. Till en början kan konstateras att sekretess kan gälla hos Migrationsverket för de uppgifter som kommer att vara åtkomliga för de myndigheter som får direktåtkomst. De sekretessbestämmelser som i första hand kan vara aktuella hos verket är följande. Enligt 21 kap. 5 § första stycket OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen gäller alltså med s.k. rakt skaderekvisit, dvs. presumtionen är att uppgifterna är offentliga. Den gäller oavsett i vilket sammanhang uppgiften förekommer.
Enligt 37 kap. 1 § första stycket OSL gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller i detta fall med ett omvänt skaderekvisit och presumtionen är att uppgifterna inte är offentliga. Enligt 37 kap. 1 § andra stycket OSL gäller sekretess i verksamhet för kontroll över utlänningar också för uppgift i en anmälan eller utsaga av en enskild, om det kan antas att fara uppkommer för att den som lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Sekretessen gäller här med rakt skaderekvisit.
Med ”verksamhet för kontroll över utlänningar” avses ärenden om visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning, men också kontroll- och verkställighetsåtgärder (se prop. 1979/80:2 del A s. 210).
Beträffande beslut i ärenden gäller sekretessen i 37 kap 1 § första och andra styckena OSL endast för uppgifter i skälen, se 37 kap. 1 § tredje stycket OSL.
Uppgift i ärende om arbetstillstånd för utlänning omfattas av sekretess även enligt 28 kap. 15 § första stycket OSL. Slutligen gäller
sekretess enligt 26 kap. 1 § OSL i ärenden om bistånd åt asylsökanden och andra utlänningar.
Bestämmelserna om sekretess hos Migrationsverket kan innebära att uppgifter inte kan lämnas till de myndigheter som får direktåtkomst. För att uppgifter för vilka sekretess gäller ska kunna bli tillgängliga för dessa myndigheter krävs författningsstöd i någon sekretessbrytande regel, eftersom sekretess även gäller mellan myndigheter, se 8 kap. 1 § OSL. Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan, se exempelvis prop. 2004/05:164 s. 83. Regler om direktåtkomst brukar därför ofta kompletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet, se 10 kap. 28 § OSL. Dessa formuleras ofta som en rätt för mottagande myndighet att ta del av uppgifter, se till exempel 2 kap. 16 § PDL och 4 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Informationshanteringsutredningen föreslår i sitt slutbetänkande,
Myndighetsdatalag, att det i offentlighets- och sekretesslagen införs
en generellt sekretessbrytande bestämmelse som innebär att föreskrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbrytande effekt. Därigenom skulle det inte längre behöva införas särskilda sekretessbrytande bestämmelser för att möjliggöra direktåtkomst, se SOU 2015:39 s. 407 f.
När det gäller Försäkringskassan och Pensionsmyndigheten finns en sekretessbrytande bestämmelse i 17 kap. 3 § UtlL. Enligt bestämmelsen har Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Om det finns skäl för det, ska Migrationsverket på eget initiativ lämna sådana uppgifter till Försäkringskassan och Pensionsmyndigheten. I 7 kap. 15 a § UtlF specificeras vilka uppgifter som Försäkringskassan och Pensionsmyndigheten har rätt att ta del av genom direktåtkomst.
Enligt 16 a § förordningen om identitetskort för folkbokförda i Sverige ska Migrationsverket på begäran av Skatteverket lämna de uppgifter som anges i 6 b § nuvarande utlänningsdataförordning och som behövs för handläggning av ansökan om identitetskort. I 7 kap. 15 b § UtlF finns också en bestämmelse som föreskriver att Migrationsverket på begäran av Skatteverket ska lämna ut vissa uppgifter, om de behövs för Skatteverkets handläggning av ett ärende om folkbokföring. Denna reglering bör i sak vara kvar. I förhållande till
Skatteverket kommer det alltså att finnas sekretessbrytande bestämmelser.
När det gäller Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst enligt 6 § gällande utlänningsdataförordning saknas en korresponderande bestämmelse om uppgiftsskyldighet för Migrationsverket till nämnda myndigheter. Utlämnandet genom direktåtkomst av sekretessbelagda personuppgifter sker i stället med stöd av den sekretessbrytande generalklausulen i 10 kap. 27 § OSL. Generalklausulen föreskriver sekretessgenombrott om det vid en bedömning framstår som uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. Sekretessbelagda uppgifter hos Migrationsverket omfattas, som sagts ovan, normalt av sekretess enligt 37 kap. 1 § OSL. Bestämmelsen innehåller ett omvänt skaderekvisit, vilket innebär en presumtion för att uppgifterna omfattas av sekretess. Omfattande utlämnande av sekretessbelagda uppgifter bör enligt utredningens bedömning inte ske enbart med stöd av den sekretessbrytande generalklausulen. Enligt utredningens mening bör därför en sådan sekretessbrytande föreskrift om uppgiftsskyldighet som avses i 10 kap. 28 § OSL införas. Bestämmelsen om uppgiftsskyldighet bör tas in i den författning som reglerar Migrationsverket verksamhet, dvs. i utlänningslagen. Eftersom utredningen inte föreslår någon precisering av vilka uppgifter som Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst ska avse, saknas det anledning att i den sekretessbrytande bestämmelsen ge regeringen möjlighet att meddela ytterligare föreskrifter om vilka uppgifter som kan lämnas ut.
En ytterligare förutsättning för att Migrationsverket ska kunna lämna ut uppgifter genom direktåtkomst är att uppgifterna omfattas av ett tillfredsställande sekretesskydd även hos de mottagande myndigheterna. Med tanke på den starka sekretess som gäller hos Migrationsverket är det viktigt att sekretesskyddet för uppgifterna inte urholkas hos de mottagande myndigheterna.
Bestämmelsen om utlänningssekretess i 21 kap. 5 § OSL gäller hos alla myndigheter för uppgifter som rör utlänningar, således även hos de mottagande myndigheterna.
Sekretessen enligt 37 kap. 1 § OSL gäller generellt i verksamhet för kontroll av utlänningar och i ärenden om svenskt medborgarskap. Bestämmelsen är tillämplig på en stor del av de uppgifter som
Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna behandlar när de handlägger utlännings- och medborgarskapsärenden eller annars uppfyller åligganden enligt utlänningslagen och medborgarskapslagen. Sekretessen gäller enligt fjärde stycket samma bestämmelse också hos myndighet som lämnar biträde i ärende eller verksamhet som avses där. Sekretessen gäller således även när en utlandsmyndighet medverkar i verksamhet för kontroll över utlänningar och i ärenden om svenskt medborgarskap genom att biträda Migrationsverket eller Polismyndigheten med utredning.
Sammanfattningsvis får sekretesskyddet hos Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna anses vara tillräckligt.
För Försäkringskassans och Pensionsmyndighetens del är det dock inte fråga om verksamhet för kontroll av utlänningar (se prop. 2007/08:160 s.93 f.) Utöver utlänningssekretess enligt 21 kap. 5 § OSL omfattas de uppgifter som Migrationsverket kan medge direktåtkomst till efter utlämnandet till Försäkringskassan och Pensionsmyndigheten av sekretess enligt 28 kap. 1 § OSL. Sekretess gäller enligt den bestämmelsen hos Försäkringskassan, Pensionsmyndigheten och domstol för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende enligt lagstiftningen om allmän försäkring, allmän pension, arbetsskadeförsäkring, handikappersättning och vårdbidrag, statligt tandvårdsstöd, läkarvårdsersättning, ersättning för fysioterapi, jämställdhetsbonus, annan ekonomisk förmån för enskild eller särskild sjukförsäkringsavgift. Enligt tredje stycket samma bestämmelse gäller sekretess hos Försäkringskassan och Pensionsmyndigheten även i verksamhet som avser registrering av enskilda för uppgift om en enskilds personliga förhållanden som myndigheten fått från Migrationsverket, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.
För uppgift hos Skatteverket gäller, utöver sekretess enligt 21 kap. 5 § OSL, sekretess enligt 22 kap. 1 § OSL, den s.k. folkbokföringssekretessen. Bestämmelsen föreskriver sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser bland annat folkbokföringen eller annan liknande registrering
av befolkningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Enligt samma paragraf gäller sekretess i sådan verksamhet för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Med stöd av bestämmelsen föreskrivs vidare i 6 § offentlighets- och sekretessförordningen (2009:641) att sekretess gäller ibland annat Skatteverkets databas över identitetskort för folkbokförda i Sverige, för uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (p 1), och för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (p 2). Sekretessen för uppgift om enskilds personliga förhållanden gäller alltså med ett rakt kvalificerat skaderekvisit, medan det för fotografi gäller ett starkare sekretesskydd i form av ett omvänt skaderekvisit.
Utöver ovan nämnda sekretessbestämmelser som är direkt tillämpliga hos de mottagande myndigheterna finns i 11 kap. 4 § OSL en särskild bestämmelse om överföring av sekretess vid direktåtkomst. I bestämmelsen anges att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Undantag gäller dock för uppgift som ingår i ett beslut hos den mottagande myndigheten. Av 11 kap. 8 § OSL följer emellertid att sekretessen inte överförs, om en sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten. Om den finns en sekretessbestämmelse som är direkt tillämplig hos den mottagande myndigheten, en s.k. primär sekretessbestämmelse, ska således den bestämmelsen tillämpas, oavsett om den är svagare eller starkare än den överförda sekretessen. Bestämmelsen i 11 kap. 4 § OSL har dock betydelse för sekretesskyddet för uppgifter som den mottagande myndigheten har teknisk tillgång till men som myndigheten inte för in i den verksamhet som omfattas av den primära sekretessen. Sådana uppgifter skulle annars bli offentliga hos den mottagande myndigheten trots att uppgifter-
na inte används i den mottagande myndighetens verksamhet och trots att de är sekretessbelagda hos den utlämnande myndigheten.
Vid införandet av bestämmelserna om direktåtkomst för Försäkringskassan, Pensionsmyndigheten och Skatteverket övervägdes sekretesskyddet för uppgifterna hos de mottagande myndigheterna. Bland annat gjordes en ändring av dåvarande sekretesslagen som nu finns i 28 kap. 1 § tredje stycket OSL (se prop. 2007/08:160 s. 93 f.) Behovet av ändringar med anledning av Skatteverkets direktåtkomst har övervägts i Finansdepartementets promemoria Vissa id-kortsfrågor, 2010-04-21, dnr Fi2010/2345. Där gjordes bedömningen att några ändringar inte behövdes i sekretesslagstiftningen med anledning av Skatteverkets direktåtkomst.
Utredningen anser sammanfattningsvis att det behövs en särskilt sekretessbrytande föreskrift som tar sikte på Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst till Migrationsverkets uppgifter. Utredningen menar vidare att sekretesskyddet hos de mottagande myndigheterna är tillfredsställande. Några ytterligare föreskrifter om sekretess behövs därför inte.
En särskild fråga är om regleringen i lagen om när direktåtkomst får förekomma bör vara uttömmande, dvs. om Migrationsverket bör vara förhindrat att medge direktåtkomst i andra fall än som lagen tillåter. Med tanke på de speciella integritetsrisker som är förknippade med direktåtkomst anser utredningen att regleringen i lagen bör vara uttömmande. Inte heller bör regeringen kunna föreskriva att Migrationsverket får medge direktåtkomst. Däremot bör regeringen eller den myndighet som regeringen bestämmer kunna meddela närmare föreskrifter om omfattningen av den direktåtkomst som medges i lagen samt om behörighet och säkerhet. För att undvika missförstånd bör det av lagen klart framgå att Migrationsverket inte kan medge direktåtkomst i andra fall än de som tillåts i lagen (se SOU 2015:39 s. 393 f.).
I kapitel 9 behandlar utredningen frågan om Migrationsverkets direktåtkomst till vissa uppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas för handläggning för uppehållstillstånd för arbete och arbetstillstånd.
7.16. Bevarande och gallring m.m.
7.16.1. Allmänt om bevarande och gallring
Enligt utredningens direktiv ska utredningen uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål.
Varje svensk medborgare har enligt 2 kap. 1 § TF en grundlagsfäst rätt att ta del av allmänna handlingar. En förutsättning för att denna handlingsoffentlighet ska kunna utnyttjas är att handlingar bevaras hos myndigheterna. Redan bestämmelserna i tryckfrihetsförordningen kan således sägas medföra en skyldighet för myndigheterna att bevara och ordna allmänna handlingar så att det går att hitta bland dem och att vårda dem så att de inte skingras och förstörs. Enligt 2 kap. 18 § TF ska bestämmelser om hur allmänna handlingar ska bevaras och om gallring av sådana handlingar meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara allmänna handlingar och på vilket sätt det ska ske finns i arkivlagen, arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). I dessa bestämmelser anges bland annat hur en handling ska framställas, förvaras och skyddas. Där finns också bestämmelser om gallring och avhändande av allmänna handlingar.
En myndighets arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § TF, (dvs. exempelvis minnesanteckningar och utkast) som myndigheten beslutar ska tas om hand för arkivering.
För vissa elektroniska handlingar gäller en särskild regel. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter så att de där utgör allmänna handlingar ska bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Om en eller flera statliga myndigheter svarar för ungefär lika stora delar av upptagningen, får Riksarkivet meddela föreskrifter om hos vilken myndighet upptagningen ska bilda arkiv (4 § arkivförordningen).
Huvudprincipen enligt arkivlagstiftningen är att allmänna handlingar ska bevaras. Det kommer till uttryck i 3 § arkivlagen, enligt vilken myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen
att allmänna handlingar under vissa förutsättningar får gallras. Med gallring avses att en handling förstörs på ett eller annat sätt. Vanliga pappershandlingar förstörs fysiskt. För elektroniska handlingar innebär gallring vanligtvis att viss information raderas från databäraren. Med gallring menas inte bara att rent faktiskt förstöra en allmän handling eller uppgifter i en sådan handling. Gallring innebär också att vidta åtgärder med en allmän handling som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att bedöma handlingens autenticitet (RA-FS 1997:4 ändrad genom RA-FS 2008:4). Det kan till exempel innebära gallring att skriva ut en elektronisk handling i pappersform och därefter förstöra den elektroniska handlingen. Även om informationen finns kvar på papper kan möjligheten att få fram informationen ha försämrats.
Vid gallringen ska det beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).
Av 14 § arkivförordningen framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Grundprincipen i arkivlagstiftningen är således att allmänna handlingar ska bevaras. Några särskilda hänsyn till vilken risk bevarandet kan medföra ur integritetshänseende ska inte tas. Bestämmelser om gallring föranleds i stället vanligtvis av kostnads- och utrymmesskäl.
I personuppgiftslagen är utgångspunkten en annan. Enligt 9 § första stycket i PUL får en personuppgift inte bevaras längre än nödvändigt med hänsyn till ändamålet för vilket personuppgifterna samlades in. Tryckfrihetsförordningens och arkivlagens bestämmelser har dock företräde framför personuppgiftslagens bestämmelser.
Det följer av 8 § första stycket PUL att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I paragrafens andra stycke anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Personuppgiftslagens bestämmelser medför således inte att personuppgifter som är allmänna handlingar ska utplånas eller gallras. För personuppgifter som inte är allmänna handlingar gäller emellertid regeln i 9 § första stycket PUL, vilket innebär att personuppgiften inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
När stora mängder uppgifter om enskilda personer samlas och bevaras hos myndigheter uppstår integritetsrisker, särskilt som dagens teknik tillåter att sammanställningar av information görs på ett enkelt sätt. I de författningar som reglerar myndigheternas behandling av personuppgifter finns därför ofta särskilda bestämmelser om gallring. Där är principen vanligtvis den motsatta i förhållande till arkivlagen, dvs. att materialet ska förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. Denna omvända princip har i förarbetena till arkivlagen ansetts motiverad av integritetsskäl (se prop. 1989/90:72 s. 50 f.). Exempel på sådana bestämmelser finns i polisdatalagen och kustbevakningsdatalagen. Där anges att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Regeringen eller den myndighet som regeringen bestämmer (dvs. Riksarkivet) ges möjlighet att meddela föreskrifter om att uppgifter, trots bestämmelsen om gallring, får bevaras för historiska, statistiska eller vetenskapliga ändamål.
I kapitel 8 föreslår utredningen bestämmelser om gallring av personuppgifter som Migrationsverket behandlar automatiserat därför att ett offentligt biträde, en tolk, en översättare eller en språkanalytiker kan vara olämplig för framtida uppdrag. Vad gäller frågan om gallring av känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet, se avsnitt 7.11.4.
7.16.2. Utredningens överväganden
Utredningens förslag: Personuppgifter i verksamhet enligt utlän-
nings- och medborgarskapslagstiftningen ska, med undantag för nedan angivna fall, bevaras eller gallras i enlighet med arkivlagens bestämmelser. Någon särskild bestämmelse om detta behövs inte i utlänningsdatalagen.
Från denna reglering bör undantag göras för 1) Migrationsverkets fingeravtrycks- och fotografiregister (som ska gallras enligt nuvarande ordning), 2) känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet (som ska gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen) och för 3) personuppgifter som Migrationsverket behandlar automatiskt därför att vissa offentliga biträden, tolkar, översättare eller språkanalytiker kan vara olämpliga för framtida uppdrag (som ska gallras efter viss tid). Bestämmelser om gallring bör intas i den förordning som utfärdas i anslutning till utlänningsdatalagen.
Personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter ska vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Det finns inte några särbestämmelser om gallring i utlänningslagen eller någon annan författning som reglerar den verksamhet som föreslås omfattas av den nya lagen. I nuvarande utlänningsdataförordning finns dock en bestämmelse om gallring. Enligt 11 § ska en uppgift i Migrationsverkets fingeravtrycksregister gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. I övrigt finns inga särskilda bestämmelser om gallring i förordningen. Som huvudregel gäller såldes arkivlagens bestämmelser om bevarande och gallring för verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utgångspunkten är därmed att allmänna handlingar inte ska gallras.
Gallring får endast ske i enlighet med föreskrifter eller beslut av Riksarkivet eller, avseende utlandsmyndigheter, av Regeringskansliet.
Frågan för utredningen är hur reglerna för bevarande och gallring bör utformas i den nya lagen. Ska arkivlagens principer om bevarande gälla eller bör utgångspunkten vara den omvända? Vid denna bedömning ställs olika intressen mot varandra. I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas stora mängder information om ett stort antal individer. Det rör sig i stor utsträckning om uppgifter av integritetskänslig natur. Dessa omständigheter talar för en specialreglering med gallring som utgångspunkt. Å andra sidan finns det skäl, till exempel möjligheten att tillgodose allmänhetens intresse av insyn i verksamheten, som talar för att bevarande bör vara utgångspunkten.
Personuppgifter som inte är allmänna handlingar
Som angetts ovan gäller för personuppgifter som inte är allmänna handlingar för närvarande bestämmelserna i 9 § första stycket i och tredje stycket PUL. Av de bestämmelserna följer att personuppgifter inte får bevaras längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Utredningen anser att det saknas skäl att ändra på denna ordning. Det medför bland annat att personuppgifter i minnesanteckningar eller utkast till beslut eller skrivelse som behandlas av en tjänsteman i ett ordbehandlingsprogram och som inte har tagits om hand för arkivering ska tas bort ut systemet eller avidentifieras när det inte längre behövs för sitt ändamål.
I avsnitt 7.7.3 föreslår utredningen att det i den nya lagen ska göras en hänvisning till bestämmelserna i 9 § PUL. Någon särskild bestämmelse i detta avseende behövs således inte.
Manuellt behandlade personuppgifter i allmänna handlingar
För personuppgifter i allmänna handlingar som behandlas manuellt gäller i dag att de som huvudregel ska bevaras. Gallring får dock ske om det finns stöd för det i föreskrifter eller beslut av Riksarkivet. För Migrationsverket gäller till exempel Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (RA-FS 1991:6, ändrad 1997:6 och 2012:2) och Riksarkivets föreskrifter om återlämnande och gallring hos Migrations-
verket (RA-MS 2013:45). Enligt utredningens mening finns det inte heller någon anledning att ändra på denna ordning.
Automatiserat behandlade personuppgifter i allmänna handlingar
Dagens teknik medför att en i princip obegränsad mängd personuppgifter kan bevaras elektroniskt hos myndigheterna. Som framgår ovan ökar ett elektroniskt bevarande möjligheten att på ett enkelt sätt söka och sammanställa uppgifter, något som kan öka risken för integritetsintrång. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs i en myndighets verksamhet gallras ur myndighetens datasystem. För detta krävs särskilda bestämmelser om gallring av uppgifter i myndighetens verksamhet. I registerförfattningar finns ofta sådana gallringsbestämmelser som har till syfte att skydda den personliga integriteten för de personer vars uppgifter behandlas automatiserat. I äldre registerförfattningar utformas gallringsbestämmelserna ofta så att uppgifterna ska gallras efter viss tid om det inte finns några särskilda regler om bevarande. I vissa fall anges att föreskrifter om bevarande får meddelas om personuppgifter ska behandlas för historiska, statistiska eller vetenskapliga ändamål. I registerförfattningar av senare datum anges vanligtvis i en generell bestämmelse att gallring ska ske om personuppgiften inte behövs för något av de ändamål som anges i författningen. En särskild gallringsfrist anges därutöver för vissa typer av uppgifter. Denna metod används till exempel i polisdatalagen.
Som ovan anförts finns det vissa omständigheter som talar för att särskilda bestämmelser om gallring ska införas i den nya lagen. I verksamhet enligt utlännings- och medborgarskapslagen behandlas en stor mängd personuppgifter som avser ett stort antal personer. Behandlingen sker i många fall utan den enskildes samtycke och personuppgifterna används vid myndighetsutövning gentemot enskilda personer. Många av de personuppgifter som behandlas utgör känsliga personuppgifter enligt 13 § PUL. Det finns också personuppgifter som inte hör till denna kategori, men ändå kan uppfattas som integritetskänsliga. Dessa omständigheter talar för en ordning där gallring är utgångspunkten.
Det finns emellertid förhållanden som talar i motsatt riktning. Som framgår ovan finns i dag endast en särskild bestämmelse om
gallring i utlänningsdataförordningen, avseende uppgifter i fingeravtrycksregistret. I övrigt gäller att automatiserat behandlade personuppgifter i allmänna handlingar som utgångspunkt ska bevaras. Som framgår ovan finns föreskrifter avseende gallring från Riksarkivet som gäller generellt för alla myndigheter, inklusive de som enligt utredningens förslag ska tillämpa utlänningsdatalagen. Vidare finns myndighetsspecifika föreskrifter avseende gallring för exempelvis Migrationsverket. Dessa föreskrifter gäller även för uppgifter i elektroniska handlingar. Annat har inte framkommit än att denna ordning fungerar väl.
En omständighet som talar för bevarande som huvudregel är att det vid handläggning av ärenden hos Migrationsverket ofta finns ett behov att ta fram uppgifter från tidigare ärenden. Ett exempel är s.k. anknytningsärenden, där personer som begär uppehållstillstånd på grund av anknytning åberopar uppgifter från släktingars ärenden som rör ansökan om uppehållstillstånd. En alltför omfattande gallring av myndighetens handlingar skulle minska möjligheterna att använda uppgifter från tidigare ärenden.
Vidare talar allmänhetens intresse av insyn i verksamheten för att bevarande bör vara utgångspunkten. Migrations- och utlänningsrätt är ofta omdebatterade områden, och möjligheten till granskning av verksamheten av till exempel forskare eller journalister skulle minska avsevärt om personuppgifter i elektroniska handlingar som utgångspunkt ska gallras. I sammanhanget bör framföras att det inte är självklart att integritetsintresset bäst tillgodoses genom att personuppgifter förstörs. I frågan om ersättning till tvångssteriliserade medförde exempelvis bevarade av uppgifter i journaler och sociala myndigheters register att enskilda kunde få ersättning för de handlingar som de en gång i tiden hade utsatts för (se vidare prop. 1998/99:71).
Mot denna bakgrund gör utredningen bedömningen att den nuvarande ordningen bör fortsätta att gälla även här. Någon gallringsbestämmelse bör således inte föras in i lagen. Undantag bör dock göras när det gäller Migrationsverkets register för fingeravtryck och fotografier bör nuvarande bestämmelse om gallring behållas. Vidare bör en bestämmelse om gallring införas för personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Sådana personuppgifter ska gallras direkt när behandlingen inte längre
är nödvändig för något av de angivna ändamålen. En bestämmelse om gallring bör även införas för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämpliga för framtida uppdrag, se kapitel 8. Bestämmelserna om gallring bör införas i en till lagen anslutande förordning.
Avskiljande av inaktuella personuppgifter
Utredningen föreslår således att arkivlagens bestämmelser om bevarande och gallring ska gälla för personuppgifter som behandlas automatiserat. Det är dock inte lämpligt att uppgifter som inte längre behövs i verksamheten bevaras i myndigheternas datasystem så att det finns tillgängliga för myndighetens handläggare. Det finns ingen anledning att uppgifter som inte längre behövs för de i lagen angivna ändamålen ska kunna nås av en vidare krets. Uppgifter som behandlas för ändamålen att handlägga ärenden, bedriva utlänningskontroll och mottagningsverksamhet är ofta av integritetskänslig karaktär och är ofta tillgängliga för många anställda på myndigheterna. Utredningen föreslår därför att särskilda regler införs för denna typ av uppgifter. De uppgifter som inte längre behövs för den löpande verksamheten ska avskiljas från övriga uppgifter så att de inte längre är tillgängliga för den personal som arbetar i sådan verksamheten. Endast de anställda som är i absolut behov av uppgifterna ska tillåtas åtkomst till dem. Det kan till exempel gälla verksarkivarier, men även handläggare och beslutsfattare kan ha behov att vid handläggning av nya ärenden behandla redan avskilda uppgifter. Behörighet till sådana uppgifter ska föregås av en individuell prövning.
Regleringen bör vara relativt allmänt hållen. Hur avskiljandet ska ske bör den personuppgiftsansvarige själv få bestämma. Det får dock inte innebära informationsförlust av något slag. En metod är att uppgifterna avställs till en annan databas som till exempel Migrationsverkets e-arkiv. Att i lagen ge någon bestämd tidsfrist för när personuppgifterna ska avskiljas behövs inte heller. Självfallet bör personuppgifter om en utlänning avskiljas när han eller hon har beviljats svenskt medborgarskap. En stor mängd personuppgifter om utlänningar som inte varit aktuella i något ärende på lång tid, kan
inte heller anses behövas i den löpande verksamheten. Det bör överlämnas till den personuppgiftsansvariga myndigheten att bedöma hur avskiljandet ska utformas, tidsgränser för när detta ska ske och att utarbeta regler och rutiner för detta. Utredningen anser alltså inte att det är nödvändigt att föreslå några närmare föreskrifter i ämnet.
Rättslig information och information rörande förhållanden i andra länder avidentifieras normalt efter kortare tid. Integritetshänsyn talar därför inte för att sådana uppgifter måste avskiljas. När det gäller ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet är det endast ganska få personer som har tillgång till personuppgifter som behandlas för dessa ändamål. Något avskiljande behövs därför inte heller när det gäller personuppgifter av nu aktuellt slag. Särskilda gallringsbestämmelser föreslås däremot gälla för sådana uppgifter i vissa fall, se avsnitt 7.16.2. Inte heller bör det föreskrivas att personuppgifter som behandlas för registrering m.m. ska avskiljas.
Utredningen föreslår att Migrationsverket ska vara personuppgiftsansvarigt även för utlandsmyndigheternas automatiserade behandling av personuppgifter (se avsnitt 7.8). Med det ansvaret bör följa en möjlighet att meddela föreskrifter om avskiljande. Eftersom utlandsmyndigheterna är fristående myndigheter i förhållande till Migrationsverket bör det finnas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer, i praktiken Migrationsverket, har möjlighet att meddela föreskrifter för utlandsmyndigheterna.
För personuppgifter som behandlas inom den egna myndigheten är den föreslagna regleringen om avskiljande tillräcklig för att ge personuppgiftsansvariga myndigheter befogenhet att närmare besluta i fråga om avskiljande.
Avskilda uppgifter får inte omfattas av direktåtkomst, se avsnitt 7.15.
7.17. Ytterligare föreskrifter
Utredningens förslag: I lagen ska finnas ska finnas s.k. nödvän-
diga upplysningsbestämmelser som klargör att det finns ett utrymme för regeringen att meddela föreskrifter i vissa avseenden. Sådana bestämmelser har föreslagits när det gäller Migrationsverkets fingeravtrycks- och fotografiregister, tillgången till personuppgifter, direktåtkomst, överföring av personuppgifter till tredjeland, avskiljande, gallring och säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Som har redovisats i avsnitt 3.2 innebär bestämmelsen i 2 kap. 6 § andra stycket RF att endast de bestämmelser som innebär betydande intrång i den personliga integriteten och som kan innebära kartläggning eller övervakning måste anges i lag. Andra bestämmelser kan anges i förordning eller myndighetsföreskrifter. En utgångspunkt bör därför enligt utredningen vara att detaljfrågor inte bör regleras i den nya utlänningsdatalagen utan i författningar av lägre rang där närmare intresseavvägningar kan göras, se avsnitt 6.4.1.
Registerförfattningar faller under regeringens s.k. restkompetens enligt 8 kap. 7 § RF, dvs. det område där regeringen utan delegering får meddela föreskrifter. Om förhållanden inom regeringens restkompetens ändå reglerats genom lag, kan riksdagen inte lämna ett bemyndigande till regeringen att meddela föreskrifter som till exempel avviker från lagregleringen. För att regeringen ska kunna meddela sådana föreskrifter, måste det i lagen i stället tas in en upplysningsbestämmelse som anger vilken kompetens som har lämnats kvar hos regeringen.
Behovet av upplysningsbestämmelser i den nya lagen behandlas i avsnitten 7.7.8, 7.10.3, 7.11.4, 7.12.2, 7.15.2, 7.16.2 och 8.3.7. Ytterligare upplysningsbestämmelser behövs dock. Genom hänvisningen till 31 § PUL i den föreslagna lagen gäller personuppgiftslagens bestämmelser om skydd för personuppgifter vid behandling av personuppgifter enligt utlänningsdatalagen. Den personuppgiftsansvariga myndigheten beslutar om vilka tekniska och organisatoriska åtgärder som ska vidtas för att skydda de personuppgifter som behandlas. För personuppgifter som behandlas av den egna myndigheten följer det av personuppgiftslagens bestämmelser att
myndigheten har möjlighet att meddela närmare föreskrifter om säkerheten vid behandlingen. Om detta behövs således ingen särskild bestämmelse i utlänningsdatalagen. Enligt utredningens förslag ska Migrationsverket dock vara personuppgiftsansvarigt även för utlandsmyndigheternas automatiserade behandling av personuppgifter (se avsnitt 7.8). Med det ansvaret bör följa en möjlighet att meddela föreskrifter om säkerhetsåtgärder. Eftersom utlandsmyndigheterna inte är underställda Migrationsverket, bör det i lagen införas en upplysningsbestämmelse av vilken det framgår att regeringen eller den myndighet som regeringen bestämmer, i praktiken Migrationsverket, får meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
7.18. Ikraftträdande och övergångsbestämmelser
Utredningens förslag: Den föreslagna utlänningsdatalagen ska
träda i kraft den 1 januari 2016.
Detta lagförslag föranleds av den ändring av 2 kap. 6 § andra stycket RF som trädde i kraft den 1 januari 2011. I bestämmelsen föreskrivs att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Denna bestämmelse ställer krav på att inskränkningar av integritetsskyddet ska ske genom lag (se avsnitt 6.2). Enligt övergångsbestämmelserna anges att för tiden längst fram till och med den 31 december 2015 behåller äldre föreskrifter, som innebär betydande intrång i den personliga integriteten, sin giltighet utan hinder av 2 kap. 6 § andra stycket RF. För tiden längst fram till och med den 31 december 2015 gäller således föreskrifter som inte uppfyller kravet på lagform utan hinder av den nya bestämmelsen om ett utvidgat integritetsskydd. Den föreslagna utlänningsdatalagen och utlänningsdataförordningen bör därför träda i kraft den 1 januari 2016. Även övriga författningsändringar som utredningen föreslår bör av praktiska skäl träda i kraft vid samma tidpunkt.
Utlänningsdatalagen ersätter förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och med-
borgarskapslagstiftningen, som därför bör upphävas när lagen träder i kraft. Både den nuvarande utlänningsdataförordningen och den förslagna utlänningsdatalagen hänvisar till personuppgiftslagens bestämmelser om skadestånd. Några särskilda övergångsbestämmelser i detta avseende behövs enligt utredningen således inte. Utredningen bedömer att det inte heller i övrigt finns behov av några särskilda övergångsbestämmelser.
NÅGRA SÄRSKILDA FRÅGESTÄLLNINGAR
8. Registrering av kvalitetsomdömen
8.1. Inledning
Migrationsverket har bland annat i uppdrag att förordna offentliga biträden i ärenden enligt utlänningslagen (2005:716, UtlL), se närmare härom avsnitt 8.2.
Genom både externa utredningar och Migrationsverkets egna granskningar har det enligt verket framkommit att Migrationsverket i vissa ärenden har förordnat offentliga biträden som inte är lämpliga för sina uppdrag, att Migrationsverkets lämplighetsprövningar i samband med förordnanden av offentliga biträden inte alltid genomförs enhetligt och att det finns behov av att se över de bestämmelser och rutiner som gäller för såväl lämplighetsprövningar vid förordnanden som vid uppföljning av dessa. Se vidare härom bland annat
Sekretess och offentliga biträden i utlänningsärenden, SOU 2008:65,
Statskontorets rapport En ny modell för Migrationsverkets offentliga
biträden (2013:30) och Migrationsverkets framställan till regeringen
i juni 2012 om kompletterande bestämmelser i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen) (dnr Ju2012/4733/L7). Av Migrationsverkets framställan framgår att myndigheten anser att den behöver kunna registrera kvalitetsomdömen om offentliga biträden för att kunna tillvarata sökandenas rätt på bästa sätt. Enligt Migrationsverket finns det också ett behov av att registrera kvalitetsomdömen om de tolkar, översättare och språkanalytiker som myndigheten anlitar, se bland annat Migrationsverkets kompletterande framställan om författningsändring i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen till Justitiedepartementet i november år 2013 (dnr 1.1.2-2013-43361). Sådan
registrering behövs enligt verket för att skydda enskilda sökandes utsatta position och ställning samt för att uppfylla Migrationsverkets ansvar enligt såväl asylprocedurdirektivet som allmänna rättsgrundsatser.
Mot bakgrund av vad som nu anförts har utredningen fått i uppdrag att
- analysera förutsättningarna för att ge Migrationsverket en möjlighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker,
- för det fall utredaren anser att det finns förutsättningar för en sådan reglering när det gäller en eller flera av dessa grupper, utforma ett förslag till sådan reglering i den nya lag som föreslås och även undersöka förutsättningarna för att låta domstolar och andra myndigheter ta del av uppgifterna,
- beakta såväl intresset av att Migrationsverket kan förordna eller anlita lämpliga offentliga biträden m.fl. som berörda parters integritetsintressen, och
- uppmärksamma frågor om huruvida ett sådant register ska vara offentligt, huruvida den enskilde ska kunna överklaga en registrering, hur beslut om registrering av uppgifter ska fattas och när uppgifterna ska gallras.
8.2. Allmänt om Migrationsverkets förordnande av offentliga biträden, tolkar, översättare och språkanalytiker
8.2.1. Den rättsliga regleringen m.m.
Offentliga biträden
Förordnanden av offentliga biträden m.m.
Migrationsverket har enligt 2 § lagen (1996:1620) om offentligt biträde bland annat till uppgift att förordna offentliga biträden i ärenden enligt utlänningslagen. Av bestämmelserna i 18 kap. UtlL framgår i vilka fall offentligt biträde ska förordnas i mål och ärend-
en enligt utlänningslagen samt i mål om överklagande av Migrationsverkets beslut i fråga om statusförklaring. Även i ärenden enligt lagen (1991:572) om särskild utlänningskontroll kan en utlänning ha rätt till offentligt biträde.
Till offentligt biträde får enligt 5 § lagen om offentligt biträde och 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en biträdande jurist på en advokatbyrå eller någon annan som är lämplig för uppdraget. Advokat är den som, efter prövning av bland annat lämplighet, har antagits som ledamot i Sveriges advokatsamfund. En biträdande jurist står under tillsyn av en advokat vid den advokatbyrå där han eller hon är anställd. Har den rättssökande själv föreslagit någon som är lämplig, ska denne förordnas, om det inte finns särskilda skäl mot det.
Som framgår av redovisade bestämmelser presumeras alltså advokater och biträdande jurister uppfylla lämplighetskravet för offentligt biträde. Vad gäller förordnande av andra personer än advokater och biträdande jurister föreskrivs dock uttryckligen att de ska vara lämpliga men inget föreskrivs om hur lämplighetsprövningen ska utföras. Det finns således inga formella behörighetskrav att utgå ifrån vid lämplighetsprövningen då det är aktuellt att förordna en person som inte är advokat eller biträdande jurist. I praktiken ställs i de flesta fall krav på att den som förordnas ska ha en juristexamen. För att någon person utan sådan examen ska anses lämplig krävs att den personen har stora kunskaper inom ett särskilt område som kan medföra att ärendet eller målet behandlas på ett bättre och mer effektivt sätt än vad som annars hade varit fallet (se prop. 1996/97:9 s. 155 f. och 216.). I förarbetena understryks även vikten av att de som förordnar biträden gör en verklig prövning av biträdets kvalifikationer och att det är den som vill förordnas som har bevisbördan för att han eller hon uppfyller lämplighetskravet. Som framgår av vad nu redovisats gäller lämplighetskravet för alla som önskar förordnas som offentliga biträden, dvs. oavsett om de är advokater, biträdande jurister på en advokatbyrå eller inte, även om nämnda presumtionsregler finns.
Bestämmelser om byte och entledigande av offentliga biträden finns i 5 § lagen om offentligt biträde och 26 § rättshjälpslagen. Av bestämmelserna följer att byte av biträde bara får ske om det finns särskilda skäl och, om byte redan har skett en gång, att det krävs
synnerliga skäl för ytterligare byte och att ett offentligt biträde bara kan entledigas om skäl föreligger.
Migrationsverkets it-stöd och förteckningen Judith
Migrationsverket har i dag ett särskilt it-stöd för administration av offentliga biträden som utgör ett hjälpmedel när verket förordnar offentliga biträden. It-stödet är knutet till en förteckning som getts namnet Judith och som innehåller namn på alla som anmält intresse för att åta sig uppdrag som offentligt biträde i asylärenden samt en kalenderfunktion (e-tjänsten ”Biträdessidan”). Kalenderfunktionen innebär att de som är intresserade av att åta sig uppdrag som offentliga biträden även anger för vilka tider detta gäller i en kalender som både de själva och Migrationsverket har tillgång till. Migrationsverket har enbart tillgång till uppgift om specifik ledig tid i biträdets kalender. Endast den som anmält intresse för att bli förordnad som offentligt biträde i asylärenden (eller den person som biträdet gett behörighet till) och Migrationsverket har direktåtkomst till uppgifterna.
Judith innehåller uppgifter om ca 2 000 personer, varav 200–300 är vanligt förekommande som offentliga biträden. Antalet ärenden som ett offentligt biträde har per år varierar, men kan uppgå till 30– 40 stycken. Under år 2014 fattade Migrationsverket 17 370 beslut om förordnande av offentliga biträden.
It-stödet, som infördes i november 2013, används för att göra en preliminär fördelning/bokning av de uppdrag som offentligt biträde som görs i ovan nämnda typ av ärenden med utgångspunkt från de tider som de biträden som finns registrerade i Judith har ledigförklarat i en egen kalender som Migrationsverket har tillgång till i den ovan nämnda omfattningen. Det definitiva beslutet om vem som ska förordnas som offentligt biträde i ett enskilt ärende tas dock alltid av en av verkets tjänstemän, oftast en teamledare, som också gör en bedömning av om den som föreslagits av systemet är lämplig att förordna i det enskilda ärendet eller om han eller hon ska ersättas av någon annan.
Det nuvarande systemet att förordna offentliga biträden ska emellertid ses över med hänsyn till bland annat kritik från JO i december 2014 (se JO:s beslut den 5 december 2014, dnr 5920-2013). Kritiken från JO gick ut på att den preliminära sökningen i
systemet i dag sker i första hand bland dem som arbetar på en advokatbyrå (sökning sker på firmanamnet där ”advokat” ingår) och först därefter bland de andra som anmält intresse för uppdrag som offentliga biträden. I praktiken är därför majoriteten av de förordnade biträdena (uppskattningsvis 70–80 procent) i dag advokater eller biträdande jurister.
I den mån en sökande har ett eget önskemål om vem som ska förordnas som offentligt biträde för honom eller henne, tillgodoses detta om biträdet i fråga bedöms vara lämpligt. Kontroll av lämpligheten av de som anmält intresse att ta uppdrag som offentliga biträden görs således först om de kommer i fråga för ett förordnande.
I sammanhanget kan nämnas att även vissa domstolar använder sig av olika förteckningar över de som anmält intresse för att åta sig uppdrag för att underlätta förordnandet av lämpliga uppdragstagare, exempelvis målsägandebiträde eller särskilda företrädare för barn. Lämplighetsbedömningen av dessa uppdragstagare sker då vanligtvis, till skillnad från vad som gäller för Migrationsverkets nuvarande förteckning, av domstolen redan innan uppdragstagarna tas upp i förteckningen i fråga. Förteckningarna innehåller alltså endast förslag på personer som både har anmält intresse för att åta sig visst uppdrag och som i förväg av domstolen även bedömts vara lämpliga härför. Den som inte visat sig lämplig för i frågavarande uppdrag tas således inte upp i förteckningen. Förteckningarna utgör ett hjälpmedel för domstolarna både för att fördela domstolens uppdrag på ett rättvist sätt mellan olika jurister och som underlag vid själva förordnadebeslutet eftersom, som ovan nämnts, personerna i förteckningen redan bedömts lämpliga för dessa slags uppdrag.
Andra lämpliga uppdragstagare än de som upptagits på förteckningarna kan dock förordnas om sökanden önskar det.
De kriterier som ställs upp för att ett biträde kan anses lämpligt för uppdrag och således kan tas upp i förteckningarna måste uppfylla vissa krav, se bland annat JO:s beslut den 19 december 2014, dnr 3586-2013. Exempelvis måste villkoren vara väl kända och objektivt godtagbara. Bedömningen måste även göras på ett tillräckligt kvalificerat sätt och, som framgår av 1 kap. 9 § regeringsformen, måste bland annat saklighet och opartiskhet iakttas. Någon omotiverad skillnad mellan personer som vill komma i fråga för uppdragen får alltså inte göras.
Migrationsverkets förteckning över offentliga biträden och ombud vars lämplighet kan ifrågasättas
För att Migrationsverket ska undvika att förordna offentliga biträden som inte är lämpliga för sådana uppdrag har myndigheten tagit fram en lista (i Word) över vissa biträden för uppföljning, tillsyn och kontroll. Rutinerna för denna lista framgår av Migrationsverkets dokument Rutiner för förteckning med namn på de offentliga biträ-
den och ombud som är uppsatta för uppföljning, tillsyn och kontroll
daterat den 25 juni 2012.
Alla tjänstemän som förordnar offentliga biträden ska ha tillgång till denna förteckning.
Förteckningen består av dels namn på de personer som Migrationsverket (genom en utsedd central samordnare i samråd med kontaktpersoner i Migrationsverkets centrala organisation för offentliga biträden) ansett att det finns anledning att ifrågasätta lämpligheten för, dels datum då personerna i fråga fördes upp på listan. De bakomliggande skälen till varför personerna fördes upp på listan finns endast tillgängliga för ett begränsat antal tjänstemän på Migrationsverket (”biträdesgruppen”). Uppgifterna ingår inte i någon strukturerad samling av personuppgifter. Tanken är dock att den tjänsteman som har tänkt förordna en person som finns med på listan ska ta kontakt med någon av de personer som har tillgång till skälen och därefter göra en helhetsbedömning av lämpligheten. Att en person finns med på förteckningen i fråga innebär därför inte enligt Migrationsverket automatiskt att personen inte blir aktuell för uppdrag, men medför att hanteringen av tidigare ärenden vägs in i lämplighetsbedömningen.
Anledning till att någon förs upp på förteckningen är att uppgifter från sökanden, beslutsfattare, gode män, massmedier eller från annat håll om hur biträdet agerat kommit till Migrationsverket kännedom och att Migrationsverket därför ansett att det finns anledning att ifrågasätta personens lämplighet vid kommande förordnanden. Exempel på uppgifter som medför att ett biträde förs upp på listan kan vara att biträdet missat att överklaga beslut, att biträdet begått brott som kan påverka lämpligheten som offentligt biträde, att biträdet vid upprepade tillfällen förhalat processen genom att inkomma med inlagor för sent eller att biträdet försatts i konkurs.
Migrationsverket har inte tillgång till någon uppgift om antalet fall per år då kritik av ovan nämnt slag framförts och då verket även ansett kritiken befogad. Sådana ärenden förekommer dock regelbundet varje år enligt Migrationsverket. För närvarande finns ca 20 biträden registrerade på listan.
Enligt Migrationsverket förekommer kritik mot såväl advokaters, biträdande juristers som andra biträdens agerande, men det finns ingen statistik på hur kritiken fördelar sig på de olika yrkesgrupperna. Över tid är dock representationen på förteckningen enligt Migrationsverket relativt jämt fördelad mellan de olika yrkesgrupperna, dvs. ingen grupp utmärker sig i detta avseende. Att advokater och biträdande jurister trots detta presumeras vara lämpliga som offentliga biträden bör enligt Migrationsverket ses i ljuset av Advokatsamfundets tillsyn över advokatväsendet, samfundets möjligheter till disciplinförfarande och reglerna om tystnadsplikt för advokater. Vidare ska advokater och biträdande jurister delta i regelbundna utbildningar. Dessutom har advokatbyråerna ett principalansvar för de anställda på byrån.
Innan en enskild registreras i förteckningen bereds hon eller han tillfälle att yttra sig över skälen till varför Migrationsverket anser att registrering ska ske.
Förteckningen utgör enligt Migrationsverket en allmän handling hos verket och den är även offentlig. Även de bakomliggande skälen till varför personer förts upp på listan utgör allmänna handlingar och är som huvudregel också offentliga. Detsamma gäller Migrationsverkets brev till dem som har registrerats liksom eventuella yttranden från de enskilda i samband härmed.
En genomgång av de personer som förts upp på listan för eventuell gallring sker regelbundet (var sjätte vecka). Det finns däremot ingen tidsangivelse för när en registrering på listan ska tas bort. Gallringen är i stället helt beroende av skälet för registeringen.
Ett beslut om att föra upp någon på listan kan enligt Migrationsverket inte överklagas av denne. Frågan om det ska finnas en sådan möjlighet har aktualiserats. För några år sedan var förteckningen utformad som en förbudslista, vilket kritiserades bland annat av JO som ansåg att listan då var att jämställa med en formlös obehörighetsförklaring utan möjlighet att överklaga (se JO 2008/09 s. 36 om Kritik mot en lagman för att tingsrätten formlöst avstår från att förordna en viss advokat som offentlig försvarare och JO 2010/11
s. 308 ”Svartlistning” av offentliga biträden i utlänningsärenden). Att det enligt verket inte går att överklaga ett sådant beslut enligt dagens rutiner har varit uppe vid JO:s granskning. JO gjorde dock inga särskilda uttalande härom (se JO:s beslut den 5 december 2014, dnr 4500-2013). Frågan om möjlighet att överklaga en registrering på listan har prövats av Kammarrätten i Sundsvall genom dom den 8 juli 2014 i mål nr 871-14. I domen kom Kammarrätten fram till att Migrationsverkets uppförande av ett namn i en förteckning över offentliga biträden inte ska betraktas som ett överklagbart beslut. Kammarrättens dom har överklagats, men Högsta förvaltningsdomstolen beslutade den 14 april 2015 i mål nr 4384-14 att inte meddela prövningstillstånd. Kammarrättens avgörande står därmed fast.
Tolkar
Migrationsverkets skyldighet att anlita tolkar i ärenden där någon inte behärskar svenska språket följer enligt verket av 8 § förvaltningslagen (1986:223). Paragrafen har även bedömts uppfylla kraven på tolkhjälp enligt asylprocedurdirektivet (se prop. 2009/10:31 s. 185).
Marknaden för tolkar är i huvudsak oreglerad i dag. Den saknar även en formell legal tillsyn, även om viss reglering finns för de tolkar som Kammarkollegiet har auktoriserat och utövar tillsyn över1.
Migrationsverket har varken något it-stöd (jfr Judith avseende offentliga biträden) eller någon särskild förteckning över tolkar. Verket har inte heller några anställda tolkar utan alla verksamma tolkar beställs av tolkförmedlingar enligt avtal som upphandlats genom offentlig upphandling. Det är således tolkförmedlingarna som sköter grundläggande kontroll av tolkars kompetens och lämplighet. De villkor som gäller och ska upprätthållas finns i de upphandlade avtalen med Migrationsverket. Nästan alla tolkar är uppdragstagare (dvs. saknar fast anställning) och kan vara verksamma vid fler än en tolkförmedling samtidigt. Migrationsverket har avtal med 6–9 tolkförmedlingar inom olika tolkområden, eftersom ingen enskild förmedling har kapacitet att täcka Migrationsverkets behov i sin helhet.
1 Se bland annat förordningen (1985:613) om auktorisation av tolkar och översättare och Kammarkollegiets skrifter God tolksed och God translatorssed.
Tolkbehovet hos Migrationsverket är omfattande både när det gäller antalet uppdrag (sannolikt över ca 200 000 per år) och när det gäller kunskaper i olika språk (100–120 stycken). Behoven av tolkning i visst språk förändras även över tid och tolkbehoven påverkas ständigt av vad som händer i omvärlden. Tolkning förekommer i princip inom samtliga asyl- och anknytningsärenden i Migrationsverkets verksamhet. Även i andra ärendeslag som arbets- och studieärenden, medborgarskapsärenden och återvändandeärenden förekommer tolkning.
Enligt Migrationsverket finns det i dag uppskattningsvis mellan 5 000–6 000 aktiva tolkar i Sverige, varav ca 1 500–3 000 utgörs av heltidsarbetande aktörer. Antalet uppdrag som varje tolk har för Migrationsverket varierar, men kan uppgå till 10–20 stycken per vecka.
Vad gäller kompetensklasser och ersättningsnivåer för tolkar utgör Domstolsverkets föreskrifter och domstolstaxa en standard. Enligt Domstolsverkets föreskrifter finns det tre typer av tolknivåer; rättstolkar, auktoriserade tolkar och övriga tolkar. Kammarkollegiet har hand om auktorisationen av tolkar. Auktoriserade tolkar finns för ca 40 olika språk. I Sverige finns i dag ca 1 000 auktoriserade tolkar, varav ca 200 är rättstolkar. Av dessa personer tolkar ca 600 de 100–120 språk som är aktuella hos Migrationsverket. För de ca 75– 80 procent av tolkar i Sverige som tillhör kategorin ”övriga tolkar” finns ingen reglering avseende kunskap etc.
Migrationsverket saknar uppgifter om hur många tolkar som det totala antalet tolktillfällen hos Migrationsverket motsvarar liksom de anlitade tolkarnas kunskapsnivå. Enligt Migrationsverkets uppfattning motsvarar kunskapsnivån för de anlitade tolkarna den fördelning som finns på tolkmarknaden i stort. Många tolkningsuppdrag utförs därför av ”övriga tolkar”. Tolkningen utförs inte sällan per telefon.
Översättare
Migrationsverkets skyldighet att anlita översättare motsvarar myndighetens skyldighet att anlita tolkar, se ovan.
Även marknaden för översättare är i huvudsak oreglerad och okontrollerad i dag, även om Kammarkollegiet prövar auktorisation och utövar tillsyn även för vissa överssättare.
Migrationsverket har inte något it-stöd (jfr Judith avseende offentliga biträden) eller någon särskild förteckning över översättare. Verket har inte heller några anställda översättare utan använder sig av upphandlade översättartjänster enligt Kammarkollegiets ramavtal för översättning. Det är privata översättningsbyråer som svarar för översättartjänster.
Migrationsverket har behov av översättningar i flera ärendekategorier och behovet synes, enligt Migrationsverket, även öka framöver. Migrationsverket saknar en säkerställd statistik på antalet översättningsuppdrag som verket köper in per år, men Migrationsverket uppskattar att de uppgår till åtminstone 12 000–20 000 stycken. Översättningar köps in för olika ändamål, främst för att kunna förmedla information till sökanden med annan språkbakgrund, för att översätta identitetshandlingar och andra formella handlingar som betyg och utbildningsintyg etc. och för att översätta inlagor, brev och andra liknande handlingar som åberopas i enskilda ärenden.
Språkanalytiker
Migrationsverkets stöd för att förordna om språkanalyser och därmed anlita språkanalytiker följer av myndighetens allmänna utredningsansvar (dvs. official- eller utredningsprincipen) och av gällande praxis. Språkanalyser är expertisutlåtanden.
Marknaden för språkanalytiker är oreglerad och saknar tillsyn. Migrationsverket har inte heller något it-stöd (jfr Judith avseende offentliga biträden) eller någon särskild förteckning över språkanalytiker.
I likhet med tolk- och översättningstjänsterna saknar Migrationsverket även en egen språkanalysenhet eller funktion. Migrationsverket upphandlar därför språkanalyser med utlåtande angående språkdräkt och språklig bakgrund via offentligt upphandlade ramavtal. Språkanalyser utförs av språkanalysföretag med den språkliga kompetens och expertis för sådan analys som Migrationsverket saknar. Det finns endast få språkanalysföretag på marknaden, i Sverige ca 2–3 företag och utanför Sverige ca 7–10 företag. Språkanalyser är inte heller vanligt förekommande i ärenden hos Migrationsverket. Endast några procent av asylärendena innehåller enligt Migrationsverket språkanalyser i dag. Under åren 2012–2014 har antalet
språkanalyser legat relativt fast i antal och rört sig mellan ca 2 500– 3 000 analyser per år.
8.2.2. Migrationsverkets uppfattning om behovet att kunna registrera kvalitetsomdömen
Allmänt
Migrationsverket har både i tidigare sammanhang, se avsnitt 8.1, och vid kontakter med utredningen framhållit att verket anser att det föreligger ett stort behov för myndigheten att få möjlighet att registrera kvalitetsomdömen för främst offentliga biträden och tolkar, men även för översättare och språkanalytiker. Bakgrunden till detta är att Migrationsverket anser det nödvändigt att, om möjligt, förbättra myndighetens system för dels förordnande av lämpliga offentliga biträden som kan tillvarata sökandenas rätt på bästa sätt i olika ärenden, dels anlitande av tolkar, översättare och språkanalytiker som kan garantera en rättssäker process för sökandena. I avsaknad av författningsstöd för uppföljningsmöjligheter, kvalitetskontroller och avvikelsehantering har Migrationsverket svårigheter att på ett tydligt sätt synliggöra omfattningen av behovet av att få behandla kvalitetsomdöme för aktuella yrkesgrupper. Migrationsverkets uppfattning är dock att varje fall där biträdens, tolkars, översättares eller språkanalytikers kvalitetsbrist påverkar sökandens ärende är ett allvarligt rättssäkerhetsproblem.
De uppgifter som Migrationsverket anser särskilt betydelsefulla att registrera för de olika yrkesgrupperna är sammanfattningsvis dels kompetens, dels en notering om allvarlig eller upprepad och återkommande avvikelse vid utförande av uppdrag. Men även exempelvis uppgifter om att biträdet begått brott eller försatts i konkurs bör enligt verket kunna registreras.
Registering av kompetens
Vad gäller registrering av kompetens ser behovet lite olika ut för de olika yrkesgrupperna.
För att vara lämplig som offentligt biträde i vissa ärenden (exempelvis barnärenden, HBTQ-ärenden, ärenden med utsatta kvinnor
eller personer som utsatts för övergrepp) krävs enligt Migrationsverket förutom grundläggande kunskaper om processrätt, migrationsrätt och mänskliga rättigheter även särskilda erfarenheter och kunskaper. För att Migrationsverket ska kunna förordna lämpliga offentliga biträden i alla ärenden är det därför av stor vikt att information härom finns tillgänglig i Migrationsverkets it-stöd. Detta är särskilt viktigt, eftersom Migrationsverket löpande handlägger ett mycket stort antal ärenden där sökanden biträds av offentliga biträden och det från rättssäkerhetssynpunkt är viktigt att sökanden får lämpliga biträden.
Migrationsverket anser vidare att det finns ett behov av att kunna registrera även kompetens avseende tolkar, översättare och språkanalytiker. Särskilt stort är detta behov för tolkar. Migrationsverket vill bland annat kunna registrera vilken kompetens tolken har (som vid behov kan jämföras med vad förmedlingen anger). Korrekt angiven kompetens är av stor vikt för att Migrationsverket även ska kunna tillvarata sökandenas intresse av en rättssäker tolkning. Det är också av stor betydelse för möjligheten att granska och kontrollera att rätt fakturering och debitering av utförda tjänster sker till Migrationsverket.
I sammanhanget kan nämnas att Migrationsverket anser att myndigheten redan i dag, mot bakgrund av ändringarna i 4 § nuvarande utlänningsdataförordningen (SFS 2014:1068) som trädde i kraft den 15 oktober 2014, borde ha rättsligt stöd för att registrera kompetens på de sätt verket efterfrågar. Genom ändringarna i 4 § infördes bland annat bestämmelser om att uppgifter om speciell kompetens får behandlas i ett verksamhetsregister för biträden (p. 11), tolkar (p. 12), språkanalytiker (p. 12)och översättare (p. 13) i den mån det är nödvändigt för det ändamål för vilket behandlingen utförs.
Registrering av avvikelser
Migrationsverket anser också att det är av stor vikt att kunna registrera om någon av här aktuella uppdragstagare inte är lämplig för sitt uppdrag. Verket vill kunna göra en notering om det förekommer allvarliga eller upprepade och återkommande avvikelser då uppdrag utförs. Enligt Migrationsverket är detta viktigt bland annat för att vid eventuella kommande förordnanden eller uppdrag kunna
beakta denna information. En notering om avvikelse skulle enligt Migrationsverket medföra bland annat en möjlighet till tillsyn, kontroll, uppföljning och framställning av statistik.
Vad gäller förordnande av offentliga biträden bedriver Migrationsverket verksamhet på många orter i Sverige och ett mycket stort antal jurister har anmält intresse för att bli förordnade som offentligt biträde hos verket. Vid förordnandet av offentligt biträde är det alltid Migrationsverkets utgångspunkt att sökandena ska få bästa möjliga biträde. Både de tjänstemän hos verket som förordnar offentliga biträden och de som ansvarar för att kontrollera kvaliteten hos biträdena behöver därför tillgång till samma uppgifter om biträdena när lämplighetsbedömningen görs. I annat fall kan olämpliga biträden fortsätta att äventyra andra sökandes rättssäkerhet. Migrationsverket har därför ett stort behov av ett system för avvikelsehantering för att kunna synliggöra de biträden som objektivt sett har uppenbara kvalitetsbrister. Som ovan nämnts har Migrationsverket redan i dag en motsvarande förteckning för avvikelser i Word, men på grund av den stora mängden ärenden som Migrationsverket löpande handlägger behövs enligt verket ett tydligt rättsligt stöd för sådan behandling i myndighetens it-stöd. Enligt verkets bedömning omfattas registreringen i Word enbart av regleringen i personuppgiftslagen (1998:204, PUL) och inte av utlänningsdataförordningen. Det är även verkets bedömning att behandlingen är tillåten enligt personuppgiftslagen.
Exempel på allvarliga avvikelser för offentliga biträden kan vara att biträdet, trots sökandens anvisning, inte överklagat verkets beslut i ett ärende eller gett in ett överklagande för sent. Sökanden förlorar då i de flesta fall sin rätt till prövning i flera instanser. Ett annat exempel är om ett biträde, trots upprepade påminnelser, underlåter att komplettera ärendet med ett visst underlag. Biträdets underlåtenhet att agera medför då en risk att Migrationsverket inte har korrekt underlag för sitt beslut. Även om detta kan avhjälpas i migrationsdomstolen medför försummelsen en fördröjning av handläggningen. Ytterligare exempel på allvarliga avvikelser kan vara att biträdet vid upprepade tillfällen förhalat processen genom att inkomma med inlagor för sent, att biträdet har begått något brott som kan påverka lämpligheten som offentligt biträde eller att biträdet har försatts i konkurs.
Att kunna registrera avvikelser även för tolkar, översättare och språkanalytiker är enligt Migrationsverket också mycket viktigt, eftersom marknaden för dessa grupper i princip är oreglerad och det saknas en formell legal tillsyn av den. För dessa tre yrkesgrupper finns det enligt Migrationsverket i princip inte någon tillsyn genom en central organisation (motsvarande Sveriges advokatsamfund) eller myndighet. Det finns inte heller något centralt register för dessa yrkesgrupper, vare sig hos Migrationsverket eller hos någon annan. Kammarkollegiets register över exempelvis auktoriserade tolkar har enligt Migrationsverket endast en begränsad betydelse, eftersom de endast omfattar ca 15 procent av de aktiva tolkarna.
Migrationsverkets fullgörande av sitt myndighetsuppdrag är starkt avhängigt bland annat av god tolkning. Inom verket förekommer, som ovan nämnts, över 200 000 tolkningstillfällen per år med närvarande tolk eller tolkning via telefon. Det tolkbehov som Migrationsverket har att lösa är därför omfattande såväl kvantitativt som kvalitativt. Exempel på allvarliga avvikelser för tolkar kan vara felaktig eller bristande kompetens (antingen i svenska eller i det språk som tolkning avser), att tolken inte är den person som han eller hon utger sig för att vara och jäv. Som ovan nämnts kan samma tolk förekomma hos olika tolkförmedlingar, vilket medför att en sådan tolk kan utföra tolkuppdrag trots avvikelserapporter till anlitad annan förmedling.
Om Migrationsverket skulle inrätta ett eget centralt uppföljningssystem, åtminstone för tolkar, kan personlig identifiering, sekretess- och säkerhetsfrågor samt uppföljning av allvarliga avvikelser säkerställas och registreras i systemet. En registrering skulle enligt Migrationsverket även medföra en objektiv och transparent möjlighet för uppföljning av behörighet, lämplighet och kvalitet.
Migrationsverket har – mot bakgrund av att verket bedömt att nuvarande lagstiftning inte medger kvalitetskontroll och uppföljning av aktuella yrkesgrupper – inte tillgång till någon statistik som visar i vilken utsträckning offentliga biträden, tolkar, översättare eller språkanalytiker har agerat på ett sätt så att en notering om avvikelse hade varit befogad. Vad gäller offentliga biträden har Migrationsverket, som redovisats, redan nu en förteckning för personer där lämpligheten kan i ifrågasättas (för närvarande ca 20 biträden). Även när det gäller tolkar anser Migrationsverket att det finns återkommande problem med sådana som missköter sina uppdrag. Verket
bedömer att avvikelserapporteringar av tolktjänster stadigt ökat sedan år 2009. I dag reklamerar Migrationsverket mellan 2 000−3 000 tolkuppdrag per år till tolkförmedlingar. Utöver detta finns det ett mörkertal av ej rapporterade avvikelser. Vad avser kritik mot översättningar och översättningstjänster, bedömer Migrationsverket att det förekommer kritik som är befogad och att det finns ett behov av att kunna följa upp sådan kritik i allvarligare fall.
För att garantera en rättssäker process för den sökande finns därför sammanfattningsvis enligt Migrationsverket ett stort behov av uppföljningsmöjligheter av samtliga aktuella yrkesutövare, dock särskilt av dem som vill förordnas som offentliga biträden och tolkar. Utan författningsstöd för uppföljning, kvalitetskontroll och avvikelsehantering av nämnda personer anser Migrationsverket att det är mycket svårt för verket att säkerställa rättmätiga och legitima krav på rättssäkerhet.
8.3. Utredningens överväganden
Utredningens bedömning: Det finns inget behov av en särskild
reglering som tillåter Migrationsverket att registrera identitetsuppgifter, speciell kompetens och avvikelser rörande aktuella uppdragstagare. Det finns inte heller något behov av ett uttryckligt undantag för avvikelseregistreringar som rör advokater och deras biträdande jurister. Några särskilda regler om sekretess behöver inte införas. Däremot behövs föreskrifter om gallring.
8.3.1. Inledning
Utredningens uppdrag innebär inledningsvis att analysera förutsättningarna för att ge Migrationsverket en möjlighet att registrera vissa uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker. Migrationsverket har framhållit att verket anser att det föreligger ett stort behov för myndigheten att få möjlighet att registrera kvalitetsomdömen för främst offentliga biträden och tolkar, men även för översättare och språkanalytiker (se avsnitt 8.2.2). Bakgrunden till detta är att Migrationsverket anser det nödvändigt att
förbättra myndighetens system för dels förordnande av lämpliga offentliga biträden som kan tillvarata sökandenas rätt på bästa sätt i olika ärenden, dels anlitande av tolkar, översättare och språkanalytiker som kan garantera en rättssäker process för sökandena. De uppgifter som Migrationsverket anser särskilt betydelsefulla att registrera för de olika yrkesgrupperna är, förutom vissa identifikationsuppgifter, speciell kompetens och en notering om allvarlig eller upprepad och återkommande avvikelse vid utförda uppdrag. Med avvikelse vid utförda uppdrag avser Migrationsverket sammanfattningsvis uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått ett brott eller försatts i konkurs. I fortsättningen används i övervägandeavsnittet uttrycket avvikelse i huvudsak i denna betydelse.
När det till en början gäller olika identifikationsuppgifter och uppgifter om speciell kompetens kan Migrationsverket registrera sådana uppgifter redan i dag i verkets verksamhetsregister. Det följer av 4 § p. 11–p. 13 nuvarande utlänningsdataförordning. Enligt utredningen bör sådan registrering vara möjlig även i fortsättningen.
När det däremot gäller sådana avvikelseregistreringar som Migrationsverket vill kunna göra beträffande offentliga biträden, tolkar, översättare och språkanalytiker tillåter gällande rätt inte sådan behandling i Migrationsverkets verksamhetsregister. Det sammanhänger med att den nuvarande utlänningsdataförordningen innehåller bestämmelser om vilka kategorier av personuppgifter som får behandlas i ett verksamhetsregister. Dessa bestämmelser gör det inte möjligt att registrera uppgifter om avvikelser av det slag som Migrationsverket vill kunna göra.
Den kommande regleringen på utlänningsdataområdet som utredningen föreslår kommer däremot inte att innehålla några motsvarande bestämmelser om registerinnehåll. Det innebär att det följer av utredningens allmänna förslag att det kommer att vara möjligt att behandla avvikelseuppgifter förutsatt att behandlingen ryms inom den nya lagstiftningens ändamål och uppfyller de grundläggande kraven i 9 § PUL. De ändamål som utredningen föreslår – bland annat handläggning av ärenden samt tillsyn, kontroll, uppföljning och planering av verksamheten – kommer alltså att göra det möjligt för Migrationsverket att registrera avvikelser av här aktuellt slag (se avsnitt 7.9). Frågan är då närmast om Migrationsverket bör ha denna möjlighet eller om det bör föreslås någon begränsning i detta
hänseende i förhållande till de allmänna bestämmelserna om ändamål m.m. En sådan registrering kan anses som känslig från integritetssynpunkt. Även om uppgifterna i sig inte är särskilt integritetskänsliga, kan registreringen få kännbara konsekvenser för de registrerade. Samtidigt är det, som verket framhåller, en viktig rättssäkerhetsfråga att enskilda sökande, som ofta befinner sig i en mycket utsatt position i asylprocessen, möts av seriösa och professionella aktörer. Frågan om avvikelseregistrering är med andra ord komplex. I det följande tar utredningen upp några olika aspekter på frågan hur man bör se möjligheten för verket att registrera avvikelser.
8.3.2. Problemens omfattning och allvar
När det till en början gäller att skapa sig en bild av problemen med misskötta uppdrag är det trots Migrationsverkets redogörelser ganska svårt att närmare ringa in dessa. Verket pekar på olika avvikelser – även när det gäller advokater och deras biträdande jurister – på ett relativt övergripande sätt, se avsnitt 8.2.2. Migrationsverket har dock framhållit att verket med hänsyn till nu gällande lagstiftning inte har möjlighet att ta fram något mer väldokumenterat underlag om avvikelsefrekvens och problemens allvar.
Den förteckning som Migrationsverket använder för offentliga biträden vars lämplighet för biträdesuppdraget kan ifrågasättas (se avsnitt 8.2.1) ger inte heller någon direkt klar bild av problematiken. Förteckningen innehåller i dag ca 20 biträden (inklusive advokater och biträdande jurister vid advokatbyråer). Uppgift saknas dock om hur stor andel av de registrerade uppdragstagarna som i dag eller över tid utgörs av den grupp som omfattas av utredningens uppdrag, även om fördelningen mellan aktuella yrkesgrupper över tid enligt Migrationsverket synes vara relativt jämn. Härtill kommer den osäkerhet i fördelningen som eventuellt uppstått genom att Migrationsverket under viss tid i första hand valt att förordna advokater och biträdande jurister vid advokatbyråer som biträden, se avsnitt 8.2.1. Det är inte heller självklart om antalet registrerade på förteckningen bör jämföras med det totala antalet personer som anmält intresse att förordnas som offentligt biträde (ca 2 000 personer) eller med antalet vanligt förekommande personer som offentliga biträden (ca 200–300 personer).
Migrationsverket har inte någon motsvarande förteckning för tolkar, översättare och språkanalytiker. Någon uppföljning av hur ofta sådana tjänster har reklamerats och skälen för detta finns inte heller. Enligt uppgift till utredningen, som nämnts ovan, uppskattar dock Migrationsverket att antalet avvikelserapporteringar av tolktjänster till tolkförmedlingarna stadigt ökar sedan år 2009 och att de i dag uppgår till ca 2 000−3 000 rapporteringar per år. Utöver detta finns enligt Migrationsverket ett mörkertal av ej rapporterade avvikelser.
Migrationsverkets svårigheter att närmare belysa avvikelserna får dock inte innebära att de påtalade problemen bagatelliseras. Utredningen ifrågasätter inte Migrationsverkets påståenden om att problem med olämpliga uppdragstagare går ut över enskildas rättssäkerhet. Att redovisade problem finns har även framhållits och dokumenterats i flera tidigare genomförda statliga utredningar (se bland annat omnämnda utredningar i avsnitt 8.1, SOU 2004:15 och Migrationsverkets och UNHCR:s rapport år 2011 Kvalitet i svensk asylpröv-
ning). Problemen har även bekräftats av olika aktörer inom verk-
samhetsområdet som utredningen har varit i kontakt med. Behovet av en strukturerad hantering av avvikelseregistreringar hos Migrationsverket måste även ses i ljuset av den stora mängd beslut som Migrationsverket årligen fattar avseende förordnanden av offentliga biträden (17 370 förordnanden år 2014) och anlitanden av andra uppdragstagare (sannolikt över ca 200 000 tolkuppdrag per år).
Utredningens slutsats är att det finns ett rättssäkerhetsproblem med olika uppdragstagare som i en inte obetydlig omfattning missköter sina uppdrag eller uppträder på sådant sätt att det kan gå ut över enskilda sökande.
8.3.3. Alternativa sätt till personregistreringar
Frågan är då hur man bäst åtgärdar det beskrivna rättssäkerhetsproblemet. Utredningen vill här peka på några sätt som kanske skulle kunna minska problemet och som inte innefattar någon integritetskänslig personuppgiftsbehandling. Metoderna tar i huvudsak sikte på offentliga biträden.
Migrationsverket administrerar som redovisats ovan i dag frågor som rör offentliga biträden med hjälp av ett särskilt it-stöd, som är
knutet till en förteckning över alla som anmält intresse för att åta sig uppdrag som offentligt biträde hos verket, se avsnitt 8.2.1. Alla som anmält intresse för att åta sig uppdrag tas således upp på förteckningen utan att någon kontroll av deras lämplighet för sådana uppdrag görs i detta skede.
Även vissa domstolar använder sig av förteckningar som hjälpmedel när de förordnar olika uppdragstagare. Till skillnad från Migrationsverkets rutiner gör dock domstolarna vanligtvis en förhandsprövning av de intresserade personernas lämplighet för uppdragen innan personerna tas upp i förteckningen. De personer som inte anses lämpliga utifrån vissa i förväg angivna kriterier förs alltså inte upp på förteckningen. Även om skillnader givetvis finns mellan domstolars och Migrationsverkets förordnande av uppdragstagare, bland annat eftersom offentliga biträden som inte är advokater eller biträdande jurister torde vara mindre vanligt förekommande vid domstolarna, anser utredningen att det finns ett visst intresse att fundera över hur motsvarande förteckningar skulle kunna fungera hos Migrationsverket. Generellt sett är det mindre integritetskänsligt att behandla uppgifter om biträden är lämpliga än att behandla uppgifter om biträden vars lämplighet kan ifrågasättas. Enligt utredningen borde en motsvarande förteckning kunna ha en viss funktion även hos Migrationsverket för att säkerställa att vissa olämpliga uppdragstagare inte förordnas som offentliga biträden. Med hänsyn till det stora antalet biträden som finns registrerade hos Migrationsverket i dag (ca 2 000 personer) skulle det inledningsvis krävas en betydande arbetsinsats att ta fram en sådan förteckning. Men det arbetet bör endast vara temporärt. Vilka närmare kriterier som en person måste uppfylla för att tas upp i en sådan förteckning bör verket självt bestämma. Saklighet och opartiskhet måste dock iakttas och bedömningen måste även göras på ett tillräckligt kvalificerat sätt. Även om ett allmänt kriterium om lämplighet därför inte torde kunna ställas, borde en förteckning av beskrivet slag enligt utredningen i viss mån generellt kunna minska riskerna för att olämpliga biträden förordnas. Förteckningen skulle dock inte innehålla uppgifter om avvikelser och skulle därför inte fylla de syften som Migrationsverket efterfrågar.
En annan metod att komma tillrätta med problemen kan vara att konsekvent och systematiskt återkoppla till berörda personer när de har misskött sitt uppdrag. I de fall ett uppdrag som offentligt biträde, tolk, översättare eller språkanalytiker inte har utförts på ett
tillfredsställande sätt är det naturligt att försöka komma till rätta med problemet genom att reklamera tjänsten. Det bör i vart fall kunna ha den betydelsen att en uppdragstagare inte återfaller i samma misskötsamhet. En konsekvens av reklamationerna skulle också kunna vara att en uppdragstagare som misskött sig inte får nya uppdrag. Migrationsverket reklamerar redan i dag misskötta uppdrag. Verkets erfarenhet är dock att sådan återkoppling inte har någon nämnvärd betydelse för att mer generellt höja kvaliteten på uppdragens utförande. Ett problem i sammanhanget är också att de tjänstemän hos Migrationsverket som förordnar olika uppdragstagare inte har kännedom om alla reklamationer som har gjorts. Sammantaget menar utredningen att det är viktigt att verket konsekvent och systematiskt återkopplar om uppdrag har utförts på ett oacceptabelt sätt men att metoden sannolikt mer generellt inte har någon större betydelse för att komma tillrätta med dagens problem.
I sammanhanget ska framhållas att uppdragstagare kan bytas ut eller entledigas om de inte utför sina uppdrag på ett tillfredsställande sätt, se 5 § lagen om offentligt biträde och 26 § rättshjälpslagen. Byte av biträde får dock endast ske om det finns särskilda skäl och, om byte redan har skett en gång, krävs det synnerliga skäl. Ett offentligt biträde får entledigas om skäl föreligger, men då endast i det enskilda fallet. Någon möjlighet att även förklara att ett offentligt biträde ska vara obehörigt att vara biträde antingen för viss tid eller tillsvidare finns alltså inte för Migrationsverket. En sådan möjlighet har däremot de allmänna domstolarna och de allmänna förvaltningsdomstolarnas när det gäller ombud och försvarare, se 12 kap. 5 § och 21 kap. 3 §rättegångsbalken (1942:740) samt 48 § förvaltningsprocesslagen (1971:291). När det gäller entledigande av tolkar, översättare och språkanalytiker finns bestämmelser härom i första hand i de uppdragsavtal som Migrationsverket slutit med anlitade tolkförmedlingar, översättningsbyråer och språkanalysföretag. I många fall får dock Migrationsverket i praktiken kännedom om uppdragstagares brister först efter att ett uppdrag har avslutats. Detta innebär att möjligheten att besluta om byte eller entledigande av viss uppdragstagare inte längre finns kvar. För att byten eller entlediganden ska kunna beaktas när Migrationsverket förordnar uppdragstagare måste även berörda tjänstemän ha kännedom om vilka uppdragstagare som har bytts ut och entledigats på grund av avvikelser. Någon tillgång till sådana uppgifter finns inte i dag. Möjligheten att
byta ut och entlediga olämpliga uppdragstagare framstår alltså inte som en så effektiv åtgärd för att komma till rätta med här aktuella problem.
Sammanfattningsvis menar utredningen att de åtgärder som utredningen här kort berört bör kunna bidra något till att komma till rätta med problemen med olämpliga uppdragstagare. Men åtgärderna kan inte anses som tillräckliga.
8.3.4. Förväntad nytta av avvikelseregistreringar
Även om utredningen ovan funnit att det inte finns något tillfredställande alternativ till registreringar av avvikelser, bör även nyttan av sådana registreringar övervägas. Denna nytta måste bedömas mot bakgrund av de krav som gäller för behandlingen av sådana personuppgifter. Eller annorlunda uttryckt, vilka uppgifter verket kan behandla när det gäller misskötsamhet eller annat oacceptabelt uppträdande hos anlitade uppdragstagare.
Vid avvikelseregistreringar av aktuellt slag måste Migrationsverket iaktta de grundläggande kraven på behandling av personuppgifter, se 9 § PUL. Det innebär bland annat att uppgifter som registreras ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att de även ska vara riktiga och aktuella. Dessa krav föranleder frågor om vilka slags avvikelser som lagligen kan registreras. Registreringen får inte grunda sig på godtycke. Det sagda torde innebära att Migrationsverket endast kan registrera objektiva och klara avvikelser utan något större utrymme för olika värderingar av avvikelsernas allvar. När det gäller offentliga biträden kan det exempelvis röra sig om att ett biträde, trots anvisning härom, inte har överklagat verkets beslut i ett ärende eller gett in ett överklagande för sent, att biträdet begått visst brott och att biträdet försatts i konkurs. Mer tveksamt är det däremot att registrera uppgifter som rör olika försumligheter i processföringen. Sådana försumligheter måste normalt vara uppenbara. När det gäller tolkar, översättare och språkanalytiker måste det enligt utredningens uppfattning röra sig om flagranta och otvetydiga misstag i utförandet av uppdraget för att registrering ska vara möjlig.
Vidare är det väsentligt att Migrationsverket säkerställer att en eventuell registrering av allvarliga avvikelser inte i praktiken innebär
en formlös obehörighetsförklaring för viss uppdragstagare att ta uppdrag hos verket i framtiden. Särskilt JO har varit tydlig med att ett sådant agerande i liknande situationer inte är tillåtet (se bland annat JO 2008/09 s. 36 om Kritik mot en lagman för att tingsrätten formlöst avstår från att förordna en viss advokat som offentlig försvarare och JO 2010/11 s. 308 ”Svartlistning” av offentliga biträden i utlänningsärenden).
Sammanfattningsvis torde det enligt utredningen bli ganska få typer av avvikelser som skulle kunna registreras för de olika uppdragstagarna. Den stora nyttan med en möjlighet att registrera avvikelser är dock enligt utredningens bedömning att Migrationsverket får en större möjlighet att agera utanför det enskilda fallet, eftersom de tjänstemän som förordnar och anlitar aktuella uppdragstagare får kännedom om avvikelserna. Uppgifterna om avvikelser kan då utgöra en del av underlaget inför beslut om ett uppdrag hos verket. Avsikten med avvikelseregistreringen är alltså inte att den ska innebära något formligt uteslutande av uppdragstagaren. Den syftar till att uppmärksamma tjänstemännen i Migrationsverket på att en viss uppdragstagare i ett visst fall kan vara olämplig. En registrering ska inte ses som bindande.
8.3.5. Integritetsaspekter m.m.
Integritetsriskerna med registreringar av här aktuellt slag ska bedömas utifrån att uppgifterna främst rör uppdragstagares redbarhet och hur uppdragstagare fullgör sina uppdrag. Mot den bakgrunden kan hävdas att uppgifterna i sig inte framstår som särskilt integritetskänsliga. Å andra sidan kan registreringen anses som känslig, eftersom den på ett officiellt sätt pekar ut personer som olämpliga. Registreringen kan därigenom få karaktären av en s.k. formlös obehörighetsförklaring. Även om i princip bara objektiva och klara avvikelser registreras, är det svårt att veta om dessa alltid i det enskilda fallet är relevanta för att bedöma en persons lämplighet för framtida uppdrag. I många fall kan det vara svårt att dra några säkra slutsatser rörande exempelvis en persons lämplighet som biträde utifrån misstag som biträdet har begått i ett eller ett par ärenden. Det finns också en risk att en registrering av en avvikelse kan få betydelse för den enskilde uppdragstagaren under lång tid. Uteblivna uppdrag
kan exempelvis få stor ekonomisk betydelse för personer som brukar få uppdrag.
Integritetsriskerna ska dock enligt utredningen inte överdrivas. Det får förutsättas att Migrationsverket kan göra de bedömningar som föregår en registrering på ett rättssäkert sätt. Verket måste skapa en ordning och systematiska rutiner för hur registreringar ska gå till. En planerad registrering bör vidare som regel alltid kommuniceras med den berörda uppdragstagaren så att han eller hon har en möjlighet att förklara eventuell misskötsamhet.
8.3.6. Sammanfattande slutsatser
Migrationsverket har alltså efterfrågat en möjlighet att få registrera uppgifter om speciell kompetens och avvikelser för offentliga biträden, tolkar, översättare och språkanalytiker. Utredningens uppdrag vad gäller offentliga biträden har dock begränsats till andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer.
Den centrala frågan gäller om Migrationsverket bör få behandla avvikelseregistreringar. Här måste en sedvanlig intresseavvägning göras; en intresseavvägning mellan den nytta och de integritetsrisker som en sådan registrering kan antas medföra. När det gäller vilken nytta som en möjlighet till registrering kan antas medföra konstaterar utredningen att det i dag finns problem med att olika aktörer missköter sig i asylprocessen och att detta många gånger innebär ett rättssäkerhetsproblem. Det är givetvis mycket allvarligt. En avvikelseregistrering bör enligt utredningen kunna bidra till att åtgärda dessa problem. Det finns knappast något tillfredsställande alternativ till en sådan registrering. Utredningen menar även att de integritetsrisker som registreringar av avvikelser kan innebära bör kunna hanteras på ett tillfredsställande sätt av Migrationsverket. Sammanfattningsvis bör Migrationsverket därför tillåtas att registrera avvikelser för aktuella yrkesgrupper. Intresset av att främja rättssäkerheten i migrationsprocessen väger enligt utredningen tyngre än de integritetsrisker och andra aspekter som talar emot.
8.3.7. Behov av författningsreglering m.m.
Det finns inget behov av någon särskild reglering som tillåter Migrationsverket att registrera identitetsuppgifter, speciell kompetens och avvikelser för aktuella uppdragstagare. Denna möjlighet kommer nämligen att följa av lagens ändamålsbestämmelser (se avsnitt 7.9).
Utredningen har, som tidigare nämnts, inte i uppdrag att överväga förutsättningarna för att ge Migrationsverket en möjlighet att registrera uppgifter om offentliga biträden som är advokater och biträdande jurister anställda vid advokatbyråer. Dessa kategorier har uttryckligen undantagits från utredningens uppdrag. Frågan är då om lagstiftningen bör utformas på sådant sätt att det formellt inte blir möjligt för Migrationsverket att registrera avvikelser beträffande advokater och deras biträdande jurister. Utredningen anser inte att detta är nödvändigt. Genom utredningens direktiv är klart att regeringen anser att sådan registrering inte ska förekomma. Utredningen menar att man kan utgå från att Migrationsverket därför kommer att avstå från sådana avvikelseregistreringar. Något undantag av berört slag behövs därför inte.
De uppgifter som kommer att registreras rörande aktuella uppdragstagare torde normalt inte omfattas av någon sekretess hos Migrationsverket. Uppgifterna är enligt utredningen knappast heller av den karaktären att sekretess bör gälla för dem. Uppgifterna har ett allmänt intresse inte minst om de visar att uppdragstagare missköter sina uppdrag. Det finns också ett intresse av insyn i Migrationsverkets hantering av här aktuella uppgifter. Vidare är uppgifterna i sig inte särskilt känsliga för de berörda. Mot denna bakgrund föreslår inte utredningen några sekretessregler för uppgifterna. Detta innebär att det inte finns något hinder för Migrationsverket att låta domstolar och andra myndigheter ta del av uppgifterna.
Däremot menar utredningen att det finns behov av en särskild regel om gallring av uppgifter om avvikelser. Utan en sådan regel skulle anteckningar om avvikelser kunna bevaras enligt arkivlagens regler (se avsnitt 7.16). Som utredningen utvecklat ovan kan registrering av avvikelseuppgifter vara integritetskänslig.
En regel om gallring bör tas in i den kommande utlänningsdataförordningen och innebära att personuppgifter som Migrationsverket behandlar automatiserat därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämpliga för framtida
uppdrag ska gallras senast viss tid efter det att uppgiften registrerades. Av integritetsskäl bör denna tid vara ganska kort. Man skulle kunna överväga att ha olika gallringstider beroende på vad det är fråga om för slag av avvikelseregistrering. Praktiska skäl talar dock enligt utredningen för att bara ha en gallringstid. Utredningen föreslår att denna tid bestäms till två år. I den kommande utlänningsdatalagen bör det erinras om att regeringen kan meddela närmare föreskrifter om gallring.
Med endast en gallringstid som dessutom är förhållandevis kort kan det i undantagsfall bli aktuellt att registrera uppgifter som har gallrats på nytt. Det förutsätter förstås att uppgifterna fortfarande är adekvata och relevanta i förhållande till ändamålen med behandlingen och att uppgifterna är aktuella. Ett exempel på ett sådant fall kan vara om ett biträde har begått ett allvarligt brott som alltjämt efter två år kan påverka biträdets lämplighet som offentligt biträde.
En särskild fråga med avvikelseregistreringar är huruvida en av Migrationsverket beslutad registrering kan överklagas av den berörde. Det ingår i utredningens uppdrag att överväga detta. Genom kammarrätten i Sundsvalls dom den 8 juli 2014 i mål nr 871-14 (se avsnitt 8.2.1) får det enligt utredningen anses klarlagt att avvikelseregistreringar som Migrationsverket kommer att göra beträffande uppdragstagare inte är överklagbara. Sådana beslut kommer i likhet med dagens beslut nämligen att sakna rättsverkningar och ska inte heller på annat sätt uppfattas som bindande av Migrationsverkets tjänstemän. Enligt utredningen är detta en rimlig ordning. Det saknas därför anledning att överväga någon möjlighet för den enskilde att kunna överklaga en registrering i detta sammanhang.
En speciell aspekt som manar till försiktighet när det gäller avvikelseregistreringar är den processordning som nu råder. Migrationsverket är första instans vid prövning av ett utlänningsärende men sökandens motpart vid ett överklagande till en migrationsdomstol. Om verket registrerar avvikelser, skulle sådana registreringar kunna göras då målet handläggs i en migrationsdomstol beträffande verkets motparts offentliga biträde. Om verket skulle utnyttja denna möjlighet, finns en risk för att den enskildes förtroende för verket skadas. Även i en sådan situation är kraven på opartiskhet och saklighet av betydelse, eftersom ett biträdes agerande eller underlåtenhet att agera kan bero av processtaktiska övervägande. Denna fråga påkallar dock inte någon särskild författningsreglering.
9. Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd
9.1. Inledning
Den 15 december 2008 infördes de nuvarande reglerna för arbetskraftsinvandring. Reglerna är utformade på ett sätt som syftar till att underlätta för arbetskraftsinvandring till Sverige. För att motverka missbruk av reglerna och utnyttjande av utländsk arbetskraft utarbetade Justitiedepartementet år 2013 bland annat en departementspromemoria Åtgärder mot missbruk av reglerna för arbetskrafts-
invandring (Ds 2013:57).
I promemorian föreslogs bland annat att Migrationsverket under löpande tillståndstid ska få möjlighet att utföra efterkontroller avseende beviljade arbetstillstånd. Det föreslogs också bestämmelser om återkallelse av uppehållstillstånd som beviljats för arbete om förutsättningarna för arbetstillståndet inte längre är uppfyllda eller om det arbete som arbetstillståndet beviljats för inte påbörjats inom rimlig tid.
För att Migrationsverkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd ska kunna ske snabbt och effektivt var det enligt promemorian angeläget att Migrationsverket har tillgång till vissa uppgifter hos Skatteverket, Kronofogdemyndigheten och Försäkringskassan. I promemorian föreslogs därför bestämmelser som medger Migrationsverket direktåtkomst till uppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas.
Promemorian remissbehandlades och bland annat Datainspektionen och Försäkringskassan kritiserade promemorians förslag om direktåtkomst.
Datainspektionen anförde i sitt remissvar att det kan innebära ett betydande intrång i de registrerades personliga integritet om en myndighet, för dess särskilda verksamhet, ges direktåtkomst till en samling av personuppgifter som en annan myndighet samlat in om enskilda personer för helt andra specifika verksamhetsändamål. Vidare ansåg inspektionen att de föreslagna sekretessbrytande bestämmelserna var otydliga och inkonsekventa samt att det behövdes tekniska spärrar som uppfyller kravet på integritetsskyddande begränsningar av Migrationsverkets direktåtkomst. Enligt Datainspektionen behövdes det också ytterligare analys av vilka uppgifter som är nödvändiga för Migrationsverket att inhämta och vilka ändringar som krävdes i den registerförfattning som reglerar Migrationsverkets behandling av personuppgifter.
Försäkringskassan ansåg att utformningen av den sekretessbrytande bestämmelsen som rör socialförsäkringsdatabasen inte bryter sekretessen på ett sådant sätt att den kan läggas till grund för direktåtkomst.
I propositionen Åtgärder mot missbruk av reglerna för arbetskrafts-
invandring (prop. 2013/14:227) behandlades promemorians lagför-
slag förutom såvitt avser direktåtkomsten. Mot bakgrund av remisskritiken bedömde regeringen att förslaget i den delen behövde analyseras ytterligare. Utredningen har därför fått i uppgift att
- analysera uppgiftsbehovet hos Migrationsverket när det gäller arbetet med handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd,
- analysera förutsättningarna för att ge Migrationsverket direktåtkomst till dessa uppgifter och, om analysen ger stöd för att sådana förutsättningar finns, ta fram förslag till sådana bestämmelser,
- om utredningen gör bedömningen att bestämmelser om direktåtkomst inte går att motivera, föreslå bestämmelser som möjliggör någon annan form av elektroniskt utlämnande som tillgodoser önskvärda krav på effektivitet och integritet för den enskilde,
- utreda om det finns behov av och bör införas särskilda sekretessbrytande bestämmelser som gör att Migrationsverket kan få tillgång till efterfrågade uppgifter och i så fall ge förslag till hur de bör utformas och
- utreda vilka tekniska eller andra begränsningar som måste finnas för att inte överskottsinformation ska röjas för Migrationsverket.
9.2. Allmänt om Migrationsverkets handläggning av uppehållstillstånd för arbete och arbetstillstånd
9.2.1. Den rättsliga regleringen för handläggningen
Allmänt
För att upptäcka, förebygga och motverka missbruk av reglerna för arbetskraftsinvandring och för att förhindra utnyttjande av utländsk arbetskraft arbetar Migrationsverket med olika typer av kontroller. Kontroller sker dels vid tillståndsgivningen för uppehållstillstånd och arbetstillstånd, dels efter information från exempelvis en annan myndighet som har fått kännedom om att det finns skäl att överväga återkallelse av ett tillstånd. Migrationsverket utför också systematiska kontroller under tillståndstiden, se bland annat ovannämnd prop. 2013/14:227 s. 13 f.
Tillståndsgivning för uppehållstillstånd och arbetstillstånd
Bestämmelser om uppehållstillstånd och arbetstillstånd liksom villkoren för sådana tillstånd finns i utlänningslagen (2005:716, UtlL) och utlänningsförordningen (2006:97, UtlF). Av dessa bestämmelser framgår bland annat följande.
Migrationsverket får bevilja en utlänning ett tidsbegränsat uppehållstillstånd om utlänningen önskar vistas här i landet för antingen arbete eller för att bedriva näringsverksamhet, se 5 kap. 10 § UtlL.
Förutsättningar för Migrationsverket att bevilja en utlänning arbetstillstånd anges i 6 kap. UtlL. En grundläggande förutsättning för att arbetstillstånd ska beviljas en utlänning som erbjudits en anställning är att anställningen ska göra det möjligt för utlänningen att försörja sig, se 6 kap. 2 § första stycket 1 UtlL. Det innebär bland
annat att arbetstiden måste vara av sådan omfattning att inkomsten från anställningen inte är så låg att han eller hon behöver försörjningsstöd enligt 4 kap. 1 § socialtjänstlagen (2001:453) för att täcka kostnaderna för bland annat boende och uppehälle, se prop. 2007/08:147 s. 59.
En annan grundläggande förutsättning för arbetstillstånd är att de erbjudna anställningsvillkoren (lön, försäkringsskydd och övriga anställningsvillkor) inte får vara sämre än de villkor som följer av svenska kollektivavtal eller praxis inom yrket eller branschen, se 6 kap. 2 § första stycket 2 UtlL.
Arbetstillstånd ska ges för en tidsperiod motsvarande anställningstiden, dock längst två år, se 6 kap. 1 och 2 a §§ UtlL. Arbetstillståndet kan förlängas vid ett eller flera tillfällen. Den sammanlagda tillståndstiden får dock vara längst sex år.
Ett arbetstillstånd ska knytas till en viss arbetsgivare och avse ett visst slag av arbete. Efter en sammanlagd tillståndstid om två år ska tillståndet endast knytas till ett visst slag av arbete, se 6 kap. 2 a § tredje stycket UtlL.
Som framgår av 5 kap. 15 a § UtlL får ett tidsbegränsat uppehållstillstånd även i vissa fall beviljas en utlänning vars ansökan om uppehållstillstånd som flykting eller annan skyddsbehövande avslagits genom ett lagakraftvunnet beslut, om utlänningen vistas här och sedan minst fyra månader har en anställning som uppfyller vissa angivna krav och avser en tidsperiod om minst ett år från ansökningstillfället. En ansökan om tidsbegränsat uppehållstillstånd ska ha kommit in till Migrationsverket senast två veckor efter det att beslutet att avslå ansökan om uppehållstillstånd som flykting eller annan skyddsbehövande har vunnit laga kraft.
I 5 kap. 5 § UtlL finns bestämmelser om permanenta uppehållstillstånd och uppehållstillstånd för att bedriva näringsverksamhet. Av paragrafen följer bland annat att sådant uppehållstillstånd får beviljas en utlänning som ska bedriva näringsverksamhet endast om hon eller han har förmåga att bedriva den aktuella verksamheten.
Efterkontroller
Migrationsverkets rätt att göra efterkontroller regleras i 6 kap. 6 a § UtlF. Av den paragrafen framgår det att Migrationsverket får kontrollera att den som har beviljats arbetstillstånd enligt 6 kap. 2 § första stycket UtlL har påbörjat arbetet inom fyra månader från tillståndets första giltighetsdag och att förutsättningarna för arbetstillståndet enligt den bestämmelsen är uppfyllda under tillståndstiden.
Återkallelser av uppehållstillstånd och arbetstillstånd
Bestämmelser om återkallelse av bland annat uppehållstillstånd och arbetstillstånd för utlänningar finns i 7 kap. UtlL. Återkallelse får ske under de förutsättningar som framgår av 7 kap. 1–7 e §§ UtlL. Uppehållstillstånd och arbetstillstånd får exempelvis återkallas för en utlänning som medvetet har lämnat oriktiga uppgifter eller medvetet har förtigit omständigheter som varit av betydelse för att få tillståndet. Om utlänningen har vistats här i landet i mer än fyra år med uppehållstillstånd, får uppehållstillståndet dock återkallas endast om det finns synnerliga skäl för det. Ytterligare exempel på när uppehållstillstånd får återkallas för en utlänning som rest in i landet är om utlänningen bedriver verksamhet som kräver ett arbetstillstånd utan att ha ett sådant tillstånd. Vidare får återkallelse ske om utlänningen har beviljats arbetstillstånd enligt 6 kap. 2 § första stycket UtlL och anställningen upphört, om inte utlänningen inom tre månader har fått en ny anställning som omfattas av arbetstillståndet eller inom samma tid ansökt om arbetstillstånd med anledning av en ny anställning och ansökan därefter beviljas.
Vid bedömningen av om uppehållstillståndet bör återkallas i nämnda situationer för en utlänning som har rest in i landet ska enligt 7 kap. 4 § UtlL hänsyn tas till den anknytning som utlänningen har till det svenska samhället och till om andra skäl talar mot att tillståndet återkallas. Vid en sådan bedömning ska särskilt beaktas 1) utlänningens levnadsomständigheter, 2) om utlänningen har barn i Sverige och, om så är fallet, barnets behov av kontakt med utlänningen, hur kontakten har varit och hur den skulle påverkas av att utlänningens uppehållstillstånd återkallas, 3) utlänningens övriga familjeförhållanden och 4) hur länge utlänningen har vistats i Sverige.
Vidare ska ett tidsbegränsat uppehållstillstånd för arbete för en utlänning som har beviljats arbetstillstånd enligt 6 kap. 2 § första stycket UtlL återkallas om antingen förutsättningarna för arbetstillståndet enligt 6 kap. 2 § första stycket UtlL av något annat skäl än att anställningen har upphört inte längre är uppfyllda eller om utlänningen inte inom fyra månader från tillståndets första giltighetsdag påbörjat arbetet, se 7 kap. 7 e § UtlL.
Av 7 kap. 8 § UtlL framgår det att det är Migrationsverket som beslutar om återkallelse av uppehålls- och arbetstillstånd.
9.2.2. Migrationsverkets uppfattning om behovet av direktåtkomst till vissa personuppgifter
Allmänt
Migrationsverket har i olika sammanhang gett uttryck för ett behov av författningsändringar i syfte att uppnå en snabbare och effektivare handläggning av arbetstillståndsärenden (se bland annat Migrationsverkets framställan till Justitiedepartementet i juni 2012, dnr Ju 2012/4975/EMA, och Migrationsverkets yttrande rörande förslaget om åtgärder mot missbruk av reglerna för arbetskraftsinvandring i november 2013, dnr Ju 2013/6287/L7). Samma synpunkter har förts fram till utredningen. Ändringarna som Migrationsverket efterlyser är ett rättsligt stöd för verket att bland annat få direktåtkomst till information hos andra myndigheter vid denna handläggning. I detta avsnitt beskrivs bakgrunden till Migrationsverkets begäran om direktåtkomst i förevarande fall och Migrationsverkets uppfattning om hur behovet av direktåtkomst till vissa personuppgifter ser ut.
Ändringen av reglerna för arbetskraftsinvandring år 2008 medförde att arbetsuppgifter i form av avgörande bedömningar rörande anställningsvillkor m.m. − i första hand lön och försäkringsskydd − flyttades från Arbetsförmedlingen till Migrationsverket. Utöver dessa arbetsuppgifter har Migrationsverket, som redovisats i avsnitt 9.1.1, även i uppgift att motverka missbruk av reglerna och systematiskt arbeta för att upptäcka missbruk som exempelvis skenanställningar. Hösten 2014 utvidgades Migrationsverkets ansvarsområde ytterligare, vilket innebar att verket numera inte bara ska pröva ansökningar om uppehålls- och arbetstillstånd grundade på anställning utan även göra kontroller under löpande tillståndstid som kan leda till ärenden om
återkallelse av tillstånd. Redan innan kontrollbestämmelserna infördes uppmärksammade Migrationsverket behovet av mer kontroll i vissa kategorier av ärenden. Sedan januari 2012 genomförs därför fördjupade utredningar av ansökningar som rör anställning inom vissa branscher. Det gäller bland annat städbranschen, hotell- och restaurangbranschen, byggnadsbranschen och serviceyrken. Den fördjupade utredningen tar i allmänhet sikte på förhållanden som rör arbetsgivaren och innebär kontroll exempelvis av att det bedrivs en faktisk verksamhet, att arbetsgivaren sköter inbetalning av skatter och avgifter och att verksamheten uppnår sådana resultat att det finns en realistisk förutsättning för arbetsgivaren att anställa mer personal. Utredningarna anpassas efter förhållandena i det enskilda fallet.
För att Migrationsverket ska kunna handlägga dessa ärenden om uppehållstillstånd och arbetstillstånd behöver verket tillgång till uppgifter av ekonomisk art från olika aktörer, både rörande arbetstagare och arbetsgivare. Uppgifter från vissa myndigheter behövs bland annat för att kontrollera tillförlitligheten i de uppgifter som den utländske arbetstagaren, efter arbetsgivarens medverkan, lämnar i sin ansökan. Uppgifter behövs även avseende egna företagare, eftersom krav på uppehållstillstånd (men inte arbetstillstånd) finns även för dem.
Migrationsverkets mål är att all handläggning av nämnda tillståndsärenden ska ske digitalt, eftersom verket kontinuerligt arbetar med att förbättra den digitala processen både vad gäller ansökningsproceduren och handläggningen. Vidare är det Migrationsverkets ambition att ansökningar i pappersform ska skannas för att kunna handläggas digitalt. Migrationsverket anser att det är av stor vikt att alla handläggningsmoment kan utföras i den digitala miljön och att även nödvändiga kontroller hos andra myndigheter kan göras digitalt och utan tidsspillan.
Berörda myndigheter
I dag inhämtar Migrationsverket relevanta uppgifter för kontrollerna som beskrivits ovan från Skatteverket, Kronofogdemyndigheten, Försäkringskassan samt Bolagsverket. De är även, med undantag för Bolagsverket, från dessa myndigheter som Migrationsverket vill att informationsutbytet i framtiden ska ske genom direktåtkomst. Upp-
gifterna från Försäkringskassan finns i Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Vad gäller Migrationsverkets informationsutbyte med Bolagsverket har det visat sig att det utbytet kan lösas utan ytterligare författningsreglering. Utredningen berör därför inte vidare frågan om Migrationsverkets tillgång till information hos Bolagsverket.
Ärenden där effektivare informationsutbyte efterfrågas
Migrationsverket anser att direktåtkomsten bör vara möjlig vid handläggning av följande fyra kategorier av ärenden.
Arbetstillståndsärenden enligt 6 kap. 2 § första stycket UtlL och uppehållstillståndsärenden enligt 5 kap. 15 a § UtlL .
När det gäller förstagångsansökan om uppehålls- och arbetstillstånd grundad på anställning ligger tyngdpunkten i Migrationsverkets prövning i att bedöma att den erbjudna lönen inte är sämre än vad som följer enligt tillämpligt kollektivavtal. Därutöver kontrollerar verket att arbetsgivaren avser att teckna försäkringar i enlighet med vad kollektivavtal kräver, att anställningen utannonserats, att den sökande har giltigt pass och kan styrka sin identitet. Dessutom kontrollerar verket sökandens vandel genom slagningar i misstanke- och belastningsregistren och kontroll görs även av att sökanden inte förekommer i Schengen Information System (SIS). Migrationsverket gör även fördjupade utredningar i vissa av dessa ärenden rörande vissa branscher och dessa utredningar tar i första hand sikte på förhållandena rörande arbetsgivaren.
I samband med ansökan om förlängda uppehålls- och arbetstillstånd kontrollerar Migrationsverket alltid anställningsvillkoren såvitt avser lön och försäkringar. Sökanden ska bifoga kontrolluppgifter för föregående år och lönespecifikationer rörande innevarande år. Migrationsverket kan då bedöma om arbetsgivaren uppfyllt sina åtaganden och om en förlängning kan beviljas. Om åtagandena inte uppfyllts, presumeras att arbetsgivaren inte heller i fortsättningen kommer att uppfylla villkoren och ansökan kan då komma att avslås. Om ett nytt uppehålls- och arbetstillstånd inte kan beviljas, avslås
ansökan och ett sådant beslut förenas i regel med ett beslut om utvisning.
En tredjelandsmedborgare som haft sammanlagt fyra års uppehållstillstånd för arbete under de senaste sju åren får beviljas permanent uppehållstillstånd. Bestämmelsen grundar sig på att personen i fråga genom sitt arbete här bidragit till samhällsutvecklingen och fått en stark koppling till landet. Migrationsverkets prövning består då i huvudsak av att kontrollera att den sökande verkligen haft anställning och arbetat under tillståndstiden samt att lön har betalats ut. Endast kortare frånvaro under de fyra åren accepteras som huvudregel.
Uppehållstillståndsärenden för egna företagare enligt 5 kap. 5 § andra stycket UtlL
Vad gäller uppehållstillstånd för egna företagare är det främst ansökningar om förlängning och permanent uppehållstillstånd som är av intresse. Det finns inte något krav på att egna företagare ska ha arbetstillstånd för att verka som företagare i Sverige, men däremot finns det krav på att de ska ha uppehållstillstånd. Även dessa ärenden kräver enligt Migrationsverket därför ekonomiska bedömningar. Exempelvis är en förutsättning att få ett permanent uppehållstillstånd alternativt förlängt uppehållstillstånd efter två år att företaget ger sådana ekonomiska resultat att företagaren − och i förekommande fall hans eller hennes familj − kan leva på inkomsterna från rörelsen. I samband med framför allt prövningen av permanent uppehållstillstånd krävs i princip alltid uppgifter från Skatteverket för att Migrationsverket ska kunna bedöma rörelsens resultat och utveckling.
Ärenden om efterkontroller enligt 6 kap. 6 a § UtlF
Migrationsverkets utredning i samband med efterkontroller har i huvudsak samma syfte som vid ansökan om förlängning, dvs. att kontrollera att anställningsvillkoren är uppfyllda. I regel kontaktar Migrationsverket arbetsgivaren och uppmanar denne att komma in med den dokumentation som krävs. Migrationsverket kan numera
även ålägga arbetsgivare att lämna uppgifter om anställningen, se 6 kap. 6 b § UtlF.
Vissa ärenden om återkallelse av uppehållstillstånd enligt 7 kap. UtlL
Vid bedömningar om uppehållstillstånd ska återkallas ska Migrationsverket bland annat bedöma om arbetstagaren har påbörjat anställningen inom fyra månader från beslutet om uppehållstillstånd eller om villkoren för arbetstillståndet inte är uppfyllda. I dessa ärenden måste Migrationsverket även bedöma om anställningen upphört eller om arbetstagaren beviljats tillstånd på grund av oriktiga uppgifter.
Precisering av efterfrågade personuppgifter
När det gäller vilka konkreta uppgifter som Migrationsverket anser sig ha behov av genom direktåtkomst har följande framkommit.
När det gäller arbetstagare efterfrågas i första hand uppgifter om vilken lön arbetstagaren fått, vilken arbetsgivare som betalat ut den, i vilken omfattning arbetstagaren arbetat samt anledningen till eventuell frånvaro från arbetsplatsen.
När det gäller arbetsgivare efterfrågas i första hand uppgifter om rörelsen i fråga, exempelvis organisationsform, verksamhetens art, antal anställda, omsättning, resultat, inbetalda skatter och avgifter. Efterfrågade uppgifter syftar till att få en bild av verksamheten och göra det möjligt att bedöma om det rör sig om en seriös och aktiv verksamhet och att det finns ekonomiska resurser att anställa personal.
Behovet av dessa uppgifter grundar sig främst på reglerna om de grundläggande förutsättningarna för att bevilja arbetstillstånd i 6 kap. 2 § första stycket UtlL, möjligheten för asylsökande att efter avslag ansöka om uppehålls- och arbetstillstånd på grund av anställning (s.k. spårbyte) i 5 kap. 15 a § UtlL, Migrationsverkets rätt att göra efterkontroller enligt 6 kap. 6 a § UtlF, arbetsgivares skyldighet att på begäran från Migrationsverket lämna uppgifter rörande en anställning i 6 kap. 6 b § UtlF samt reglerna om återkallelse av uppehållstillstånd då anställningen upphört i 7 kap. 3 § första stycket 2 UtlL och om återkallelse av uppehållstillstånd då arbetstagaren inte påbörjat
anställningen eller villkoren för tillståndet inte är uppfyllda i 7 kap. 7 e § UtlL.
De här aktuella uppgifterna vill alltså Migrationsverket inhämta genom direktåtkomst från Skatteverket, Kronofogdemyndigheten och Försäkringskassan. Vilka närmare uppgifter som verket anser att det finns behov av preciseras nedan.
Skatteverket
Vad gäller uppgifter från Skatteverket finns det enligt Migrationsverket i första hand behov av följande uppgifter i beskattningsdatabasen. I anslutningen till redovisningen kommenterar utredningen något de begrepp som är adekvata i sammanhanget och som därför bör användas.
- Deklarerad och taxerad inkomst per individ. Uppgiften behövs vid ansökningar om förlängning av arbetstillstånd, efterkontroll samt vid eventuell återkallelse av tillstånd. Uppgifterna är nödvändiga för att se att en sökande/person fått kollektivavtalsenlig lön samt arbetat inom ramen för tidigare givet tillstånd. Både deklarerad inkomst och taxerad inkomst är här av intresse, även om Migrationsverket i dag oftast endast har möjlighet att ta del av taxerad inkomst på grund av sekretessreglerna. I avvaktan på beslut om taxering får Migrationsverket i dag förlita sig på lönespecifikationer som den sökande själv eller arbetsgivaren ger in, vilket inte i alla lägen är tillförlitligt. Uppgift om deklarerad inkomst skulle vara av stort värde, eftersom Migrationsverket då skulle kunna kontrollera att den sökande lämnat samma uppgifter till Skatteverket som till Migrationsverket. Enligt utredningen bör beskrivna uppgifter benämnas uppgift om förvärvsinkomst,
fastställd samt preliminär. Med förvärvsinkomst avses uppgifter
som rör tjänsteinkomst och även inkomst av näringsverksamhet.
- Kontrolluppgift från arbetsgivare där lön, förmåner, sjukpenning och arbetsgivare framgår. Denna uppgift är viktig av samma skäl som angetts för den deklarerad och taxerad inkomsten ovan. Uppgift om vilken arbetsgivare som betalat ut lönen ifråga är särskilt viktig för Migrationsverkets bedömningar. Enligt utredningen bör beskrivna uppgifter benämnas uppgift om underlag som lämnats
av arbetsgivare avseende person som erhållit förvärvsinkomst. Med
underlag avses uppgift som rör inkomstens storlek, inkomsttyp samt period som ersättningen avser.
- Utdrag från skattekonto för företag. Av intresse är framför allt företagets inbetalningar av arbetsgivaravgifter och eventuell skatteskuld. Uppgifterna är framför allt viktiga i de förstagångsansökningar där Migrationsverket behöver göra djupare utredning rörande företaget som arbetsgivare, bland annat avseende arbetsgivarens seriositet, hur arbetsgivaren sköter sina åtaganden avseende skatter och avgifter för de anställda och att det finns ekonomiska förutsättningar för arbetsgivaren att ha en arbetskraftsinvandrare anställd. Uppgifterna kan även behövas som komplement i förlängningsärenden, efterkontroller och återkallelseärenden. Enligt utredningen bör beskrivna uppgifter benämnas
uppgift om skatter och avgifter som överlämnats till Kronofogdemyndigheten för indrivningsåtgärder respektive uppgift om beslutade arbetsgivareavgifter. Vad gäller förstnämnda uppgifter bör det
dock noteras att det, efter att skulder har överlämnats till Kronofogdemyndigheten för indrivning, är Kronofogdemyndigheten och inte Skatteverket som har uppdaterad information om skulderna. Vad däremot gäller sistnämnda uppgifter bör anmärkas att uppgifter om inbetalda sociala avgifter inte kan inhämtas från skattekontot, eftersom detta konto endast innehåller uppgifter om den totala summan av inbetalda skatter, avgifter och räntor. Uppgift om beslutade arbetsgivaravgifter finns däremot i beskattningsdatabasen.
- Godkännande respektive avregistrering från F-skatt. Uppgifterna behövs i Migrationsverkets bedömningar av samma skäl som för utdrag från skattekontot. Enligt utredningen bör beskrivna uppgifter benämnas som uppgift om skatteform respektive uppgift
om återkallelse av godkännande för F-skatt. Uppgifter om skatte-
form innefattar uppgifter om 1) godkänd för F-skatt, 2) godkänd för F-skatt med villkor (FA-skatt) eller 3) A-skatt. Genom uppgift om återkallelse av godkännande för F-skatt kan uppgift även erhållas om orsaken till detta, exempelvis konkurs, egen begäran, näringsverksamhet bedrivs inte, inkomstdeklaration inte inlämnad, bristande redovisning/betalning, näringsförbud, missbruk av F-skatt, försummelse av fåmansbolag, försummelse av företagsledare, bristande redovisning/betalning i vissa fall.
Kronofogdemyndigheten
När det gäller uppgifter från Kronofogdemyndigheten finns det enligt Migrationsverket i första hand behov av följande personuppgifter från utsöknings- och indrivningsdatabasen. I anslutning till redovisningen kommenterar utredningen något de begrepp som är adekvata i sammanhanget och som därför bör användas.
- Uppgifter om såväl skatteskulder som andra skulder hos Kronofogdemyndigheten. Migrationsverket behöver uppgifterna för kontroll av arbetsgivarens seriositet, hur arbetsgivaren sköter sina åtaganden och att det finns ekonomiska förutsättningar för arbetsgivaren att ha en arbetskraftsinvandrare anställd. Enligt utredningen bör beskrivna uppgifter benämnas som fysiska personers
skulder i allmänna och enskilda mål.
- Uppgifter om påbörjat konkursförfarande. Uppgifterna behövs av samma skäl som redovisats ovan för uppgifter om skulder hos Kronofogdemyndigheten. Enligt utredningen bör beskrivna uppgifter benämnas som uppgift om att konkursförfarande inletts. Det bör dock noteras att ett konkursförfarande inleds genom att tingsrätten beslutar om konkurs och att Kronofogdemyndigheten därför får besked härom från tingsrätten.
- Betalningsanmärkning rörande privatperson/enskild firma. Dessa uppgifter har särskild betydelse i ärenden där ansökan om arbetstillstånd grundar sig på anställning i en enskild firma. Migrationsverket har i dag mycket små möjligheter att kontrollera de ekonomiska förutsättningarna hos en enskild firma. Verket har inte tillgång till kreditupplysningar på privatpersoner. Samtidigt handlägger Migrationsverket ett stort antal ansökningar där arbetsgivaren är en enskild firma. En enskild näringsidkare är själv personligt ansvarig för företagets verksamhet och näringsidkarens eget personnummer blir företagets organisationsnummer. Det innebär att det är privatpersonen som måste kontrolleras om en kontroll av arbetsgivaren ska kunna göras. Här kan enligt utredningen anmärkas att Kronofogdemyndigheten saknar information om betalningsanmärkningar som rör privatpersoner eller enskilda firmor. Tillgången till sådana uppgifter berörs därför inte vidare.
Försäkringskassan
När det gäller uppgifter från Försäkringskassan, som finns i Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas, finns det enligt Migrationsverket i första hand behov av följande personuppgifter. I anslutning till redovisningen kommenterar utredningen något de begrepp som är adekvata i sammanhanget och som därför bör användas.
- Inrapporterad föräldraledighet och utbetalning av föräldrapenning. Uppgifterna om dessa uppgifter behövs vid Migrationsverkets bedömningar om en arbetstagare, som inte har arbetat under hela tillståndstiden, kan beviljas begärt förlängt uppehålls- och arbetstillstånd trots frånvaron. Detta då vissa typ av frånvaro enligt praxis är accepterad, exempelvis vid föräldraledighet och sjukskrivning. För det fall sökanden, som själv ska ange grunden för frånvaron, saknar underlag för denna måste Migrationsverket vända sig till Försäkringskassan för att få ut uppgifterna. Enligt utredningen bör beskrivna uppgifter benämnas som inlämnad an-
sökan om föräldrapenning till Försäkringskassan respektive utbetald föräldrapenning från Försäkringskassan.
- Omfattning av sjukfrånvaro och sjukpenning. Uppgifterna behövs av samma skäl som inrapporterad föräldraledighet m.m. ovan. Enligt utredningen bör beskrivna uppgifter benämnas omfattning
av sjukfrånvaro respektive av Försäkringskassan utbetald sjukpenning.
- Beviljade timmar för personlig assistans. Denna uppgift är viktig framför allt i ärenden där en person anställs som personlig assistent för att vårda en anhörig. Som underlag för Migrationsverkets bedömning om den sökande arbetat som personlig assistent är det viktigt att få uppgift om att brukaren är beviljad personlig assistans. Enligt utredningen bör beskrivna uppgifter benämnas
beviljade assistanstimmar.
Migrationsverkets inhämtande av efterfrågade uppgifter i dag
Migrationsverket inhämtar redan i dag en del av de uppgifter som verket i framtiden vill ska lämnas ut genom direktåtkomst. Inhämtandet sker bland annat från Skatteverket, Kronofogdemyndigheten och Försäkringskassan. Uppgifter som inte inhämtas men som Migrationsverket vill ha tillgång till är uppgifter om preliminär förvärvsinkomst och beviljade assistanstimmar. Dessa uppgifter omfattas normalt av sekretess, varför de inte efterfrågas.
I flertalet aktuella ansökningsärenden där Migrationsverket har ett kontrollansvar är utgångspunkten att den sökande själv ska bilägga nödvändig dokumentation, exempelvis genom kontrolluppgifter och lönespecifikationer. Så sker också i regel i dag, men Migrationsverket måste ofta kontrollera dessa uppgifter hos berörd myndighet. I vissa fall måste även ärendena kompletteras med ytterligare uppgifter.
Uppgifterna från Skatteverket, Kronofogdemyndigheten och Försäkringskassan inhämtas i dag på olika sätt. Enligt uppgift från Migrationsverket inhämtas uppgifterna vanligtvis per telefon, men det förekommer också att Migrationsverket begär in uppgifter genom skrivelser som skickas med vanlig post. I vissa fall kontrollerar även Migrationsverket uppgifter via Infotorg, som är en databas som innehåller bland annat företagsinformation. Migrationsverket begär däremot sällan information om personuppgifter via e-post, eftersom verket inte anser att ett sådant tillvägagångsätt är lämpligt från säkerhetssynpunkt.
Migrationsverkets inhämtande av personuppgifter för kontroller och komplettering av underlag enligt ovan är enligt verket både resurs- och tidskrävande. Det innebär även stora kostnader för verket.
Enligt Migrationsverket är den totalt nedlagda tiden för Migrationsverkets personal i ett ärende utan direktåtkomst generellt sett dubbelt så lång som vid handläggning av ärenden med direktåtkomst. Tidsskillnaden består främst i tidsspillan i telefonköer, vid administration i form av registreringar och kompletteringar samt vid uppföljning av kompletteringar och bedömning av dokumentets giltighet m.m. Enligt uppgift från Migrationsverket visade bland annat en mätning under år 2013 att den genomsnittliga väntetiden vid telefonsamtal till Skatteverket var 40 minuter. Om förfrågan görs per brev, tillkommer svarstid och administration av utskick av brev och hanterande av inkomna handlingar. Även de myndigheter som
Migrationsverket behöver uppgifter ifrån skulle spara resurser om direktåtkomst medgavs, eftersom de skulle slippa Migrationsverkets olika kontrollfrågor per telefon och per brev. De skulle även i vissa fall slippa hantera framställningar om kompletteringar från sökanden eller arbetsgivare i vissa ärenden, exempelvis i förlängningsärenden där Migrationsverket begär att ansökningar kompletteras med kontrolluppgifter från Skatteverket. Även den totala handläggningstiden påverkas av om uppgifter inhämtas genom direktåtkomst. Migrationsverket har genom detaljerad statistik närmare redovisat för utredningen hur direktåtkomst kan minska handläggningstiderna hos verket.
Enligt uppgift från Migrationsverket skulle direktåtkomst kunna användas i ca 60 procent av aktuella ärenden (exklusive anhörigärenden). Detta innebär enligt Migrationsverkets prognos 21 725 ärenden år 2015, 18 650 per år för åren 2016, 2017 och 2018. Behovet av inhämtande av uppgifter genom direktåtkomst är störst från Skatteverket, även om behov även finns för uppgifter från Kronofogdemyndigheten och Försäkringskassan.
9.2.3. Särskilt om tillämpliga sekretessbestämmelser
För frågan om direktåtkomst är det av intresse vilken sekretess som kan gälla för aktuella uppgifter hos Skatteverket, Kronofogdemyndigheten och Försäkringskassan samt hos Migrationsverket. De sekretessbestämmelser som är tillämpliga hos de olika myndigheterna i nu aktuellt sammanhang är i huvudsak följande (se även avsnitt 7.15.3).
Sekretessbestämmelser som gäller hos Skatteverket finns bland annat i 27 kap. offentlighets- och sekretesslagen (2009:400, OSL). Av kapitlets första paragraf framgår det bland annat att sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller även enligt paragrafens andra stycke i bland annat verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet för uppgift om en
enskilds personliga eller ekonomiska förhållanden som har tillförts databasen.
När det gäller Kronofogdemyndigheten finns sekretessbestämmelser bland annat i 34 kap. OSL. Av 1 § framgår det att sekretess som huvudregel gäller hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Motsvarande sekretess gäller även i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (34 kap. 2 § OSL).
Sekretess gäller hos Försäkringskassan för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende enligt lagstiftningen om bland annat allmän försäkring, arbetsskadeförsäkring, handikappersättning och vårdbidrag och annan ekonomisk förmån för enskild eller särskild sjukförsäkringsavgift (28 kap. 1 § OSL).
När det till sist gäller sekretess hos Migrationsverket är i huvudsak följande bestämmelser av intresse. Hos Migrationsverket gäller, utöver vad som följer av 21 kap. 5 § OSL, sekretess bland annat i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (37 kap. 1 § första stycket OSL.) Med ”verksamhet för kontroll över utlänningar” avses inte bara förvaltningsärenden om till exempel visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning utan också kontrollåtgärder eller annan löpande tillsyn. Bestämmelsen tar sikte på uppgifter om enskildas personliga förhållanden, vilket bland annat innefattar uppgifter om hälsotillstånd och uppgifter om utlänningens ekonomiska omständigheter av personlig natur. Härutöver gäller sekretess bland annat i ärende om arbetstillstånd för utlänning för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs, se 28 kap. 15 § första stycket
OSL. Sekretess gäller också för uppgift om en enskilds personliga förhållanden i ärenden om bistånd åt asylsökande och andra utlänningar, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (se 26 kap. 1 § OSL).
9.2.4. Personuppgiftsbehandlingen hos berörda myndigheter
De personuppgifter som Migrationsverket efterfrågar genom direktåtkomst behandlas med undantag för uppgift om preliminär förvärvsinkomst och beviljade assistanstimmar redan i dag av de berörda myndigheterna.
Behandlingen av personuppgifterna regleras i olika författningar. För Skatteverket är lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet tillämplig för denna behandling, medan Kronofogdemyndighetens samt Försäkringskassans och Pensionsmyndighetens behandling i detta avseende regleras av lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet respektive 114 kap. socialförsäkringsbalken (2010:110). Vad gäller Migrationsverkets behandling av personuppgifter regleras denna i dag av nuvarande utlänningsdataförordningen.
9.2.5. Sekretessbrytande bestämmelser
Som huvudregel gäller sekretess även mellan myndigheter och bestämmelser om direktåtkomst anses inte i sig ha någon sekretessbrytande verkan, se vidare härom i avsnitt 7.15.3.
För att även sekretessbelagda uppgifter ska kunna bli tillgängliga för Migrationsverket genom direktåtkomst krävs därför ett författningsstöd i någon sekretessbrytande regel. Se härom närmare 10 kap. OSL.
I 10 kap. 27 § OSL finns den s.k. generalklausulen rörande utlämnande av sekretessbelagda uppgifter mellan myndigheter. Generalklausulen innebär att en sekretessbelagd uppgift som huvudregel får lämnas till en annan myndighet om det är uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen har dock många undantag. Den gäller exempelvis inte i fråga om sekretess enligt 26 kap. 1 § OSL
(socialtjänstsekretess) eller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen.
Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. En sådan uppgiftsskyldighet kan bland annat gälla en skyldighet för en viss myndighet att lämna andra myndigheter information. Bestämmelsen 6 kap. 5 § OSL om informationsskyldighet mellan myndigheter liksom föreskrifter som generellt anger att visst samarbete mellan myndigheter ska ske omfattas inte av denna bestämmelse. Exempel på uppgiftsskyldighet som avses är däremot 2 kap. 16 § polisdatalagen (2010:361, PDL) och 4 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
9.3. Utredningens överväganden
Utredningens förslag: Utredningen anser att Migrationsverket
ska få medges direktåtkomst till vissa särskilt angivna uppgifter från Skatteverket (beskattningsdatabasen), Kronofogdemyndigheten (utsöknings- och indrivningsdatabasen) samt Försäkringskassan och Pensionsmyndigheten (socialförsäkringsdatabasen), om uppgifterna behövs för handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) eller ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller för kontroll av sådana arbetstillstånd. Bestämmelser om detta ska tas in i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet respektive socialförsäkringsbalken (2010:110). Särskilda sekretessbrytande bestämmelser bör också införas.
Myndigheters direktåtkomst till personuppgifter från andra myndigheter anses innebära särskilda risker för otillbörligt integritetsintrång. En värdmyndighet som lämnar ut uppgifterna har inte kontroll över vilka uppgifter som mottagarmyndigheten vid ett visst tillfälle tar del av. De upptagningar som direktåtkomsten avser blir även allmänna
handlingar hos den mottagande myndigheten och är ofta offentliga hos mottagarmyndigheten. Direktåtkomst medför vanligtvis även att mottagarmyndigheten ofta får tillgång till överskottsinformation, eftersom myndigheten ofta får teknisk tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas i myndighetens verksamhet. Direktåtkomst ökar således riskerna för intrång i den personliga integriteten, vilket medför att det finns skäl för att vara återhållsam i fråga om när direktåtkomst bör tillåtas. Om skyddet för personuppgifterna vid direktåtkomst säkerställs på olika sätt, behöver dock direktåtkomst inte vara så mycket känsligare än andra former av informationsutbyten. Se mer härom i avsnitt 7.15.
Nedan analyserar utredningen frågan om direktåtkomst bör tillåtas från Skatteverket, Kronofogdemyndigheten samt Försäkringskassan och Pensionsmyndigheten vid Migrationsverkets handläggning av ärenden om uppehållstillstånd för att bedriva näringsverksamhet och arbetstillstånd samt ärenden rörande kontroller av sådana arbetstillstånd. Däremot tar utredningen inte upp frågan om direktåtkomst när det gäller uppehålls- och arbetstillstånd som regleras i 6 a kap. UtlL, s.k. EU-blåkort, eftersom Migrationsverket uppgett att verket inte har behov av någon direktåtkomst i den verksamheten.
9.3.1. Migrationsverkets uppgiftsbehov vid handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd
Migrationsverkets behov av uppgifter från Skatteverket, Kronofogdemyndigheten och Försäkringskassan är hänförligt till de olika bedömningar som verket förutsätts göra vid dels prövningar av ansökningar om uppehållstillstånd för arbete eller för att bedriva näringsverksamhet och om arbetstillstånd, dels för kontroller under löpande tillståndstid, dels för ärenden om återkallelse av uppehållstillstånd. Migrationsverkets behov av uppgifterna har närmare redovisats i avsnitt 9.2.2, där även de efterfrågade personuppgifterna närmare har preciserats.
Migrationsverket inhämtar redan i dag en del av dessa uppgifter; dock inte uppgifter om preliminär förvärvsinkomst och beviljade assistanstimmar. Det finns enligt uppgift från Migrationsverket inte något elektroniskt informationsutbyte mellan å ena sidan Skatteverket, Kronofogdemyndigheten och Försäkringskassan samt å
andra sidan Migrationsverket för de uppgifter som är relevanta för Migrationsverkets handläggning av uppehållstillstånd för arbete och arbetstillstånd. Det informationsutbyte som förekommer sker i stället vanligtvis per telefon, genom skrivelser som skickas med vanlig post eller via Infotorg. Informationsutbytet sker dock sällan via epost på grund av säkerhetsaspekter.
Utredningen gör den bedömningen att de uppgifter som Migrationsverket efterfrågar från aktuella myndigheter är av betydelse för att Migrationsverket ska kunna handlägga aktuella uppehållstillstånd och arbetstillstånd på ett rättssäkert och effektivt sätt. Detta gäller alltså även uppgifter om preliminär respektive fastställd förvärvsinkomst och uppgifter om beviljade assistanstimmar, som verket inte inhämtar från Skatteverket respektive Försäkringskassan i dag. Preliminär fastställd förvärvsinkomst behövs för att Migrationsverket, i avvaktan på beslut om taxering, ska kunna kontrollera att den sökande lämnat samma uppgifter om erhållen lön till Skatteverket som till Migrationsverket. Uppgift om beviljade assistanstimmar behövs för att bedöma om det finns ett bakomliggande beslut om assistentersättning i de fall där någon, oftast en anhörig, anger ett sådant arbete som grund för uppehållstillstånd. Denna kontroll behövs för att i ett så tidigt skede som möjligt undersöka om en riktig anställning finns. Denna anställningsform är speciell, bland annat genom att det är brukaren som bestämmer vem som ska vara dennes personliga assistent och om ett uppdrag ska avslutas. Att Migrationsverket skulle kunna kontrollera med Skatteverket att personen i fråga fått lön genom uppgifter om fastställd förvärvsinkomst eller underlag som lämnats av arbetsgivare avseende person som erhållit förvärvsinkomst, är inte tillräckligt, då sådana uppgifter blir tillgängliga först på ett ganska sent stadium. Vid den tidpunkten kan perioden för ett beslutat uppehållstillstånd redan ha löpt ut. Även uppgifter om preliminär förvärvsinkomst är otillräckliga av motsvarande skäl.
9.3.2. Förutsättningar för att ge Migrationsverket direktåtkomst till efterfrågade uppgifter finns
Inledning
Det finns, som framhållits ovan, anledning att vara restriktiv vid bedömningen av om Migrationsverket ska medges direktåtkomst till de uppgifter som behandlats i avsnitt 9.3.1. Flera av uppgifterna, särskilt de i socialförsäkringsdatabasen, är känsliga från integritetssynpunkt. Vid övervägande av om bestämmelser om utökat elektroniskt informationsutbyte bör införas måste de samhällsintressen som talar för att införa sådana bestämmelser vägas mot de integritetskäl som talar emot. För den avvägning som måste göras för frågan om förutsättningar finns för att ge Migrationsverket direktåtkomst till efterfrågade uppgifter måste flera aspekter beaktas. Utredningen behandlar dessa i de följande avsnitten.
Samhällsintressen som gynnas av en direktåtkomst
Effektivare kontroller för att motverka missbruk av reglerna för arbetskraftsinvandring
Migrationsverkets behov av uppgifterna är en konsekvens av reglerna för arbetskraftsinvandring och närmare bestämt bestämmelserna i utlänningslagen och utlänningsförordningen som reglerar villkoren för uppehållstillstånd för arbete och för att bedriva näringsverksamhet och för arbetstillstånd. Migrationsverket ska vid prövningar av ansökningar av uppehållstillstånd och arbetstillstånd, vid kontroller under löpande tillståndstid och vid ärenden om återkallelse av givna tillstånd pröva om de rättsliga förutsättningarna är uppfyllda. Vid denna handläggning behöver Migrationsverket kontrollera tillförlitligheten i de uppgifter som sökanden ger in i ärenden med de myndigheter som nu är aktuella.
Migrationsverket har uppgett att direktåtkomst till aktuella uppgifter skulle medföra en snabbare och effektivare handläggning av ärendena i fråga. En effektivare handläggning bidrar också till att motverka missbruk av reglerna för arbetskraftsinvandring. En direktåtkomst av aktuella uppgifter skulle även enligt utredningens bedömning kunna innebära effektivitetsvinster för verket, som självt skulle kunna söka fram uppgifterna. Den skulle även innebära effek-
tivitetsvinster för värdmyndigheterna, som inte skulle behöva avsätta resurser för att hantera Migrationsverkets förfrågningar om utlämnande av uppgifter. Det är givetvis angeläget att Migrationsverket har effektiva och enhetliga rutiner för kontroll av lämnade uppgifter i pågående ärenden och att handläggare vid varje tillfälle på ett snabbt och effektivt sätt kan inhämta nödvändiga uppgifter hos de aktuella myndigheterna.
Bättre service till enskilda
Om Migrationsverket får tillgång till aktuella uppgifter genom direktåtkomst, borde som utredningen konstaterat ovan verkets ärendehantering bli mer effektiv och enhetlig. Handläggningstiden av ärendena borde då kunna förkortas, vilket innebär en förbättrad service mot de enskilda. Härtill kommer att de enskilda, i vissa fall, kanske inte heller behöver besväras med att komplettera ärendet med vissa uppgifter som Migrationsverket kan få fram genom direktåtkomsten.
Integritetsrisker med direktåtkomst
Det kan dock som berörts ovan finnas vissa integritetsrisker med direktåtkomst.
Inledningsvis kan konstateras att samtliga myndigheter som Migrationsverket efterfrågar personuppgifter från har ett annat verksamhetsområde än verket. Om verket får tillgång till personuppgifter genom direktåtkomst från dessa myndigheter, kan detta i sig innebära ett intrång i de registrerades personliga integritet, eftersom uppgifterna har samlats in av en annan myndighet för helt andra ändamål.
Vidare innebär direktåtkomst till uppgifter, typiskt sett, att risken för kränkningar av den enskildes integritet blir större. De av Migrationsverket efterfrågade uppgifterna utgör en stor mängd information från olika register och databaser och det ökade flödet väcker frågor om vilka risker för obehöriga intrång i den personliga integriteten som detta kan medföra. Härtill kommer tillgången till överskottsinformation vid direktåtkomst, dvs. information som är tekniskt tillgänglig för en mottagande myndighet vid bland annat
direktåtkomst till en annan myndighets elektroniska informationssamling men som mottagarmyndigheten inte får använda i ett enskilt fall eller ta del av utan att till exempel vissa förutsättningar är uppfyllda. Med överskottsinformation avses också information som mottagarmyndigheten visserligen får men ännu inte har använt i sin verksamhet. Se vidare härom i SOU 2012:90 s. 12 och 120. Det huvudsakliga problemet med överskottsinformation är att den allmänna tillgängligheten till uppgifterna ökar på ett sätt som ett tekniskt tillgängliggörande eller regler om direktåtkomst inte åsyftat.
Integritetsskyddsåtgärder vid direktåtkomst
Som utredningen sagt ovan och närmare utvecklat i avsnitt 7.15 i anslutning till frågan om andra myndigheters direktåtkomst till Migrationsverkets uppgifter ökar riskerna för intrång i den personliga integriteten vid direktåtkomst. Integritetsaspekterna måste därför tillmätas central betydelse vid bedömningen av om direktåtkomst ska tillåtas.
En grundläggande förutsättning för att nu tillåta direktåtkomst är att den verkligen begränsas till sådana uppgifter som Migrationsverket har behov av. Det behov som verket anser sig ha har närmare redovisats i avsnitt 9.2.2. Enligt utredningens bedömning saknas det anledning att ifrågasätta att verket verkligen behöver de där redovisade uppgifter för att kunna utföra de uppdrag som verket har när det gäller att följa upp tillämpningen av reglerna om arbetskraftsinvandring. Inget har framkommit som tyder på att verket inte har behov av aktuella uppgifter. En direktåtkomst till just dessa uppgifter kan därför enligt utredningen anses motiverad.
En annan viktig integritetsskyddande åtgärd för att direktåtkomst ska kunna tillåtas är att tillgången till uppgifterna hos Migrationsverket begränsas till endast de anställda hos verket som behöver uppgifterna i sitt arbete. De anställda ska således endast få tillgång till de uppgifter som de behöver för att hantera enskilda ärenden. De ska tekniskt vara förhindrade från att ha tillgång till den överskottsinformation som följer av direktåtkomsten. Direktåtkomsten måste således ordnas så att detta krav uppfylls. I första hand är det Migrationsverket som i egenskap av mottagarmyndighet som ska åläggas ansvaret för detta. En regel om att direktåtkomsten ska
begränsas på detta sätt föreslås i den nya utlänningsdatalagen (16 §). Hur kravet i realiteten ska uppfyllas är en fråga för Migrationsverket. Ett sätt kan vara att endast ett fåtal personer på Migrationsverket kan ta del av uppgifterna från direktåtkomsten och att dessa personer sedan vidarebefordrar just de särskilda uppgifter som en handläggare behöver för ett speciellt ärende. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa tillgången till olika uppgifter och att i efterhand genom bland annat loggningsuppgifter kontrollera hur tillgången har utnyttjats.
Men även de utlämnande myndigheterna bör ha del i detta ansvar genom att den myndighet som medger direktåtkomst ska vara skyldig att innan direktåtkomst medges försäkra sig om att Migrationsverket har en acceptabel säkerhetsnivå, exempelvis när det gäller system för behörighet och loggning av transaktioner samt tillsyn. När det gäller frågor om en värdmyndighets ansvar, se SOU 2015:39 s. 387 f.
Vidare är det av betydelse för att stärka integriteten vid direktåtkomst att Migrationsverket och respektive värdmyndighet regelbundet har utbildningsinsatser för sina anställda om vad som gäller vid direktåtkomsten och att tydliga instruktioner finns härom.
En annan viktig fråga från integritetssynpunkt är vad som gäller i sekretesshänseende för uppgifter som Migrationsverket skulle få tillgång till genom direktåtkomst. Handlingar som är åtkomliga genom direktåtkomst utgör nämligen allmänna handlingar även hos den mottagande myndigheten och det gäller alla de handlingar som görs tillgängliga genom direktåtkomsten, även de som utgör överskottsinformation. Sekretessfrågorna behandlas därför här förhållandevis utförligt.
I avsnitt 9.2.3 har utredningen översiktligt redogjort för de sekretessbestämmelser som är tillämpliga hos värdmyndigheterna och Migrationsverket. Som framgår där finns i första hand tillämpliga sekretessbestämmelser för Skatteverket i 27 kap. 1 § OSL, för Kronofogdemyndigheten i 34 kap. 2 § OSL och för Försäkringskassan och Pensionsmyndigheten i 28 kap. 1 § OSL. Av bestämmelserna framgår att sekretessen som är tillämplig för Skatteverket och för Kronofogdemyndigheten bland annat gäller i myndighetens verksamhet som avser förande av eller uttag ur myndighetens databas. Detta innebär att den sekretess som gäller hos Skatteverket respektive
Kronofogdemyndigheten blir tillämplig också hos mottagande myndigheter så länge uppgiften är kvar i databasen. Denna primära sekretess gäller alltså även hos den mottagande myndigheten. Om Migrationsverket skulle medges direktåtkomst, skulle den alltså även gälla för verket.
Sekretessbestämmelserna som är tillämpliga för Försäkringskassan och Pensionsmyndigheten innehåller inte någon särskild regel om förande av och uttag ur register. Den sekretessen gäller inte primärt hos Migrationsverket, men kan enligt 11 kap. 4 § OSL överföras till Migrationsverket om verket medges direktåtkomst till uppgifterna från databasen.
Som framgår av sekretessbestämmelserna är sekretessen hos Skatteverket absolut, medan den gäller med ett omvänt skaderekvisit för uppgifter i Kronofogdemyndighetens utsöknings- och indrivningsdatabas och med ett rakt skaderekvisit för uppgifter hos Försäkringskassan och Pensionsmyndigheten.
Som vidare framgår av avsnitt 9.2.3 gäller sekretess bland annat i Migrationsverkets verksamhet för kontroll över utlänningar enligt 37 kap. 1 § OSL. Sekretessen gäller med ett omvänt skaderekvisit.
När det gäller sekretesskyddet för de uppgifter som skulle bli tillgängliga för Migrationsverket genom direktåtkomsten kan konstateras att den primära sekretessen hos Skatteverket och Kronofogdemyndigheten även gäller som primär sekretess hos Migrationsverket så länge uppgifterna inte används i verkets ärendehandläggning. När det däremot gäller uppgifter hos Försäkringskassan och Pensionsmyndigheten finns det, som tidigare nämnts, ingen primär sekretessbestämmelse hos myndigheterna som också är primärt tillämplig hos Migrationsverket vid direktåtkomst. I stället tillämpas bestämmelserna i 11 kap. 4 § OSL om överföring av sekretess, vilket medför att sekretessen överförs från Försäkringskassan/Pensionsmyndigheten till Migrationsverket. Hos Migrationsverket kommer då att gälla dels den från Försäkringskassan överförda sekretessen, dels den primära sekretessen hos verket enligt 37 kap. 1 § OSL. Bestämmelsen i 11 kap. 8 § OSL, som reglerar konkurrens då flera sekretessregler samtidigt är tillämpliga, innebär i detta fall att Migrationsverkets primära sekretessbestämmelse gäller framför den överförda sekretessen från Försäkringskassan/Pensionsmyndigheten. Sammanfattningsvis kan utredningen konstatera att sekretesskyddet hos Migra-
tionsverket för överskottsinformation inte är sämre än hos värdmyndigheterna.
När det gäller de uppgifter som efter direktåtkomst används i Migrationsverkets ärendehandläggning, dvs. när uppgifterna från Skatteverket, Kronofogdemyndigheten och Försäkringskassan förs in i Migrationsverkets verksamhet, gäller följande. Sekretess gäller för uppgifterna hos verket enligt 37 kap. 1 § OSL som är primärt tillämplig hos Migrationsverket. Den sekretessen gäller som sagt med ett omvänt skaderekvisit. Även de sekretessbestämmelser som är tillämpliga hos värdmyndigheterna kan bli tillämpliga hos Migrationsverket genom att sekretessen överförts till verket enligt 11 kap. 4 § OSL. Vid denna konkurrens ska den tidigare nämnda bestämmelsen 11 kap. 8 § OSL tillämpas. I detta fall innebär det att Migrationsverkets primära sekretessregler enligt 37 kap. 1 § OSL har företräde framför sekundära, dvs. sekretessreglerna hos värdmyndigheterna. Sammanfattningsvis innebär detta att de uppgifter som Migrationsverket får från Skatteverket och använder i ärendehandläggningen får ett något mindre starkt sekretesskydd hos Migrationsverket, eftersom uppgifterna omfattades av absolut sekretess hos Skatteverket. För uppgifter från Försäkringskassan och Pensionsmyndigheten blir sekretesskyddet däremot något starkare och för Kronofogdemyndigheten oförändrat.
Eftersom sekretessen hos Migrationsverket för här aktuella uppgifter från Skatteverket är något mindre stark än hos Skatteverket, uppkommer frågan om det finns behov av ett starkare sekretesskydd för dessa uppgifter när de finns hos Migrationsverket än vad som gäller enligt 37 kap. 1 § OSL. En grundläggande princip enligt sekretessreglering är att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset (se prop. 2010/11:78 s. 23). Det måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Denna avvägning kan utfalla på olika sätt hos olika myndigheter och inom olika områden. Att uppgifterna omfattas av absolut sekretess i beskattningsverksamheten har huvudsakligen motiverats av hänsyn till den enskildes integritet. Den skattskyldiges långtgående plikt att lämna uppgifter om sina förhållanden till Skatteverket har ansetts ge särskild tyngd åt skyddsaspekten (prop. 1979/80:2 Del A s. 256). I fråga om uppgifter i ärenden hos Migrationsverket har lagstiftaren, som redovisats ovan, ansett att ett omvänt skaderekvisit är tillräckligt. Med
undantag för uppgiften om deklarerad inkomst är den kategori av uppgifter som är aktuell för direktåtkomst även sådana uppgifter som redan i dag förekommer hos Migrationsverket i olika ärenden om bland annat uppehållstillstånd och arbetstillstånd. Uppgifterna från Skatteverket används av Migrationsverket för kontroll och komplettering av de uppgifter som den sökanden lämnar in ärendena. Utredningen anser mot denna bakgrund att sekretesskyddet för aktuella uppgifter hos Migrationsverket inte behöver stärkas, om Migrationsverket skulle medges direktåtkomst till dem.
En viktig fråga då man överväger att tillåta direktåtkomst är de enskilda personer som berörs av direktåtkomsten på lämpligt sätt informeras om denna. Informationen ska vara tydlig och innehålla en specifikation av vilka uppgifter som kan komma att inhämtas och från vilka myndigheter sådant inhämtande kan komma att ske.
Utredningen anser sammanfattningsvis mot bakgrund av vad som ovan anförts att Migrationsverket bör kunna medges direktåtkomst till nu aktuella uppgifter från Skatteverket (beskattningsdatabasen), från Kronofogdemyndigheten (utsöknings- och indrivningsdatabasen) och från Försäkringskassan/Pensionsmyndigheten (socialförsäkringsdatabasen). De samhällsintressen som gynnas av en direktåtkomst väger enligt utredningen tyngre än de integritetsrisker som talar emot. En sådan direktåtkomst bör därför inte leda till oacceptabla intrång i den personliga integriteten under förutsättning att direktåtkomsten omgärdas av sådana integritetsskyddsåtgärder som utredningen berört ovan och att regleringen närmare utformas på sådant sätt som utredningen tar upp fortsättningsvis.
9.3.3. Utformningen av bestämmelser om direktåtkomst m.m.
Inledningsvis kan konstateras att såväl lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet (1 kap. 5 § 5), lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet (2 kap. 3 § 6) och socialförsäkringsbalken (114 kap. 9 §) tillåter att uppgifter får behandlas för tillhandahållande av information som behövs i författningsreglerad verksamhet för bland annat kontroller hos någon annan än värdmyndigheterna. Någon kompletterande lagstiftning som tillåter behandling i form av direktåtkomst för Migrationsverket är därför enligt utredningen inte
nödvändig. Vidare har Migrationsverket rätt att behandla mottagna uppgifter i enlighet med utredningens författningsförslag, se kapitel 1.
När det sedan gäller utformningen av bestämmelserna om direktåtkomsten anser utredningen att dessa bör uttryckas på det sätt att Migrationsverket får medges direktåtkomst till uppgifter från Skatteverket, Kronofogdemyndigheten och Försäkringskassan/Pensionsmyndigheten. Bestämmelserna bör också tillåta regeringen eller den myndighet som regeringen bestämmer att meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Bestämmelserna som medger direktåtkomst bör enligt utredningen tas in i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och socialförsäkringsbalken.
Enligt utredningen bör ändamålen för Migrationsverkets direktåtkomst anges i lag, medan närmare preciseringar av direktåtkomsten kan regleras i förordning. Vad gäller Migrationsverkets ändamål för direktåtkomsten till uppgifterna från de aktuella myndigheterna anser utredningen att dessa bör begränsas till handläggning av vissa ärenden. De ärendetyperna som är aktuella här och som alltså även bör framgå av lagen är handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. UtlL, handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket UtlL eller kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket UtlL. För att understryka att direktåtkomsten ska användas restriktivt bör det även av lagen framgå att uppgifterna endast får användas i den utsträckning som de behövs för handläggningen av nämnda ärenden.
Som nämnts anser utredningen att närmare precisering av vilka uppgifter som Migrationsverket får medges direktåtkomst till bör tas in i en förordning. Dessa preciseringar bör i enlighet med den författningsteknik som i dag är bruklig när direktåtkomst regleras tas in i författningar som rör personuppgiftsbehandling hos respektive värdmyndighet. Det innebär att bestämmelser om precisering av uppgifter som direktåtkomst får medges för bör tas in i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och förordningen
(2003:766) om behandling av personuppgifter inom socialförsäkringens administration.
Det är även, som utredningen framhållit, viktigt att åtkomsten begränsas till vad varje tjänsteman behöver. En regel härom finns i 16 § i den föreslagna utlänningsdatalagen.
Värdmyndigheternas ansvar bör regleras på så sätt att de inte får medge Migrationsverket direktåtkomst innan de har förvissat sig om att Migrationsverket verkligen uppfyller krav på behörighet och säkerhet.
Den myndighet som kan medge direktåtkomst bör också få meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge Migrationsverket direktåtkomst till myndighetens uppgifter. Syftet med en sådan bestämmelse är att betona vikten av att direktåtkomsten inte medges lättvindigt utan att säkerhetsaspekterna noggrant har övervägts.
Det är viktigt att både värdmyndigheterna och Migrationsverket är införstådda med vilka uppgifter som omfattas av direktåtkomsten. Berörda handläggare vid myndigheterna måste genom utbildning ges information och kunskaper om detta samt om hur uppgifter som inhämtas ska användas. Det får förutsättas att berörda myndigheter, vid upprättandet av elektroniska förbindelser, genom samråd med andra och genom utbildning och andra insatser riktade mot den egna personalen ser till att det i detta avseende skapas garantier för skyddet för den personliga integriteten.
9.3.4. Sekretessbrytande bestämmelser
Som redovisats i avsnitt 9.2.3 förutsätter direktåtkomst i princip att det införs sekretessbrytande bestämmelser i lag eller förordning som omfattar alla uppgifter som görs tekniskt tillgängliga genom direktåtkomsten. Anledningen till detta är att tillämpliga bestämmelser om sekretess kan innebära att uppgifter inte annars kan lämnas till de myndigheter som får direktåtkomst, se vidare härom i avsnitt 7.15.3. Sekretessbrytande bestämmelser är enligt utredningen även nödvändiga i förevarande fall om Migrationsverket medges direktåtkomst till ovan angivna uppgifter hos Skatteverket, Kronofogdemyndigheten och Försäkringskassan/ Pensionsmyndigheten.
Enligt utredningen är det inte lämpligt att direktåtkomsten grundar sig på generalklausulen i 10 kap 27 § kap OSL. De sekretessbrytande bestämmelserna bör i stället utformas som en föreskrift om sådan uppgiftsskyldighet som avses i 10 kap. 28 § OSL.
De sekretessbrytande bestämmelserna bör enligt utredningen placeras i den författning som framstår som naturligast i sammanhanget. Särskilda hänsyn till regleringen i 2 kap. 6 § andra stycket regeringsformen om betydande intrång behöver emellertid enligt utredningen inte tas vid bedömningen om bestämmelserna ska tas in i lag eller förordning.
Enligt utredningen är det lämpligt att bestämmelserna tas in i en författning som reglerar värdmyndighetens behandling av personuppgifter. De sekretessbrytande bestämmelserna bör därför placeras i förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, förordningen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och förordningen om behandling av personuppgifter inom socialförsäkringens administration.
9.3.5. Slutsats
Utredningen anser att de samhällsintressen som talar för att Migrationsverket ska medges direktåtkomst till ovan särskilt angivna uppgifter från Skatteverket (beskattningsdatabasen), Kronofogdemyndigheten (utsöknings- och indrivningsdatabasen) och Försäkringskassan och Pensionsmyndigheten (socialförsäkringsdatabasen) väger tyngre än de integritetsskäl som talar emot. Direktåtkomst ska därför enligt utredningens uppfattning kunna medges i dessa fall.
10. Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister
10.1. Inledning
Utredningen har i avsnitt 7.10 föreslagit att Migrationsverket ska få föra ett automatiserat register över fingeravtryck. Verket för redan i dag ett sådant register. Migrationsverkets register över fingeravtryck utgör tillsammans med Polismyndighetens fingeravtrycksregister det nationella fingeravtrycksregistret. Migrationsverkets register över fingeravtryck innehåller fingeravtryck som samlats in av Migrationsverket i utlänningsärenden, se närmare om detta i avsnitt 7.10.1.
Fingeravtryck som Migrationsverket tar med stöd av 9 kap. 8 § utlänningslagen (2005:716, UtlL) kontrolleras i dag mot både Eurodac och det nationella fingeravtrycksregistret. I det nationella fingeravtrycksregistret görs kontroller mot både Migrationsverkets och Polismyndighetens fingeravtrycksregister. Kontroller görs dock även mot informationssystemet för viseringar (VIS), se avsnitten 4.3.3 och 7.4. De kontrollerna saknar dock betydelse för utredningens överväganden i detta kapitel och berörs därför inte ytterligare här.
Syftet med kontrollerna är dels att fastställa ansvarig medlemsstat enligt EU-förordningar, exempelvis Dublinförordningen ((EU) nr 604/2013), dels att fastställa en utlännings identitet. Fastställande av en utlännings identitet är av betydelse för Migrationsverkets handläggning av flera olika slags ärenden, särskilt ärenden som rör prövning av asylskäl.
Kontrollerna och rutinerna kring dessa har närmare redovisats i avsnitt 7.10.1.
När det gäller författningsstödet för kontroller av fingeravtryck som Migrationsverket tagit mot Polismyndighetens fingeravtrycksregister (A-filen) ansåg dåvarande Rikspolisstyrelsen och Migrationsverket senast hösten 2014 att stöd för detta torde finnas i polisdatalagen (2010:361, PDL). Myndigheterna efterfrågade emellertid samtidigt en tydligare reglering i detta avseende. Den dåvarande Rikspolisstyrelsen inkom därför med en framställan till Justitiedepartementet i oktober 2014, dnr A377.954/2014, med förslag att polisdatalagen skulle kompletteras med bestämmelser som uttryckligen ger Migrationsverket rätt att ta del av Polismyndighetens fingeravtrycksregister för kontroller.
Utredningen har fått i uppdrag att överväga denna fråga. Nedan kommer därför utredningen att inledningsvis översiktligt redogöra för den rättsliga regleringen och Polismyndighetens och Migrationsverkets uppfattning om behovet av en kompletterande bestämmelse. Härefter kommer utredningen att behandla nyttan av att Migrationsverket får del av Polismyndighetens fingeravtrycksregister, alternativ till sådan behandling och vissa integritetsaspekter. Avslutningsvis behandlar utredningen även frågan om behov finns av någon författningsreglering.
10.2. Allmänt om Migrationsverkets kontroller av fingeravtryck
10.2.1. Den rättsliga regleringen
Migrationsverkets kontroller av fingeravtryck
Förutsättningar för fingeravtryckskontroller m.m.
I 9 kap. UtlL finns bestämmelser om kontroller av personer enligt kodexen om Schengengränserna. Kodexen om Schengengränserna har sin bakgrund i Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer. Genom kodexen har införts ett gemensamt regelverk för passage av yttre gränser, men kodexen ska också säkerställa att det inte förekommer någon gränskontroll av personer när de passerar inre grän-
ser i enlighet med artikel 26 i fördraget om Europeiska unionens funktionssätt.
Särskilda bestämmelser om i vilka situationer Migrationsverket och i vissa fall Polismyndigheten får ta fingeravtryck på utlänningar finns i 9 kap. 8−8 c §§ UtlL. I avsnitt 7.10 har utredningen redovisat innehållet i de mest centrala bestämmelserna i sammanhanget, nämligen 9 kap. 8 § UtlL och 6 kap. 14 § utlänningsförordningen (2006:97).
Det finns även andra bestämmelser i 9 kap. UtlL som reglerar tagande av fingeravtryck, se 9 kap. 8 a−c §§ UtlL. Dessa bestämmelser avser fingeravtryck avseende dels uppehållstillståndskort i vissa fall, dels Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Kontroll av sådana fingeravtryck sker dock inte mot det nationella fingeravtrycksregistret.
Som nämnts i avsnitt 7.10.1 är det endast Polismyndigheten som har direktåtkomst till Migrationsverkets fingeravtryck i B-filen. Migrationsverket har alltså ingen möjlighet att själv registrera, radera eller komma åt uppgifter i sitt fingeravtrycksregister utan Polismyndighetens biträde.
Utredningen har i avsnitt 7.10.1 berört de sekretessfrågor som kan aktualiseras då uppgifter om fingeravtryck lämnas från Migrationsverket till Polismyndigheten för att där registreras i Migrationsverkets fingeravtrycksregister.
Polismyndighetens fingeravtrycksregister
Bestämmelser om fingeravtrycksregister
Bestämmelser om Polismyndighetens fingeravtrycksregister finns i 4 kap. PDL. De har endast översiktligt berörts av utredningen i avsnitt 7.10.1. Bestämmelserna redovisas därför något närmare här.
Av 4 kap. 11 § PDL följer att Polismyndigheten får föra bland annat fingeravtrycksregister i enlighet med bestämmelserna i 4 kap. 12–17 §§ PDL. Dessa register får föras även för att underlätta identifiering av okända personer.
I 4 kap. 12 och 13 §§ PDL regleras vilka personuppgifter som får behandlas i registren. Av paragraferna följer inledningsvis att uppgifter får behandlas om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken (husrannsakan) och om en person som har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Vidare framgår det att uppgifter om fingeravtryck även får behandlas om det behövs för att fullgöra internationella åtaganden eller om fingeravtrycken kommit fram i en utredning om brott men inte kan hänföras till en identifierbar person. Uppgifter får också behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen i vissa fall. Registren får även i viss utsträckning innehålla fingeravtryck som registrerats på begäran Interpol, i regel avseende personer som är internationellt efterlysta.
Interpol är en mellanstatlig polisorganisation med 190 medlemsländer. Interpols uppgift är att underlätta informationsutbytet mellan medlemsländerna i arbetet mot gränsöverskridande brottslighet. Begränsningar för behandling av uppgifter finns för uppgifter som har lämnats av en person under femton år i vissa fall.
Fingeravtrycksregister får vidare innehålla uppgifter om bland annat fingeravtryck, identifieringsuppgifter, ärendenummer och brottskod, se 4 kap. 13 § PDL.
Ändamålen för vilka personuppgifter får behandlas i Polismyndighetens brottsbekämpande verksamhet regleras i 2 kap. 7−9 §§ PDL.
Av 2 kap. 7 § PDL, som reglerar de primära ändamålen för de brottsbekämpande myndigheterna, följer att personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Av 2 kap. 8 § PDL, som reglerar de sekundära ändamålen, följer i vilka fall uppgifter får lämnas ut för att tillhandahålla information som behövs i andra myndigheters verksamhet. Där anges bland annat att personuppgifter som behandlas enligt 2 kap. 7 § PDL även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet, om det antingen enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift (punkten 6 a), eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott (punkten 6 b).
Bestämmelser om gallring och att vissa myndigheter (Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket) får medges direktåtkomst till uppgifter i fingeravtrycksregister finns i 4 kap. 14–17 §§ PDL.
Personuppgiftsansvarig m.m.
Fingeravtrycken som Polismyndigheten samlar in med stöd av 4 kap. PDL sparas, som tidigare nämnts, i A-filen i det nationella fingeravtrycksregistret.
Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför, se 2 kap. 4 § PDL.
Sekretess m.m.
I 35 kap. 1 § OSL finns en särskild sekretessbestämmelse som gäller för personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11–17 §§ PDL. Av den bestämmelsen följer att sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften bland annat förekommer i register som förs av Polismyndigheten enligt 4 kap. PDL eller som annars behandlas med stöd av de bestämmelserna. Sekretessen gäller alltså med ett omvänt skaderekvisit. Men i likhet med vad som gäller för Migrationsverket kan även andra bestämmelser vara tillämpliga, exempelvis 21 kap. 3 och 5 §§ OSL (sekretess för adress, telefon m.m. och till skydd för utlänningar i vissa fall).
I 2 kap. 18 § PDL finns en sekretessbrytande bestämmelse av innebörd att uppgifter ur fingeravtrycksregister kan lämnas ut till i paragrafen angivna myndigheter trots viss angiven sekretess. Migrationsverket anges inte i paragrafen. För att uppgifter ska få lämnas ut krävs även att uppgifterna behövs för den brottsbekämpande verksamheten hos den mottagande myndigheten. Någon bestämmelse om uppgiftsskyldighet som bryter sekretessen på sätt som föreskrivs i 10 kap. 28 § OSL finns alltså inte heller för utlämnande av aktuella uppgifter.
10.2.2. Polismyndighetens och Migrationsverkets uppfattning om behovet av en kompletterande reglering
Dåvarande Rikspolisstyrelsen gav, som nämnts inledningsvis, hösten 2014 i samråd med Migrationsverket in en framställan till Justitiedepartementet om att det behövs en kompletterande bestämmelse som uttryckligen ger Migrationsverket rätt att ta del av uppgifter ur Polismyndighetens nationella fingeravtrycksregister (se avsnitt 10.1). Samma synpunkter har förts fram till utredningen av Polismyndigheten och Migrationsverket. Bakgrunden till myndigheternas efterfrågan av en tydligare reglering är sammanfattningsvis följande.
Under lång tid har ca 90–95 procent av de som sökt uppehållstillstånd som flykting eller alternativt skyddsbehövande (dvs. asyl) inte kunnat lämna in identitetshandlingar vid ansökningstillfället. För att fastställa en utlännings identitet i dessa fall gör Migrationsverket fingeravtryckskontroller mot både Eurodac och det nationella fingeravtrycksregistret (A- och B-filen).
Migrationsverket utför självt kontrollerna mot Eurodac, medan kontrollerna mot det nationella fingeravtrycksregistret görs genom biträde från Polismyndigheten.
Under år 2013 gjordes 43 396 sökningar i det nationella fingeravtrycksregistret, vilket resulterade i 6 066 träffar.
Under år 2014 gjordes 69 785 sökningar i registret, vilket resulterade i 7 337 träffar.
Varken Polismyndigheten eller Migrationsverket har någon uppgift om hur många sökningar i enbart Polismyndighetens fingeravtrycksregister (dvs. A-filen) som verket har gjort eller som bidragit till att identiteter i visst ärende kunnat fastställas. Samtliga sökningar som Migrationsverket gjort nationellt har sökts mot både A- och B-filen, men uppgift saknas om hur fördelningen ser ut mellan de sökningar som gett träff antingen mot A-filen eller B-filen eller mot båda filerna. Enligt Migrationsverkets interna statistik för år 2014 har dock verkets fingeravtryckssökningar i både A- och Bfilen resulterat i ca 1 000 träffar mot en annan identitet.
Migrationsverkets sökning mot B-filen, dvs. verkets eget register, visar om aktuell person förekommer hos Migrationsverket sedan tidigare. En träff kan antingen säkerställa att den sökande sedan tidigare är känd under aktuell identitet och alltså hjälpa till att klarlägga
identiteten samt säkerställa att det inte rör sig om identitetsstöld eller liknande där någon annan uppträder i en persons identitet.
I händelse att träff erhålls mot annan persons identitet måste orsaken till detta undersökas närmare. Sådana avvikelser kan bero på naturliga, eller legitima, omständigheter som att det tidigare ärendet skrivits av och att ett nytt dossiernummer använts eller att en sökande bytt exempelvis namn eller medborgarskap. Det kan även förekomma att en person söker ny asyl i annan identitet av andra orsaker till exempel för att försöka undkomma ett avvisningsbeslut eller överföring till annan medlemsstat i enlighet med Dublinförordningen. Ett annat skäl kan vara att en person söker asyl på nytt i annan identitet för att öka chanserna för ett bifall till ansökan.
Migrationsverkets sökning mot A-filen visar om aktuell person är känd av polisen sedan tidigare som (i Sverige) dömd eller misstänkt gärningsman. En sådan sökning kan även i vissa fall visa om en person är internationellt efterlyst av Interpol. Liksom för sökningen mot B-filen är sökningen mot A-filen en viktig del i arbetet att klarlägga identiteten genom att det finns uppgifter om namn, nationalitet m.m. och kan på samma sätt som en sökning i B-filen bidra till att verifiera tidigare känd identitet eller, om annan identitet påträffas, aktualisera ytterligare utredning. Informationen kan också vara av vikt inför utredningssamtal på så sätt att man kan vidta eventuella åtgärder exempelvis i fall en sökande varit dömd för våldsbrott.
Som tidigare nämnts kontrollerar Migrationsverket även fingeravtryck mot Eurodacsystemet. Verket anser att systemet ger god hjälp med att fastställa ansvarig medlemsstat (exempelvis enligt Dublinförordningen), även om systemet ställer höga krav på fingeravtryckens kvalitet. Uppskattningsvis tio procent av kontrollerna mot Eurodac misslyckas på grund av bristande kvalitet.
Migrationsverket anser att det finns flera skäl till varför verket behöver få tillgång till Polismyndighetens fingeravtrycksregister. En anledning är att Polismyndighetens fingeravtrycksregister ger mycket bättre träffsäkerhet än till exempel Eurodac. Det beror bland annat på att kvaliteten på fingeravtrycken måste vara mycket bra för att det över huvud taget ska bli träff i Eurodac.
Tillgången till Polismyndighetens fingeravtrycksregister har stor betydelse för att Migrationsverket snabbt ska kunna fastställa bland annat en persons identitet, om personen har varit i Sverige tidigare
och i så fall i vilket ärende och om denne då använt sig av annan identitet. Att dessa uppgifter snabbt kan fastställas har betydelse även för Polismyndigheten. En annan anledning är att Migrationsverket genom kontroll i Polismyndighetens register kan få information som är av intresse för brottsbekämpningen. Det kan exempelvis röra sig om information rörande identiteter som kommit fram i samband med brott och misstänkt överträdelse av återreseförbud.
En annan fördel är att Migrationsverket vid träff i A-filen kan få kännedom om en sökande har våldsamma tendenser, exempelvis om sökanden blivit dömd för olika former av misshandel, vilket kan påverka verkets säkerhetsåtgärder vid kontakt med den sökande. I vissa fall kan även en träff mot fingeravtryck insända från Interpol hjälpa den sökande att styrka asylskäl om exempelvis efterlysningen är utfärdat av en stat där dödsstraff utmäts.
Både Polismyndigheten och Migrationsverket anser att 2 kap. 8 § första stycket 6 b PDL (se avsnitt 10.2.1) ger Migrationsverket rätt att ta del av uppgifter ur Polismyndighetens fingeravtrycksregister för angivna ändamål och hänvisar vid denna bedömning bland annat till polisdatalagens förarbeten om myndigheters samverkan mot brott, se prop. 2009/10:85 s. 118 och 322 f. Myndigheterna framhåller dock samtidigt att de anser att den nuvarande reglering är otydlig, varför de efterfrågar en uttrycklig reglering av utlämnande av uppgifter m.m.
10.3. Utredningens överväganden
Utredningens förslag: Migrationsverket ska kunna kontrollera
fingeravtryck mot Polismyndighetens fingeravtrycksregister. För att detta ska vara möjligt föreslås dels bestämmelser som tillåter sådan personuppgiftsbehandling, dels sekretessbrytande bestämmelser för att uppgifter ska kunna lämnas mellan Migrationsverket och Polismyndigheten.
10.3.1. Inledning
Av framställan som dåvarande Rikspolisstyrelsen och Migrationsverket gav in till Justitiedepartementet i oktober 2014 framgår det att Migrationsverket redan i dag kontrollerar fingeravtryck som verket tagit på utlänningar mot Polismyndighetens fingeravtrycksregister, men att myndigheterna känner viss tveksamhet om författningsstöd finns för denna personuppgiftsbehandling.
Den första frågan som utredningen har att ta ställning till är därför om Migrationsverket över huvud taget bör tillåtas att kontrollera tagna fingeravtryck mot Polismyndighetens fingeravtrycksregister. De fingeravtryck som avses här är sådana som har tagits enligt 9 kap. 8 § UtlL.
10.3.2. Migrationsverkets behov av att kontrollera fingeravtryck med hjälp av Polismyndighetens fingeravtrycksregister m.m.
Migrationsverket har enligt 9 kap. UtlL till uppgift att utföra olika kontroller av personer enligt kodexen om Schengengränserna, se avsnitt 10.2.1. Bland annat får verket (och Polismyndigheten) ta fingeravtryck på en utlänning i vissa fall, se 9 kap. 8 § UtlL.
Fingeravtrycken kontrolleras, som ovan nämnts, bland annat mot det nationella fingeravtrycksregistret (dvs. både mot A- och Bfilen) och mot Eurodac. Som tidigare angetts är syftet med dessa kontroller dels att fastställa ansvarig medlemsstat enligt EU-förordningar, dels att fastställa den sökandes identitet.
Vad gäller det förstnämnda syftet synes detta kunna tillgodoses genom kontroller mot Eurodac, medan frågan om hur sökandens identitet ska kunna fastställas är mer komplex. Fastställande av en sökandes identitet är av betydelse för Migrationsverkets handläggning av ärenden både vad gäller prövningen av asylskäl och för att underlätta vid eventuell återresa eller svenskt medborgarskap.
Migrationsverket låter regelbundet genomföra ett mycket stort antal sökningar i det nationella fingeravtrycksregistret (69 785 sökningar år 2014), alltså det register som innehåller både A-filen och B-filen. Cirka en tiondel av dessa (7 337 stycken) resulterade år 2014 i träffar mot såväl den sökta personen som andra personer som förekommer i A- eller B-filen. Någon uppgift om hur stor andel av
sökningarna och träffarna som är hänförliga enbart till Polismyndighetens fingeravtrycksregister, dvs. A-filen, finns inte att tillgå.
Enligt utredningen råder det ingen tvekan om att det avsevärt underlättar Migrationsverkets verksamhet om verket kan kontrollera tagna fingeravtryck mot Polismyndighetens fingeravtrycksregister. Migrationsverket har pekat på fördelarna med sådana kontroller. Information som kommer fram vid sådana kontroller av Migrationsverket kan också vara till nytta för Polismyndighetens brottsbekämpning. Migrationsverket kan exempelvis vid sina kontroller uppmärksamma att någon har överträtt ett återreseförbud. Utredningen återkommer avslutningsvis i detta kapitel till fråga om Migrationsverkets möjligheter att i dessa situationer lämna ut uppgifter till Polismyndigheten. Kontrollen mot Polismyndighetens fingeravtrycksregister kan sannolikt i vissa fall också gynna sökanden för att styrka ett uppgivet asylskäl.
Utredningen anser därför sammanfattningsvis att Migrationsverkets har ett berättigat behov av att kunna kontrollera fingeravtryck som verket (eller Polismyndigheten) tagit enligt 9 kap. 8 § UtlL med hjälp av Polismyndighetens fingeravtrycksregister.
10.3.3. Alternativ till kontroller mot Polismyndighetens fingeravtrycksregister
En annan fråga som är av betydelse vid bedömningen av om Migrationsverket bör ha rätt att utföra kontroller mot Polismyndighetens fingeravtrycksregister är om det finns något rimligt alternativ till kontrollerna. Frågan är då närmast om det räcker att Migrationsverket kontrollerar fingeravtryck mot sitt eget fingeravtrycksregister och mot Eurodac.
Som framgår ovan innehåller A-filen inte samma fingeravtryck som Eurodac eller B-filen, eftersom insamlingen av fingeravtrycken till de olika registren delvis sker för olika ändamål. Vad gäller Migrationsverkets eget fingeravtrycksregister (B-filen) är fingeravtrycken begränsade till fingeravtryck som tagits med stöd av 9 kap. 8 § UtlL. Eurodac innehåller bland annat fingeravtryck från personer som ansökt om internationellt skydd i något av EU:s medlemsländer och från tredjelandsmedborgare eller statslösa personer som gripits i samband med att de olagligen passerat en yttregräns från ett tredjeland eller befunnits uppehålla sig olagligen i en av EU:s medlems-
stater. I princip ska alltså B-filen och den svenska delen av Eurodac innehålla samma fingeravtryck. Att Migrationsverket kan kontrollera fingeravtrycken mot B-filen och Eurodac är således inte ett tillräckligt alternativ till kontroller mot Polismyndighetens fingeravtrycksregister (A-filen). Härtill kommer att träffsäkerheten i Eurodac, som också tidigare nämnts, är sämre än i AFIS. Vidare innehåller Eurodac inte information om de registrerades identitet, varför databasen inte heller kan användas för att fastställa identiteter. De olika registren kompletterar alltså varandra, men kan inte ersätta varandra på grund av deras olika innehåll.
Tekniskt sett kan Migrationsverket inte ta del av uppgifterna från A-filen på annat sätt än genom att jämföra fingeravtryck. Anledningen till detta är att andra söksätt förutsätter kännedom om vilken identitet en person har registrerad i A-filen. Den kunskapen har Migrationsverket normalt inte.
Utredningens slutsats är att det inte finns något effektivt alternativ till att tillåta Migrationsverket att kontrollera fingeravtryck mot uppgifter från Polismyndighetens fingeravtrycksregister.
10.3.4. Integritetsaspekter m.m.
Vid bedömningen om Migrationsverket bör få ta del av uppgifter från Polismyndighetens fingeravtrycksregister bör även övervägas vilka integritetsrisker och andra aspekter som en sådan personuppgiftsbehandling kan medföra.
Inledningsvis kan konstateras att uppgifterna i Polismyndighetens fingeravtrycksregister har samlats in av en annan myndighet (dvs. Polismyndigheten) för andra ändamål än de som Migrationsverket avser att behandla dem för. Fingeravtrycken i Polismyndighetens register har, som tidigare nämnts, bland annat samlats in för brottsbekämpande ändamål från personer som är misstänkta eller dömda för brott i vissa fall eller i utredningar om brott där fingeravtryck inte kan hänföras till en identifierbar person, se vidare härom avsnitt 10.2.1. Ändamålet med Migrationsverkets behandling av uppgifterna är däremot främst att försöka fastställa identiteten på en utlänning vid olika kontroller av utlänningar vid deras inresa i och utresa från Sverige och under deras vistelse i Sverige. Att Migrationsverket får ta del av personuppgifter som samlats in av Polis-
myndigheten kan därför i sig innebära ett intrång i den personliga integriteten.
En annan aspekt är att redan den omständigheten att en enskild är registrerad i Polismyndighetens fingeravtrycksregister och att Migrationsverket får kännedom om detta kan vara känslig för den enskilde.
Integritetsriskerna måste dock bedömas mot bakgrund av att kontroller mot Polismyndighetens fingeravtrycksregister görs redan i dag. Även om det är relativt stora mängder uppgifter som behandlas har såvitt utredningen kunnat bedöma inget framkommit som tyder på att förfarandet innebär några egentliga risker för obehöriga intrång i de enskildas personliga integritet. De grundläggande kraven på behandling av personuppgifter måste vidare givetvis iakttas, vilket bland annat innebär att krav ställs på att behandling ska vara laglig. Även vid denna personuppgiftsbehandling ska tillgången till uppgifterna vara begränsad till enbart de anställda hos respektive myndighet som behöver dem för att handlägga enskilda ärenden.
En särskild integritetsaspekt är vad som gäller i sekretesshänseende för uppgifter som lämnas till Polismyndigheten för kontroll mot myndighetens fingeravtrycksregister. För Polismyndigheten finns tillämpliga sekretessbestämmelser i första hand i 35 kap. 1 § OSL, som föreskriver sekretess för uppgift om en enskilds personliga och ekonomiska förhållanden som förekommer i register som förs av Polismyndigheten enligt 4 kap. PDL eller som annars behandlas med stöd av de bestämmelserna, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Hos Migrationsverket är i första hand sekretessbestämmelser enligt 37 kap. 1 § OSL tillämpliga. Även enligt sistnämnda bestämmelser gäller en motsvarande presumtion för sekretess. Härutöver gäller hos båda myndigheterna sekretessbestämmelserna till skydd för bland annat adressuppgifter och uppgift om kopplingen mellan en enskilds verkliga och fingerade identitet och för särskilt känsliga uppgifter om utlänningar, se 21 kap. 3 och 5 §§ OSL. Sekretesskyddet för här aktuella uppgifter hos de båda myndigheterna är således i princip lika starkt.
10.3.5. Sammanfattande slutsats
Som framgått gör Migrationsverket redan i dag kontroller mot Polismyndighetens fingeravtrycksregister vid handläggningen av ärenden enligt 9 kap. 8 § UtlL. Någon statistik på omfattningen av sökningar i enbart A-filen eller resultatet av sådana sökningar finns inte att tillgå. Utredningen anser ändå att det klarlagts att Migrationsverket bör kunna kontrollera fingeravtryck mot Polismyndighetens fingeravtrycksregister. Sådana kontroller leder till en tillförlitligare asylhantering hos verket. Behandlingen av uppgifter från Polismyndighetens fingeravtrycksregister är alltså enligt utredningen nödvändig för en säkrare asylhandläggning. Något rimligt alternativ till sådana kontroller finns inte.
De integritetsrisker som behandlingen kan innebära för de enskilda personerna bör enligt utredningens bedömning även framöver kunna hanteras på ett tillfredsställande sätt av Migrationsverket. Den tillgång Migrationsverket får till uppgifter i Polismyndighetens fingeravtrycksregister och de integritetsrisker som följer därmed får även enligt utredningen anses stå i rimlig proportion till nyttan av kontrollerna. Sammanfattningsvis bör Migrationsverket alltså tillåtas att göra kontroller i Polismyndighetens fingeravtrycksregister vid handläggningen av ärenden i 9 kap. 8 § UtlL. Intresset av att fastställa identiteter på aktuella personer väger enligt utredningen tyngre än de aspekter som talar emot.
10.3.6. Behov av författningsreglering m.m.
Migrationsverket överför alltså personuppgifter rörande tagna fingeravtryck enligt 9 kap. 8 § UtlL till Polismyndigheten dels för registrering i verkets egna fingeravtrycksregister (B-filen), dels för kontroll mot både A- och B-filen.
Som redovisats i avsnitt 7.10 anser utredningen att överföringen av tagna fingeravtryck till Polismyndigheten för registrering i verkets egna fingeravtrycksregister blir tillåten genom att Migrationsverket får föra ett fingeravtrycksregister och att verket har uppdragit åt Polismyndigheten att vara personuppgiftsbiträde åt verket. Utredningen har också föreslagit att en sekretessbrytande bestämmelse som tar sikte på detta uppgiftslämnande införs.
När det gäller behovet av författningsreglering för Migrationsverkets kontroller av fingeravtryck mot Polismyndighetens fingeravtrycksregister gör utredningen följande bedömning.
Migrationsverkets utlämnande av fingeravtryck m.m. till Polismyndigheten för kontroll av tagna fingeravtryck mot A-filen kräver ett författningsstöd. Det stödet bör tas in i den nya utlänningsdatalagen i anslutning till reglerna om Migrationsverkets fingeravtrycksregister. Då Polismyndigheten kontrollerar inkomna fingeravtryck mot fingeravtryck som Migrationsverket tidigare har tagit har Polismyndigheten tillgång till Migrationsverkets fingeravtrycksregister genom direktåtkomst. Den möjligheten till direktåtkomst måste också regleras. Även den regleringen bör tas in i den kommande utlänningsdatalagen. Till sist måste Polismyndigheten kunna tillhandahålla information rörande sina kontroller till Migrationsverket. Den möjligheten bör regleras i polisdatalagen, närmare bestämt 2 kap. 8 § PDL.
Som har sagts ovan torde uppgifter om fingeravtryck normalt omfattas av sekretess. Därför måste också övervägas vilken reglering som kan behövas för att här aktuella uppgifter ska kunna lämnas mellan myndigheterna. Det handlar om två flöden av personuppgifter. Det ena avser uppgifter om fingeravtryck som Migrationsverket skickar till Polismyndigheten. Det andra avser resultatet av Polismyndighetens jämförelser som skickas till Migrationsverket. Utredningen har som sagts i avsnitt 7.10 föreslagit att det införs en sekretessbrytande regel om skyldighet för Migrationsverket att lämna fingeravtrycksuppgifter till Polismyndigheten då dessa ska registreras i verkets fingeravtrycksregister. Det är en sekretessbrytande regel som utformats i enlighet med 10 kap. 28 § OSL. Utredningen förordar att motsvarande regler om uppgiftsskyldighet införs för de här aktuella flödena. Uppgiftslämnandet bör således inte grundas på generalklausulen i 10 kap. 27 § OSL eller reglerna om nödvändigt utlämnande i 10 kap. 2 § OSL. När det gäller utlämnandet av uppgifter från Migrationsverket bör regleringen tas in i utlänningslagen. Polismyndighetens utlämnade av uppgifter till Migrationsverket bör regleras i polisdatalagen.
Avslutningsvis vill utredningen ta upp frågan i vilken utsträckning som Migrationsverket kan lämna ut uppgifter om resultatet av sina kontroller till Polismyndigheten. Sådan information skulle, som berörts ovan, kunna vara av intresse för Polismyndigheten i myn-
dighetens brottsbekämpande verksamhet. Migrationsverkets kontroller kan till exempel tyda på att en utlänning har överträtt ett återreseförbud. Frågan huruvida uppgifterna kan lämnas till Polismyndigheten ska till en början prövas mot de ändmålsbestämmelser som kommer att finnas i den nya utlänningsdatalagen. Eftersom uppgifterna ofta torde omfattas av sekretess hos Migrationsverket, måste också övervägas om uppgifterna kan lämnas till Polismyndigheten trots sekretess. Utredningen föreslår en regel i den nya utlänningsdatalagen som innebär att personuppgifter som behandlats för ett primärt ändamål även får behandlas för att tillhandahålla information till en annan myndighet, om utlämnandet sker med stöd av lag eller förordning, se avsnitt 7.9.3. En bestämmelse som denna regel syftar på är generalklausulen i 10 kap. 27 § OSL. Det utlämnade som det här är fråga om bör trots sekretessen enligt utredningen normalt kunna ske med stöd av generalklausulen. Den behandling som utlämnandet innebär är då fullt möjlig även enligt den nya utlänningsdatalagen. Några särskilda föreskrifter om utlämnande som tar sikte på utlämnande av uppgifter av här aktuellt slag från Migrationsverket till Polismyndigheten behövs därför inte enligt utredningen.
11. Skadeståndsskyldighet efter kontroller av Schengenviseringar
11.1. Inledning
Av Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (kodexen om Schengengränserna) framgår att en utlänning som har en Schengenvisering är skyldig att låta gränskontrolltjänstemän ta hans eller hennes fingeravtryck vid in- eller utresa för kontroll av identiteten och av viseringens äkthet.
I en departementspromemoria som behandlar kodexen om Schengengränserna (EU:s gränskodex, Ds 2011:28) föreslogs bland annat att det i utlänningslagen (2005:716, UtlL) skulle införas en bestämmelse om skyldighet att lämna fingeravtryck i vissa situationer som följer av kodexen. I bestämmelsen föreslogs vidare att de fingeravtryck som tagits för kontrollen skulle förstöras så fort kontrollen hade slutförts. Detsamma gällde de biometriska data som tagits fram i samband med kontrollen.
Promemorian har remissbehandlats. Datainspektionen framhöll i sitt remissvar över promemorian att det inte fanns någon särskild bestämmelse om skadeståndsskyldighet för det fall uppgifter som tagits fram då fingeravtryck togs skulle behandlas i strid med förstöringsskyldigheten. Datainspektionen ansåg även att det närmare kunde behöva övervägas om någon av de befintliga skadeståndsbestämmelserna i personuppgiftslagen (1998:204, PUL) eller annan lagstiftning blir tillämplig eller om det finns behov av en särskild sådan bestämmelse.
En bestämmelse om skyldighet att lämna fingeravtryck finns nu i 9 kap. 8 c § UtlL (SFS 2015:91). Bestämmelsen innebär att en utlänning är skyldig att låta en polisman, en särskild förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av
identiteten och av Schengenviseringens äkthet genom sökning i informationssystemet för visering (VIS). Motsvarande skyldighet gäller även för en utlänning som vid en in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras mot VIS i identifieringssyfte. När en kontroll har genomförts ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits i samband med kontrollen. Det får således inte ske någon lagring av kontrollunderlaget.
Utredningen har fått i uppdrag att överväga behovet av särskilda bestämmelser om skadestånd om fingeravtryck och de biometriska data som tagits fram vid in- eller utresa för kontroll av identitet och av en Schengenviserings äkthet inte omedelbart förstörs. Om behov finns av sådana bestämmelser, ska förslag till bestämmelser lämnas.
11.2. Allmänt om kontroller av Schengenviseringar m.m.
11.2.1. Fingeravtryckskontroller enligt kodexen om Schengengränserna och utlänningslagen
Kodexen om Schengengränserna antogs den 15 mars 2006. Den har därefter ändrats. Bestämmelserna i kodexen om Schengengränserna och dess bilagor består till stora delar av omarbetade bestämmelser från den gemensamma handboken som kommissionen tog fram med anledning av Schengensamarbetet och från delar av Schengenkonventionen. Kodexen om Schengengränserna upphäver även delar av Schengenkonventionen. Genom kodexen om Schengengränserna har införts ett gemensamt regelverk för passage av yttre gränser. Kodexen ska också säkerställa att det inte förekommer någon gränskontroll av personer när de passerar inre gränser i enlighet med artikel 26 i fördraget om Europeiska unionens funktionssätt. Kodexen om Schengengränserna, som är direkt tillämplig i Sverige, innebär att det i Sverige gällande regelverket för bland annat personkontroll i samband med gränspassage innefattar såväl svenska nationella bestämmelser som bestämmelser på EU-nivå.
Förslagen i departementspromemorian EU:s gränskodex behandlades i regeringens proposition EU:s gränskodex (se prop. 2014/15:32). I propositionen föreslog regeringen vissa ändringar i utlänningslagen som motiverades av kodexen om Schengengränserna. Bland annat föreslogs en ny bestämmelse i 9 kap. 8 c § UtlL om en skyldighet att
lämna fingeravtryck i situationer som följer av kodexen om Schengengränserna. Bakgrunden till bestämmelsen är enligt regeringen den ändrade lydelsen av artikel 7.3 i kodexen om Schengengränserna. Ändringen innebär krav på noggrannare kontroller. Kodexen om Schengengränserna tar bara sikte på Schengenviseringar. Kodexen gäller som tidigare nämnts visserligen som lag i Sverige, men regeringen ansåg att artikel 7.3 inte utgjorde tillräckligt stöd för att ta fingeravtryck. Kodexen om Schengengränserna borde därför kompletteras med nationella regler om tagande av fingeravtryck. Varken kodexen om Schengengränserna eller VIS-förordningen, som reglerar informationssystemet för viseringar, innehåller några föreskrifter om hur fingeravtrycken ska hanteras efter det att kontrollen har genomförts. Fingeravtryck som tagits för kontroll borde enligt regeringen inte få användas för andra ändamål. En regel om omedelbar förstöring föreslogs därför (se prop. 2014/15:32 s. 27).
Regleringen om tagande av fingeravtryck finns som sagt numera i 9 kap. 8 c § UtlL. Av 9 kap. 1 § UtlL följer att Polismyndigheten ansvarar för kontrollen enligt kodexen om Schengengränserna samt att Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid kontrollen. Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid kontrollen. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken.
Fingeravtryckskontrollerna sker dels vid yttre gräns där verifiering sker att den person som lämnar fingeravtrycken är den som sökt aktuell visering, dels vid en fördjupad inresekontroll eller inre utlänningskontroll där identifiering sker av den kontrollerade personens fingeravtryck.
I praktiken är det vanligtvis Polismyndigheten som ensam utför fingeravtryckskontrollerna, dock med undantag för de kontroller (endast verifiering) som sker till sjöss. Dessa utförs av Kustbevakningen. Det är alltså sällan som Polismyndigheten i praktiken tar hjälp av Kustbevakningen i andra fall än vad nu nämnts eller av Tullverket och Migrationsverket på sätt som 9 kap. 1 § UtlL möjliggör.
Vid fingeravtryckskontrollerna använder Polismyndigheten särskilda fingeravtrycksläsare som automatiskt tar fingeravtryck, kontrollerar dem och sedan raderar dem. De fingeravtryck och biometriska data som tas fram i samband med kontrollerna förstörs alltså automatiskt efter genomförda kontroller. Kustbevakningen avser att köpa
in motsvarande fingeravtrycksläsare som Polismyndigheten har köpt, medan Migrationsverket och Tullverket i dag inte har några egna fingeravtrycksläsare för detta ändamål. Migrationsverket har dock egna fingeravtrycksläsare som skulle kunna byggas om för detta ändamål om behov uppkommer. Myndigheterna använder alltså inte någon gemensam utrustning för fingeravtryckskontroller enligt 9 kap. 8 § UtlL.
När det gäller frågan om skadestånd för det fall uppgifter skulle behandlas i strid med den föreslagna bestämmelsen om förstöringsskyldighet uttalades i propositionen att det är tveksamt om personuppgiftslagen är tillämplig, eftersom skadeståndsbestämmelsen i den lagen är formulerad på ett sådant sätt att den endast gäller vid behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen (se prop. 2014/15:32 s. 27). Vidare uttalades att det då i stället återstår att falla tillbaka på de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207).
11.2.2. Skadeståndsskyldighet vid olaglig personuppgiftsbehandling
Om det förekommit en olaglig behandling av personuppgifter beträffande en enskild och denna behandling kränkt honom eller henne, kan ersättningsskyldighet uppkomma. I skadeståndslagen finns allmänna bestämmelser om skadestånd som kan bli tillämpliga i sådana fall, men det finns även specialbestämmelser om skadestånd i 48 § PUL och i olika registerförfattningar, se exempelvis 2 kap. 2 § polisdatalagen (2010:361, PDL), 15 § förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdataförordningen) och 2 kap. 2 § kustbevakningsdatalagen (2012:145). Sistnämnda bestämmelser hänvisar dock till skadeståndsbestämmelsen i personuppgiftslagen. Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock jämkas, om det är skäligt och om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Specialbestämmelserna om skadestånd har företräde framför bestämmelserna i skadeståndslagen. I den utsträckning en ersätt-
ningsfråga inte berörs i specialbestämmelserna tillämpas de allmänna reglerna i skadeståndslagen (se prop. 1997/98:44 s. 143 f.). Exempel på sådana frågor kan vara frågor om hur ersättningen för en personskada eller sakskada ska beräknas (se 5 kap. skadeståndslagen) och om ansvaret när det finns flera skadeståndsskyldiga (se 6 kap. 3 § skadeståndslagen).
I den utsträckning en olaglig behandling ingår som ett led i ett sådant brott som avses i 2 kap. 3 § skadeståndslagen, kan ideellt skadestånd för lidande respektive ersättning för kränkning utgå enligt både skadeståndslagen och specialbestämmelser om skadestånd. Enbart den omständigheten att flera bestämmelser kan vara tillämpliga innebär dock inte att kränkningen ersätts med ett högre belopp.
En olaglig personuppgiftsbehandling kan i vissa fall utgöra en kränkning av bestämmelser i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Staten kan även då ha en skyldighet att utge skadestånd på grund av överträdelsen av konventionen.
Vid personuppgiftsbehandling är det alltid den personuppgiftsansvarige som är ytterst ansvarig för behandlingen gentemot den registrerade. Det är även den personuppgiftsansvarige som kan bli skadeståndsskyldig vid en olaglig behandling av personuppgifter. Normalt är den personuppgiftsansvarige den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till (se SOU 1997:39 s. 333 f.). I fråga om myndigheter regleras ofta vem som är personuppgiftsansvarig i olika registerförfattningar, se exempelvis 2 kap. 4 § PDL, 2 § utlänningsdataförordningen och 2 kap. 4 § kustbevakningsdatalagen.
11.3. Utredningens överväganden
Utredningens förslag: Bestämmelserna i 9 kap. 8 c § UtlL ska
kompletteras med en regel om att det är den myndighet som har utfört aktuella fingeravtryckskontroller som är ansvarig för att fingeravtrycken och biometriska data förstörs på föreskrivet sätt och att skadestånd kan utgå om förstöringsskyldigheten försummas.
11.3.1. Inledning
Ny lagstiftning har alltså införts som innebär att en utlänning är skyldig att låta vissa angivna myndighetspersoner ta hans eller hennes fingeravtryck för kontroll av identiteten och av en Schengenviserings äkthet (9 kap. 8 c § UtlL). Av regleringen följer också att de fingeravtryck och de biometriska data som tagits fram vid kontrollen omedelbart ska förstöras när en kontroll har genomförts. Någon lagring av kontrollunderlaget får alltså inte ske.
De fingeravtrycksläsare som används i dag för att ta aktuella fingeravtryck är konstruerade på så sätt att de fingeravtryck och biometriska data som tagits fram i samband med kontrollen automatiskt förstörs efter genomförd kontroll. Den använda tekniken innebär alltså att fingeravtryck och biometriska data i praktiken inte ska kunna lagras.
Det kan dock enligt utredningen inte helt uteslutas att tekniken någon gång kan fallera eller att någon fingeravtrycksläsare används som inte är utrustad med en automatisk förstöringsfunktion. Uppgifterna kan då finnas kvar efter kontroll. I sådana fall bör det – i likhet med vad som vanligtvis gäller i andra fall när olaglig behandling av den registrerades uppgifter förekommit – finnas en rätt för den enskilde till skadestånd för den skada och kränkning som uppstår.
Denna rätt till skadestånd kommer kanske sällan att aktualiseras, eftersom den som lämnat fingeravtryck ofta inte torde känna till om fingeravtrycken och biometriska data finns kvar efter kontrollen. En rätt till skadestånd bör enligt utredningen ändå finnas.
Frågan är då vilka möjligheter en enskild har till skadestånd, om inte fingeravtryck och de biometriska data som tagits fram i samband med kontrollen förstörs.
11.3.2. Behovet av särskilda bestämmelser om skadestånd m.m.
Regleringen i 9 kap. 8 c § UtlL innebär att Polismyndigheten, Tullverket, Kustbevakningen och Migrationsverket åläggs en viss personuppgiftsbehandling, bland annat genom skyldigheten att omedelbart förstöra tagna fingeravtryck och biometriska data som tagits fram i samband med fingeravtryckskontroller.
Om fingeravtrycken eller de biometriska data inte förstörs som föreskrivs, anser utredningen att en utgångspunkt bör vara att den enskilde ska ha rätt till skäligt skadestånd. Denna rätt till skadestånd bör motsvara den rätt som en registrerad har vid brott mot personuppgiftslagen enligt 48 § PUL. Någon rätt till skadestånd för ideell skada enligt skadeståndslagen torde nämligen normalt inte föreligga, eftersom en sådan rätt förutsätter att ett integritetskränkande brott begåtts.
Utredningen anser således att det är rimligt att en enskild bör ha samma möjligheter att få skadestånd om någon förstöring inte sker enligt 9 kap. 8 c § UtlL som när någon enskild utsätts för en olaglig behandling enligt personuppgiftslagen. Av intresse är därför om de bestämmelser om personuppgiftsbehandling för berörda myndigheter som finns i dag ger enskilda denna möjlighet till skadestånd om förstöringsskyldigheten enligt 9 kap. 8 c § UtlL inte iakttas.
De myndigheter som medverkar i kontrollerna enligt 9 kap. 8 c § UtlL är alltså Polismyndigheten, Tullverket, Kustbevakningen och Migrationsverket. Regler om personuppgiftsbehandling för dessa myndigheter finns i olika författningar. Den verksamhet som myndigheterna är ålagda att utföra enligt 9 kap. 8 c § UtlL avser utlänningskontroll utan samband med brottsbekämpning. Det innebär att varken polisdatalagen eller lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet är tillämpliga på den personuppgiftsbehandling som föreskrivs i 9 kap. 8 c § UtlL. Inte heller lär nuvarande utlänningsdataförordning vara tillämplig, eftersom personuppgiftsbehandlingen inte utförs i något verksamhetsregister (se 3 § utlänningsdataförordningen). Andra författningar som reglerar här aktuella myndigheters personuppgiftsbehandling torde dock i och för sig kunna vara tillämpliga på personuppgiftsbehandlingen. Ett exempel är kustbevakningsdatalagen som reglerar personuppgiftsbehandling hos Kustbevakningen. I denna lag finns en hänvisning till 48 § PUL. Hänvisningen till 48 § PUL innebär dock att den personuppgiftsansvarige ska ersätta den registrerade bara för sådan skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med kustbevakningsdatalagen och föreskrifter som har meddelats i anslutning till den lagen (se 2 kap. 2 § kustbevakningsdatalagen). Om förstöringsskyldigheten enligt 9 kap. 8 c § UtlL försummas, torde alltså något skadestånd inte kunna utgå med stöd av kustbevak-
ningsdatalagen och 48 § PUL. Motsvarande gäller i den utsträckning som personuppgiftslagen skulle vara tillämplig på här aktuell behandling. Skadestånd enligt personuppgiftslagen kan nämligen bara utgå vid behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen.
Det sagda innebär att det fordras någon författningsreglering om den enskilde ska kunna få skadestånd enligt 48 § PUL i de fall då fingeravtryck och biometriska data inte förstörs i enlighet med 9 kap. 8 c § UtlL.
Det finns då enligt utredningen i huvudsak två alternativ att välja mellan. Det ena alternativet är att göra ändringar i tillämpliga författningar som reglerar aktuella myndigheters personuppgiftsbehandling samt att utforma den nya utlänningsdatalagen på sådant sätt att skadestånd kan utgå enligt 48 § PUL om förstöringsskyldigheten inte iakttas. Det andra alternativet är att i 9 kap. 8 c § UtlL föra in en bestämmelse om att 48 § PUL gäller på motsvarande sätt, om inte fingeravtryck och biometriska data förstörs som föreskrivs i 9 kap. 8 c § UtlL.
För det första alternativet talar att regler som rör personuppgiftsbehandling i första hand bör finnas i författningar som reglerar myndigheters personuppgiftsbehandling inte i verksamhetsreglerande författningar, dock förutsatt att det finns någon lämplig författning. Fördelen med det andra alternativet är att en reglering i 9 kap. 8 c § UtlL blir tydligare. Både för tillämparna och de enskilda som berörs är detta en klar fördel. Utredningen förordar bland annat mot denna bakgrund det sistnämnda alternativet.
En särskild fråga är om alla berörda myndigheter bör kunna bli skadeståndsskyldiga vid försummad förstöring eller om detta ansvar bör läggas bara på en myndighet.
Det vore exempelvis tänkbart att låta Polismyndigheten ha detta ansvar ensam. Polismyndigheten har nämligen enligt 9 kap. 1 § UtlL ålagts huvudansvaret för aktuella kontroller och synes även i praktiken vara den myndighet som genomför kontrollerna (dock med undantag för kontrollerna till sjöss). En ordning med bara en ansvarig i detta avseende borde även medföra att oklarheter i ett visst fall om vem som är skadeståndsskyldig kan undvikas. Sådana oklarheter kan kanske uppstå om flera myndigheter biträder Polismyndigheten vid kontrollerna.
Utredningen anser dock att övervägande skäl talar för att det bör vara den myndighet som har utfört kontrollen som ska vara ansvarig för att uppgifterna förstörs. En sådan reglering utgår från de faktiska förhållandena om vilken myndighet som utfört eller underlåtit viss behandling. Regleringen innebär alltså att ingen myndighet åläggs ansvar för en annan myndighets verksamhet. En sådan ordning synes i dag vara den normala utgångspunkten vid reglering av personuppgiftsansvar, se SOU 2015:39 s. 331. Både regleringen i den nuvarande utlänningsdataförordningen och de nya författningarna som utredningen föreslår på området utgår även från denna princip.
En ny regel bör således enligt utredningen föras in i 9 kap. 8 c § UtlL. I den bör föreskrivas att 48 § PUL gäller på motsvarande sätt, om den myndighet som har utfört kontrollen av fingeravtryck inte förstör fingeravtrycken och biometriska data som föreskrivs i 9 kap. 8 c § UtlL.
12. Konsekvenser
12.1. Allmänt om konsekvensanalyser
Enligt utredningens direktiv ska utredningen bedöma de kostnader och konsekvenser som utredningens förslag kan komma att medföra. Om utredningens förslag förväntas leda till kostnadsökningar för det allmänna, ska utredningen föreslå hur dessa ska finansieras. För utredningen gäller härutöver bestämmelserna i kommittéförordningen (1998:1474), där 14–15 a §§ är av särskilt intresse.
Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska enligt 14 § kommittéförordningen en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kommittén föreslå en finansiering.
Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska enligt 15 § kommittéförordningen konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska enligt 15 a § kommittéförordningen förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
I avsnitten nedan redogör utredningen för sin bedömning av de konsekvenser i dessa avseenden som utredningens förslag kan antas medföra.
12.2. Utredningens överväganden
Utredningens bedömning: Genom förslagen till en utlännings-
datalag och en anslutande förordning skapas förutsättningar för Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna att bedriva sin verksamhet enligt utlännings- och medborgarskapslagstiftningen effektivt och med moderna och ändamålsenliga it-system. Samtidigt har regleringen anpassats till behovet av ett integritetsskydd för de risker som är förknippade med sådan personuppgiftsbehandling. Förslagen innebär en flexibel reglering som ger aktuella myndigheter möjlighet att fortlöpande utveckla och anpassa sina system för automatiserad behandling utan att det krävs ändringar i regelverket. På kortare sikt kan vissa utbildnings- och omställningskostnader uppstå för aktuella myndigheter. Sådana kostnader bör dock rymmas inom ordinarie anslag.
Förslaget att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas och Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas medför också initialt något ökade kostnader för berörda myndigheter; även dessa bör dock rymmas inom befintliga anslagsramar. På sikt bör förslagen att leda till ekonomiska besparingar.
Några sådana ekonomiska kostnadsökningar eller övriga konsekvenser som avses i 14–15 a §§kommittéförordningen (1998:1474) finns inte.
12.2.1. Förslaget till utlänningsdatalag m.m.
Utredningen har utarbetat ett förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (utlänningsdatalagen) och en anslutande förord-
ning (utlänningsdataförordningen) som föreslås ersätta den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Syftet med författningsförslagen är att införa en modern, ändamålsenlig och teknikoberoende lag för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling för att myndigheternas verksamhet enligt utlännings- och medborgarlagstiftningen ska kunna bedrivas så effektivt som möjligt. Härvid har behovet av skydd mot de risker som personuppgiftsbehandlingen kan medföra för att enskildas personliga integritet kränks beaktats.
Bestämmelserna om den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen (RF) innebär att utredningen ansett det nödvändigt att reglera de grundläggande bestämmelserna som rör skyddet mot intrång i den personliga integriteten i lag. Kompletterande bestämmelser har dock tagits in i författningar på lägre nivå.
Utlänningsdatalagen föreslås alltså vara tillämplig vid behandlingen av personuppgifter som utförs av Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. Regleringen berör dock även vissa andra myndigheter, nämligen Skatteverket, Försäkringskassan och Pensionsmyndigheten, som alltjämt föreslås ha direktåtkomst till vissa personuppgifter hos Migrationsverket.
Utredningen gör bedömningen att författningsförslagen inte kommer att innebära några större merkostnader för Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. De befintliga it-systemen kan enligt utredningens bedömning behållas. Eftersom förslagen är teknikoberoende kan även it-systemen utvecklas och ändras utan att lagstiftningen behöver ändras. De krav som regleringen ställer bör dock kunna uppfyllas genom en anpassning av de befintliga systemen och genom utbildning, information och instruktioner till personalen. Även förslaget om krav på avskiljande, som kan antas medföra vissa merkostnader för Migrationsverket, borde enligt utredningens bedömning inte vara mer omfattande än att det får anses utgöra en del av det ordinarie utvecklingsarbetet.
Mot denna bakgrund gör utredningen bedömningen att förslagen inte medför några förändringar i förutsättningarna för myndigheternas verksamhet som får sådana kostnadsmässiga konsekvenser som avses i 14 § kommittéförordningen och som inte ryms inom myndigheternas ordinarie budgetramar. Inte heller har förslagen några
sådana konsekvenser som avses i 15 § eller som ska redovisas enligt 15 a § kommittéförordningen.
Några särskilda åtgärder behöver inte vidtas inför ikraftträdande och det finns inte heller några behov av speciella informationsinsatser.
12.2.2. De särskilda frågorna
Registrering av kvalitetsomdöme
Utredningens förslag innebär att Migrationsverket får registrera identitetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, översättare och språkanalytiker. Med avvikelser avses i huvudsak uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag.
Förslaget, som syftar till att stärka rättssäkerheten för enskilda i asylprocessen, bör inte leda till några nya kostnader.
Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd
Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas och Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Migrationsverket inhämtar redan i dag en del av uppgifterna, som verket nu föreslås få direktåtkomst till. Det är endast ovannämnda myndigheter som berörs av förslaget.
Enligt utredningen bör den föreslagna direktåtkomsten leda till ett effektivare informationsutbyte och därmed också ett effektivare utnyttjande av de berörda myndigheternas resurser. Förslagen möjliggör en förbättrad kontroll vid handläggning av uppehållstillstånd för arbete och arbetstillstånd. På sikt bör förslagen leda till ekonomiska besparingar för de berörda myndigheterna genom att den administrativa arbetsbördan minskar.
På kortare sikt är det dock troligt att förslaget kan leda till ökade kostnader främst för att utveckla it-systemen för aktuell direktåtkomst och behandling av uppgifter, men även för support och förvaltning. Det är svårt att beräkna dessa kostnader närmare. Skäl att frångå den beräkning som gjorts i promemorian Åtgärder mot
missbruk av reglerna för arbetskraftsinvandring (Ds 2013:57) saknas
även om begränsade kostnader även torde uppkomma för Skatteverket, Försäkringskassan och Kronofogdemyndigheten. Utredningen bedömer dock att de ökade kostnaderna för myndigheterna inte blir större än att de kan finansieras inom deras befintliga anslagsramar.
Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister
Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716, UtlL). Förutom den registrerade är det Polismyndigheten och Migrationsverket som berörs av förslaget. Mot bakgrund av att Migrationsverket i praktiken redan i dag tar del av aktuella fingeravtryck, bör förslaget inte leda till några ökade kostnader.
Skadeståndsskyldighet efter kontroller av Schengenviseringar
Utredningen föreslår en klargörande regel om att det är den myndighet som har utfört fingeravtryckskontrollen enligt 9 kap. 8 c § UtlL som är ansvarig för att uppgifterna förstörs på föreskrivet sätt och att skadestånd kan utgå om förstöringsskyldigheten försummas. Förslaget berör, förutom den registrerade, i huvudsak endast Polismyndigheten, Kustbevakningen, Tullverket och Migrationsverket. I praktiken torde rätten till skadestånd enligt utredningen sällan aktualiseras. Eventuella kostnader för berörda myndigheter torde därför enligt utredningen vara försumbara.
Sammanfattande synpunkter
Utredningen gör, som angetts ovan, bedömningen att inte heller förslagen som rör de särskilda frågorna som utredningen haft i uppdrag att analysera medför sådana kostnadsmässiga konsekvenser som avses i 14 § kommittéförordningen och som inte ryms inom myndigheternas ordinarie budgetramar. Inte heller har förslagen några sådana konsekvenser som avses i 15 § eller som ska redovisas enligt 15 a § kommittéförordningen.
Några särskilda åtgärder behöver inte vidtas inför ikraftträdande och det finns inte heller några behov av speciella informationsinsatser.
13. Författningskommentar
13.1. Förslaget till utlänningsdatalag
Lagens syfte
1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten,
Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen anges det övergripande syftet med lagen. Syftet är att ge Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i avsnitt 7.2.
I bestämmelsen kommer lagens dubbla syfte till uttryck. Verksamhet på utlännings- och medborgarskapsområdet innebär omfattande behandling av personuppgifter, även av integritetskänslig art. Det är viktigt att Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har möjlighet att behandla personuppgifter på ett ändamålsenligt och effektivt sätt med hjälp av väl fungerande informationsteknik. För detta krävs en särreglering i förhållande till personuppgiftslagen (1998:204, PUL). Exempelvis ger utlänningsdatalagen myndigheterna möjlighet att behandla känsliga personuppgifter i större utsträckning än personuppgiftslagen medger. Samtidigt är lagens syfte att skydda människor mot att deras personliga integritet kränks vid denna behandling. För att stärka skyddet för den personliga integriteten innehåller lagen särskilda regler om för vilka ändamål behandlingen är tillåten, tillgången
till personuppgifter, sökbegränsningar, direktåtkomst, myndighets krav på att utse personuppgiftsombud, gallring i vissa fall och avskiljande. Därutöver gäller personuppgiftslagens bestämmelser om grundläggande krav på behandlingen, säkerhet vid behandlingen, personuppgiftsombudets uppgifter och tillsynsmyndighetens befogenheter.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:
1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. statusförklaring,
3. mottagande av asylsökande och andra utlänningar,
4. bistånd och stöd till utlänningar,
5. svenskt medborgarskap,
6. statlig ersättning för kostnader för utlänningar eller
7. bosättning av utlänningar.
Paragrafen anger lagens tillämpningsområde vad avser Migrationsverket och utlandsmyndigheterna. Övervägandena finns i avsnitt 7.3.4.
I 2 och 3 §§ anges uttömmande vilka myndigheters behandling av personuppgifter som regleras av lagen. Personuppgiftsbehandling som utförs inom sådan verksamhet som anges i bestämmelserna, men som utförs av annan myndighet än de som anges i lagen, faller således utanför lagens tillämpningsområde. Det gäller även personuppgiftsbehandling som utförs av enskilda.
Begreppen behandling och personuppgifter har samma betydelse som i 3 § PUL. Av det följer att behandling av personuppgifter som rör avlidna, ännu inte födda eller juridiska personer inte omfattas av lagens bestämmelser. Det finns dock inget hinder mot att utlänningsdatalagen ändå tillämpas vid behandling av sådana uppgifter.
I punkterna 1−7 beskrivs närmare vilken verksamhet som regleras av lagen. Uppräkningen är uttömmande. Fler än en av punkterna kan dock vara tillämpliga samtidigt.
Migrationsverkets och utlandsmyndigheternas verksamhet på utlännings- och medborgarskapsområdet har beskrivits närmare i avsnitt 7.3.4. Nedan kommenteras de olika punkterna översiktligt.
Med punkten 1 avses främst Migrationsverkets och utlandsmyndigheternas verksamhet enligt utlänningslagen (2005:716, UtlL) och utlänningsförordningen (2006:97) som rör visering, uppehållstillstånd, arbetstillstånd, avvisning, utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen avses. Vidare faller Migrationsverkets behandling av personuppgifter i ärenden om utvisning, förvar m.m. av utlänningar med stöd av lagen (1991:572) om särskild utlänningskontroll under denna punkt.
Punkten 2 omfattar Migrationsverkets behandling av person-
uppgifter i anledning av beslut om eller återkallelse av statusförklaring enligt 4 kap. 3−3 c och 5 b−5 c §§ UtlL.
Med punkten 3 avses Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Verksamhet som avser ekonomiskt bistånd eller stöd behandlas i punkten 4. Till punkten 3 hör också Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar, alltså flyktingar som blir erbjudna vidarebosättning i Sverige genom FN:s flyktingsorgan.
Punkten 4 rör Migrationsverkets verksamhet som gäller ekono-
miskt bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. och den anslutande förordningen (1994:361) om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses.
Med punkten 5 avses Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen (2001:82) om svenskt medborgarskap och medborgarskapsförordningen (2001:218).
Punkten 6 omfattar Migrationsverkets verksamhet som gäller
ersättning till kommuner, landsting, kommunalförbund och öppenvårdsapotek för vissa kostnader för utlänningar. Bestämmelser om sådan ersättning finns i förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.
Punkten 7 innefattar Migrationsverkets verksamhet som rör bo-
sättning av utlänningar. Bestämmelser om denna verksamhet finns i lagen (1994:137) om mottagande av asylsökande m.fl. och förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare.
Av uppräkningen ovan följer att lagen inte är tillämplig på myndigheternas interna administrativa ärendehantering som rör till exempel ekonomi- och personalfrågor. För behandling av personuppgifter i denna verksamhet gäller bestämmelserna i personuppgiftslagen. Även verksamhet som rör den europeiska flyktingfonden och den europeiska återvändandefonden faller utanför lagens tillämpningsområde.
3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.
Paragrafen anger lagens tillämpningsområde vad avser Polismyndigheten och Säkerhetspolisen. Övervägandena finns i avsnitt 7.3.4.
Lagen gäller vid behandling av personuppgifter i den verksamhet som Polismyndigheten utför med stöd av utlänningslagen och medborgarskapslagen och anslutande förordningar. Även myndighetens verksamhet enligt lagen om särskild utlänningskontroll omfattas. Det innefattar Polismyndighetens personuppgiftsbehandling i samband med personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Inom tillämpningsområdet faller också Polismyndighetens personuppgiftsbehandling i samband med beslut om avvisning och verkställighet av sådana beslut samt verkställighet av allmän domstols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning.
Paragrafen omfattar också personuppgiftsbehandling i samband med verkställighet av utlämningar och personuppgiftsbehandling vid överlämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375)om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.
Även Säkerhetspolisen har vissa uppgifter som regleras i utlänningslagstiftningen. Även om Säkerhetspolisen i huvudsak inom detta område bedriver verksamhet som omfattas av polisdatalagen kan det inte uteslutas att myndigheten även utför viss verksamhet där något brottsbekämpande inslag inte finns. Exempel på sådana situationer kan vara vid verkställighetsärenden som rör beslut om avvisning eller utvisning. Utlänningsdatalagen ska tillämpas i dessa fall.
4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
I paragrafen anges vilken personuppgiftsbehandling som regleras av lagen. Övervägandena finns i avsnitt 6.4.5 och 7.3.4.
Med personuppgifter avses detsamma som i 3 § PUL, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även begreppet behandling har samma innebörd som i den bestämmelsen. Därmed avses alltså varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, till exempel insamling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller samkörning samt utplåning eller förstöring.
Lagen är endast tillämplig om behandlingen av personuppgifter är helt eller delvis automatiserad eller om de ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. Lagen har i detta avseende samma tillämpningsområde som personuppgiftslagen, se 5 § PUL. Lagens gäller således inte helt manuell
behandling av personuppgifter som inte ingår i en samling som är tillgänglig för sökning.
5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då personuppgifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VISförordningen)(1),
3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),
4. polisdatalagen (2010:361) eller
5. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förordningen.
Det finns vissa lagar och EU-förordningar vars tillämpningsområde träffas av den beskrivning av utlänningsdatalagens tillämpningsområde som anges i 2 och 3 §§. I bestämmelsen förtydligas vilka sådana lagar och förordningar som ska ha företräde framför utlänningsdatalagen vid överlappande tillämpningsområden. Utlänningsdatalagen ska således inte tillämpas inom verksamhet som regleras av de i bestämmelsen angivna lagarna och EU-förordningarna. Övervägandena finns i avsnitt 7.4.
Lagen (2000:344) Schengens informationssystem reglerar behandling av personuppgifter som utförs av främst Polismyndigheten.
Behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informa-
tionssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (1) utförs av Migrationsverket, Polismyndigheten och utlandsmyndigheterna.
Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) reglerar utlandsmyndigheternas och Polismyndighetens verksamhet som rör viseringar.
Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling i brottsbekämpande verksamhet regleras av polisdatalagen. Se närmare om gränsdragningen mellan brottsbekämpande verksamhet och Polismyndighetens och Säkerhetspolisens verksamhet enligt utlännings- och medborgarskapslagstiftningen i avsnitt 7.3.4. Av paragrafen följer att polisdatalagen och inte utlänningsdatalagen ska tillämpas då personuppgifter behandlas med stöd av polisdatalagen.
Bestämmelser som reglerar Migrationsverkets och Polismyndighetens personuppgiftsbehandling i det s.k. Eurodacsystemet finns i Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning) (Eurodacförordningen).
I andra stycket anges att bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt VIS-förordningen, i den mån inte annat följer av den förordningen. Övervägandena finns i avsnitt 7.4 Eftersom personuppgiftslagens bestämmelser om rättelse m.m. och skadestånd enligt sin ordalydelse endast gäller vid behandling som skett i strid med personuppgiftslagen eller föreskrifter som meddelats med stöd av den lagen, krävs för att bestämmelserna ska vara tillämpliga en uttrycklig hänvisning till personuppgiftslagens bestämmelser. Bestämmelser
i VIS-förordningen har företräde framför personuppgiftslagens bestämmelser.
Den registrerades inställning
6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.
Enligt paragrafen får personuppgiftsbehandling som är tillåten enligt utlänningsdatalagen utföras även om den enskilde motsätter sig den. Övervägandena finns i avsnitt 7.5.
Förhållandet till personuppgiftslagen
7 § Om inte annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204) eller föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen reglerar utlänningsdatalagens förhållande till personuppgiftslagen. Bestämmelsen innebär att utlänningsdatalagen inom sitt tillämpningsområde helt ersätter personuppgiftslagen, utom i de fall som uttryckligen anges i 8 §. Det innebär att vid personuppgiftsbehandling som omfattas av lagen ska bestämmelser i personuppgiftslagen tillämpas endast om det finns en hänvisning till dem i 8 §. Övervägandena finns i avsnitt 7.6.
8 § Följande bestämmelser i personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter,
4. 22 § om behandling av personnummer,
5. 23 och 25–27 §§ om information till den registrerade,
6. 28 § om rättelse m.m.,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33−35 §§ om överföring av personuppgifter till tredjeland,
9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar,
11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd och 13. 51 §, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen gäller inte 8 § andra stycket personuppgiftslagen.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Paragrafen anger vilka bestämmelser i personuppgiftslagen som är tillämpliga vid personuppgiftsbehandling i verksamhet enligt 2 och 3 §§. Övervägandena finns i avsnitt 7.7.
Det följer av 7 § att bestämmelserna i personuppgiftslagen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av förevarande lag eller föreskrifter som meddelats i anslutning till lagen. I första stycket anges i tretton punkter vilka bestämmelser i personuppgiftslagen som trots detta ska tillämpas på motsvarande sätt vid behandling av personuppgifter i verksamhet enligt 2 och 3 §§. Uppräkningen är uttömmande.
Av punkten 1 följer att de definitioner som anges i 3 § PUL tillämpas även vid behandling av personuppgifter som omfattas av förevarande lag.
Punkten 2 hänvisar till 8 § PUL. Hänvisningen till 8 § PUL första
stycket medför att bestämmelserna i utlänningsdatalagen eller de bestämmelser till vilka lagen hänvisar inte ska tillämpas, om de skulle inskränka de tillämpande myndigheternas skyldighet enligt 2 kap. TF att lämna ut allmänna handlingar.
Genom hänvisningen till 8 § andra stycket PUL slås fast att bestämmelser i personuppgiftslagen inte hindrar att en myndighet arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. För vissa personuppgifter finns det dock särskilda gallringsföreskrifter, se 3, 12 och 13 §§ i utredningens förslag till förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen. Dessa bestämmelser har företräde framför bestämmelsen i 8 § andra stycket PUL. Det följer av paragrafens andra stycke.
Punkten 3 hänvisar till 9 § PUL. Paragrafen innehåller vissa grund-
läggande krav på behandlingen av personuppgifter. Hänvisningen till 9 § PUL innebär att den personuppgiftsansvarige ska se till att uppgifterna behandlas bara om det är lagligt och att de behandlas på
ett korrekt sätt och i enlighet med god sed (9 § första stycket a−b PUL). Hänvisningen innebär också att den personuppgiftsansvarige ska se till att personuppgifterna samlas in bara för särskilda, uttryckligt angivna ändamål (9 § första stycket c PUL). Genom hänvisningen gäller dessutom att personuppgifter inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket de samlades in (9 § första stycket d PUL). Finalitetsprincipens närmare betydelse på utlännings- och medborgarskapsområdet framgår av 13 §. För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler. Behandling av personuppgifter för dessa ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket PUL). Vid behandling för historiska, statistiska och vetenskapliga ändamål gäller emellertid vissa begränsningar för hur uppgifterna får användas (9 § fjärde stycket PUL).
Hänvisningen till 9 § PUL medför vidare att den personuppgiftsansvarige ska se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen, att de behandlade personuppgifterna är riktiga och, om det är nödvändigt, aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (9 § första stycket e–h PUL). Slutligen innebär hänvisningen att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (9 § första stycket i PUL). Bestämmelsen gäller endast för personuppgifter som inte ingår i allmänna handlingar. När det gäller personuppgifter som finns i allmänna handlingar har bestämmelsen i 8 § andra stycket PUL företräde. Enligt 9 § tredje stycket PUL får personuppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som anges i 9 § första stycket i PUL, dock inte längre än som behövs för dessa ändamål.
I punkten 4 hänvisas till 22 § PUL. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas i den verksamhet som definieras i 2 och 3 §§ utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Hänvisningen i punkten 5 till 23 § och 25–27 §§ PUL medför att den registrerades rätt till information enligt personuppgiftslagen ska tillämpas även vid behandling av personuppgifter enligt utlänningsdatalagen. Enligt 23 § PUL ska den personuppgiftsansvarige i samband med att personuppgifter samlas in självmant lämna den registrerade information om behandlingen av uppgifterna. I 25 § första stycket PUL anges att informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Av 25 § andra stycket PUL framgår emellertid att information inte behöver lämnas om sådant som den registrerade redan känner till. Enligt 26 och 27 §§ PUL är den personuppgiftsansvarige skyldig att en gång per år efter skriftlig ansökan lämna gratis information om huruvida personuppgifter som rör den sökande behandlas. Om sådan behandling sker, ska upplysning också lämnas om bland annat ändamålet med behandlingen. Undantag från informationsskyldigheten gäller för personuppgifter i löpande text som inte fått sin slutliga utformning, minnesanteckningar och liknande. Informationsplikten gäller inte heller i den utsträckning det råder sekretess eller tystnadsplikt för informationen.
I punkten 6 görs en hänvisning till 28 § PUL, som innehåller bestämmelser om rättelse, blockering och utplåning av uppgifter. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med utlänningsdatalagen eller de bestämmelser i personuppgiftslagen som lagen hänvisar till.
Punkten 7 hänvisar till 30 och 31 §§ samt 32 § första stycket
PUL som rör säkerhet vid behandling av personuppgifter.
I punkten 8 hänvisas till 33−35 §§ PUL som rör utlämnande av personuppgifter till tredjeland. Med tredjeland avses enligt 3 § PUL en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Enligt 33 § PUL gäller ett förbud mot att till tredjeland föra över personuppgifter som är under behandling eller ska behandlas i tredjeland, om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna.
I 34 § PUL och i 19 § utlänningsdatalagen, se nedan, finns undantag från förbudet i 33 § PUL.
I punkten 9 finns en hänvisning till 38–41 §§ PUL om personuppgiftsombud m.m. I 9 och 10 §§utlänningsdatalagen finns vissa särskilda bestämmelser om personuppgiftsansvar för Migrationsverket, Polismyndigheten Säkerhetspolisen och utlandsmyndigheterna. I 38−41 §§ PUL regleras personuppgiftsombudets uppgifter.
En hänvisning görs i punkten 10 till 42 § PUL. Bestämmelsen rör upplysningar till allmänheten om vissa behandlingar som inte anmälts till Datainspektionen.
I punkten 11 finns en hänvisning till 43 och 44 §§, 45 § första stycket och 47 § PUL. Bestämmelserna rör Datainspektionens befogenheter. Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till den personuppgiftsansvariges lokaler. Om Datainspektionen efter en begäran enligt 43 § PUL inte kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten enligt 44 § PUL förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. Av 45 § första stycket PUL följer vidare att Datainspektionen genom påpekanden eller liknande förfaranden ska försöka åstadkomma rättelse om inspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Om det inte går att få rättelse på något annat sätt eller om saken är brådskande, får inspektionen förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. Datainspektionen har också möjlighet att hos förvaltningsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Beslut om utplåning får dock inte fattas om det är oskäligt.
I punkten 12 regleras den registrerades rätt till skadestånd. En hänvisning till 48 § PUL innebär att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med utlänningsdatalagen eller bestämmelser som lagen hänvisar till har orsakat. Ersättningsskyldigheten kan i de fall det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Slutligen hänvisas, i punkten 13, till 51 §, 52 § första stycket och 53 § PUL. Bestämmelserna rör överklagande. Av hänvisningen till 51 § första stycket PUL följer att Datainspektionens beslut med stöd av utlänningsdatalagen som rör annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Enligt 51 § andra stycket PUL får Datainspektionen bestämma att ett sådant beslut ska gälla även om det överklagas. Av 52 § första stycket PUL följer att en myndighets beslut om information enligt 26 § PUL om rättelse och underrättelse till tredje man enligt 28 § PUL och om upplysningar enligt 42 § PUL får överklagas hos allmän förvaltningsdomstol. Andra beslut än de ovannämnda får enligt 53 § PUL inte överklagas.
I andra stycket anges hur gallringsbestämmelser i utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till lagen förhåller sig till bestämmelsen i 8 § andra stycket PUL. I 8 § andra stycket PUL slås fast att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av arkiveringsmyndighet. Utgångspunkten är att personuppgifter i allmänna handlingar som behandlas i verksamhet enligt 2 och 3 §§ ska bevaras i enlighet arkivlagens bestämmelser. Dock finns det några särskilda bestämmelser om gallring i 3, 12 och 13 §§ i utredningens förslag till förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen. Förevarande bestämmelse innebär att dessa gallringsbestämmelser har företräde framför regler om arkivering och bevarande.
I punkten 11 hänvisas till 44 och 45 §§ PUL. Förbud enligt dessa bestämmelser får enligt personuppgiftslagens lydelse förenas med vite. Av bestämmelsen i tredje stycket följer dock att förbud som meddelats i samband med tillsyn enligt utlänningsdatalagen inte får förenas med vite.
Personuppgiftsansvar
9 § Med undantag för vad som föreskrivs i andra stycket är den myndighet som anges i 2 och 3 §§ personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger den myndigheten att utföra.
Migrationsverket är även personuppgiftsansvarig för utlandsmyndigheternas automatiserade behandling av personuppgifter.
I paragrafen regleras vilken myndighet som ska vara personuppgiftsansvarig för behandlingen. Övervägandena finns i avsnitt 7.8.
Av första stycket följer att Migrationsverket, Polismyndigheten och Säkerhetspolisen är personuppgiftsansvariga för den behandling som respektive myndighet utför eller som det åligger myndigheten att utföra. Med detta menas att en myndighet ansvarar för den personuppgiftsbehandling som sker inom ramen för myndighetens verksamhet. Hos vem personuppgiftansvaret ska förläggas och hur det ska avgränsas får bedömas utifrån de faktiska omständigheterna i det särskilda fallet, se vidare härom i SOU 2015: 39 s. 698 f. Av detta följer exempelvis att det är Migrationsverket och inte Polismyndigheten som ansvarar för den personuppgiftsbehandling som Polismyndigheten utför när myndigheten registrerar och kontrollerar fingeravtryck åt Migrationsverket i och mot Migrationsverkets eget fingeravtrycksregister (B-filen), se närmare härom i avsnitt 7.10 och kapitel 10.
Av andra stycket följer att Migrationsverket utöver vad som anges i första stycket även är ansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter i den verksamhet som anges i 2 §. Detta personuppgiftsansvar åvilar enbart Migrationsverket. Ett delat personuppgiftsansvar för utlandsmyndigheternas automatiserade behandling av personuppgifter åsyftas således inte. Däremot ansvarar utlandsmyndigheterna ensamma för annan behandling som myndigheterna utför.
10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
I paragrafen regleras Migrationsverkets, Polismyndighetens och Säkerhetspolisens skyldighet att utse personuppgiftsombud. Övervägandena finns i avsnitt 7.8.
Enligt 37 § PUL behöver en personuppgiftsansvarig inte anmäla helt eller delvis automatiserad personuppgiftsbehandling till Datainspektionen om ett personuppgiftsombud utses och anmäls till inspektionen. Paragrafen föreskriver emellertid att det är obligatoriskt för Migrationsverket, Polismyndigheten och Säkerhetspolisen att utse
ett eller flera personuppgiftsombud. Motsvarande skyldighet föreligger dock inte för utlandsmyndigheterna. För utlandsmyndigheterna är det istället frivilligt att utse personuppgiftsombud.
Hänvisningen i 8 § första stycket 9 till 38–40 §§ PUL innebär att personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga vid Migrationsverket, Polismyndigheten och Säkerhetspolisen. Den personuppgiftsansvarige ska anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas.
Ändamål
11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får behandla personuppgifter om det är nödvändigt för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet eller
5. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
Paragrafen reglerar, tillsammans med 12 §, de primära ändamålen, dvs. de ändamål som personuppgifter får behandlas för vid de berörda myndigheterna i deras verksamhet enligt i 2 och 3 §§. De angivna ändamålen är uttömmande (jfr 13 §). Övervägandena finns i avsnitt 7.9.3.
En grundläggande förutsättning för att behandling ska vara tillåten är att den är nödvändig för ett eller flera i bestämmelsen angivna ändamål. Nödvändighetskravet i utlänningsdatalagen ska tolkas på samma sätt som motsvarande bestämmelse i 10 § PUL.
I punkten 1 anges att personuppgiftsbehandling får ske om det är nödvändigt för handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§. Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna får således inhämta och behandla uppgifter som är nödvändiga för att de ska kunna handlägga ärenden enligt de författningar som omfattas av lagens verksamhetsområde som detta närmare precise-
ras i 2 och 3 §§. Med handläggning avses här alla åtgärder myndigheterna kan behöva vidta vid hantering av ett ärende eller vid biträde av en annan myndighets ärende. Bestämmelsen ger inte bara stöd åt behandling av personuppgifter avseende den person som ärendet gäller utan även avseende andra personer om uppgifterna är nödvändiga för handläggningen av ärendet, såsom anhörig, referensperson eller ombud.
Enligt punkten 2 får behandling ske om det är nödvändigt för kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Detta ändamål innefattar den inre och yttre utlänningskontroll som utförs av Migrationsverket, Polismyndigheten och Säkerhetspolisen med stöd av utlänningslagen. Inom ändamålet ryms exempelvis behandling av uppgifter för att planera nära förestående kontroller av utlänningar som förväntas resa in i landet. När det gäller Polismyndigheten och Säkerhetspolisen omfattas inte sådan personuppgiftsbehandling som utförs i den brottsbekämpande verksamheten. Den regleras i stället av polisdatalagen.
Punkten 3 föreskriver att personuppgiftsbehandling är tillåten
om den är nödvändig för utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar. Med asylsökande och andra utlänningar avses utlänningar som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl.
Enligt punkten 4 får personuppgiftsbehandling utföras om den är nödvändig för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet. Bestämmelsen omfattar såväl myndigheternas granskning av handläggning av enskilda ärenden som mer övergripande översyn och utvärdering av myndighetens arbete. Under punkten faller även framställning av statistik, både sådan som ska användas inom den egna verksamheten och sådan som ska användas av andra myndigheter. Den mesta behandlingen av personuppgifter enligt denna punkt torde vara tillåten även utan denna uttryckliga bestämmelse, eftersom den kan anses utgöra en integrerad del av de berörda myndigheternas verksamhet och behandling av statistik får ske genom hänvisningen till 9 § PUL i 8 § ovan. Syftet med bestämmelsen är att tydliggöra dessa ändamål för både myndigheter som ska tillämpa bestämmelserna och för dem vars uppgifter behandlas.
Av punkten 5 följer att personuppgifter även får behandlas för fullgörande av en rättslig skyldighet att registrera eller på annat sätt
dokumentera en personuppgift. Exempel på sådan behandling kan vara diarieföring.
12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av
1. avgöranden, rättsutredningar och annan rättslig information eller
2. information rörande förhållanden i andra länder.
Paragrafen, som tillsammans med 11 § anger de primära ändamålen, reglerar Migrationsverkets möjlighet att behandla personuppgifter för ändamålen återsökning av avgöranden, rättsutredningar och annan rättslig information samt återsökning av information rörande förhållanden i andra länder. Övervägandena finns i avsnitt 7.9.3. Se närmare om nödvändighetskravet i samma avsnitt.
I avsnitt 5.2.10 beskrivs Lifos, Migrationsverkets informationssystem för rättsfall och landinformation. Migrationsverket har behov av att samla in och behandla personuppgifter för ändamålen återsökning av avgöranden, rättsutredningar och annan rättslig information samt återsökning av information rörande förhållanden i andra länder. Sådan behandling förekommer företrädelsevis i samband med handläggning av enskilda ärenden på myndigheten, men också i utbildningssammanhang. Bestämmelsen ger stöd för sådan behandling av personuppgifter.
13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas om det är nödvändigt för att tillhandahålla information
1. till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller
2. till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Paragrafen reglerar för vilka sekundära ändamål som personuppgifter får behandlas i de berörda myndigheternas verksamhet. Behandling enligt denna paragraf förutsätter att uppgifterna har samlats
in för något primärt ändamål som följer av 11 eller 12 §§. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem enligt förevarande paragraf. Övervägandena och avgränsningen av dessa ändamål finns redovisade i avsnitt 7.9.3. I samma avsnitt analyseras även nödvändighetskravet närmare.
Av första stycket punkten 1 framgår att personuppgifter som behandlats med stöd av 11 och 12 §§ även får behandlas om det är nödvändigt för att tillhandahålla information till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning. Uppgiftsutlämnande kan ske av olika anledningar. I vissa fall sker utlämnandet på grund av en skyldighet att lämna ut uppgifter till vissa utpekade myndigheter enligt olika författningar. Till exempel har enligt 17 kap. 3 § UtlL Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Se även förslaget till 17 kap. 4 § UtlL. I andra fall är myndigheterna enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra.
Den grundlagsfästa skyldigheten i 2 kap. TF att lämna ut allmänna handlingar som inte innehåller några sekretessbelagda uppgifter gäller oavsett vad som föreskrivs i författningar av lägre rang.
Vidare finns det ett antal författningar med bestämmelser som medger att uppgifter får lämnas ut även om någon skyldighet att göra så inte föreligger. Ett exempel på en sådan bestämmelse är 10 kap. 15 § offentlighets- och sekretesslagen (2009:400, OSL). I bestämmelsen anges att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen. Ett annat exempel är 10 kap. 27 § i samma lag som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.
Av första stycket punkten 2 framgår att personuppgifter som behandlats med stöd av 11 och 12 §§ även får behandlas om det är nödvändigt för att tillhandahålla information till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Bestämmelse ger således stöd för själva behandlingen av personuppgifterna, medan utrymmet för att utlämna dem kan begränsas av bestämmelser om sekretess.
Om uppgifterna är sekretessbelagda, måste det vara fråga om ett tillåtet utlämnande enligt offentlighets- och sekretesslagen, jfr 8 kap. 3 § OSL angående utlämnande till utländska myndigheter eller mellanfolkliga organisationer. Är det fråga om en särskilt föreskriven uppgiftsskyldighet i lag eller förordning följer av 8 kap. 3 § första punkten OSL att sekretess inte hindrar ett utlämnande. Med lag eller förordning likställs en EU-förordning, se SOU 2015:39 s. 490.
Utgångspunkten är att de nu redovisade sekundära ändamålen i allt väsentligt ska täcka in det tillhandahållande av information som kan komma i fråga för de berörda myndigheterna. I andra stycket tydliggörs dock att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i första stycket måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Det innebär att den nya behandlingen ska stå i överensstämmelse med finalitetsprincipen. Någon annan vidarebehandling än den nu beskrivna är inte tillåten.
Migrationsverkets fingeravtrycks- och fotografiregister
14 § Migrationsverket får föra automatiserade register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).
Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap.1–2 a §§utlänningslagen åberopas, i ärenden om avvisning och utvisning samt i testverksamhet.
Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet fotografi.
Uppgift om fingeravtryck får även behandlas när det är nödvändigt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycksregister som Polismyndigheten för enligt 4 kap.11–17 §§polisdatalagen (2010:361).
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.
I paragrafen anges att Migrationsverket får behandla personuppgifter i automatiserade register över de fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § UtlL. Övervägandena finns i avsnitt 7.10.3.
Av skäl som anges i avsnitt 7.10.3 regleras behandling av personuppgifter i Migrationsverkets fingeravtrycks- och fotografiregister särskilt. Att Migrationsverket har möjlighet att behandla uppgifter om fingeravtryck och fotografier följer redan av bestämmelserna i 2 och 11 §§. Paragrafen innebär dock att möjligheten till behandling inskränks i förhållande till vad som gäller enligt dessa bestämmelser. Registren får endast innehålla fingeravtryck och fotografier som Migrationsverket har tagit med stöd av 9 kap. 8 § UtlL, dvs. om utlänningen fyllt 14 år och inte kan styrka sin identitet när han eller hon kommer till Sverige, ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar. Paragrafen anger även uttömmande för vilka ändamål uppgifterna i registret får användas. I sista meningen i paragrafens första stycke anges att registren endast får användas vid prövning av ansökningar om uppehållstillstånd där utlänningen åberopar att han eller hon är flykting, alternativt skyddsbehövande eller övrig skyddsbehövande, i ärenden om avvisning och utvisning samt i testverksamhet.
I andra stycket anges att Migrationsverkets fotografiregister även vid behov får användas för att kontrollera identiteten av en person på ett till verket inkommet fotografi, se närmare härom i avsnitt 7.10.2 och 7.10.3.
I tredje stycket anges att personuppgifter som behandlas enligt första stycket även får behandlas när det är nödvändigt för att tillhandahålla information för att verket ska kunna kontrollera fingeravtryck mot fingeravtrycksregister som Polismyndigheten för enligt 4 kap.11–17 §§polisdatalagen (2010:361), se närmare härom i kapitel 10.
I fjärde stycket finns en upplysning om att ytterligare bestämmelser om vilka uppgifter som får behandlas och om gallring meddelas av regeringen. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns dessa bestämmelser i 2 och 3 §§.
Behandling av känsliga personuppgifter
15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Därutöver får känsliga personuppgifter behandlas endast
1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller
2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Paragrafen reglerar personuppgiftsbehandling av känsliga personuppgifter enligt 13 § PUL. Övervägandena finns i avsnitt 7.11.4.
Enligt 13 § PUL är det förbjudet att behandla personuppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga personuppgifter. I 15 § PUL görs undantag från förbudet om den registrerade har lämnat sitt samtycke eller på ett tydligt sätt offentliggjort uppgifterna. I 16−20 §§ PUL finns ytterligare undantag från förbudet.
Paragrafen gör undantag från förbudet genom att tillåta behandling av känsliga personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen i sådan verksamhet som anges i 2 och 3 §§. Känsliga personuppgifter får behandlas om den registrerade har lämnat sitt samtycke eller på ett tydligt sätt offentliggjort uppgifterna. Vad gäller den praktiska betydelsen av kravet på samtycke, se avsnitt 7.11.4. Bestämmelserna motsvarar 15 § PUL. Därutöver får känsliga personuppgifter endast behandlas för de ändamål som anges i punkterna 1 och 2.
Enligt punkten 1 får känsliga personuppgifter behandlas för ändamålen handläggning av ärenden eller en myndighets biträde i sådana ärenden, inre och yttre utlänningskontroll, mottagande och bosättning av asylsökande och andra utlänningar, tillsyn, kontroll, uppföljning, planering av verksamheten eller framställning av statistik och testverksamhet, dokumenteringsskyldighet samt uppgiftsutlämnande i vissa fall. Ett ytterligare krav är att behandling endast är tillåten om uppgifterna är absolut nödvändiga för syftet med behandlingen. Vad som avses med rekvisitet absolut nödvändig har preciserats i avsnitt 7.11.4.
I Migrationsverkets behandling av personuppgifter som rör förhållanden i andra länder är det av vikt att kunna behandla även känsliga personuppgifter, till exempel uppgifter om sexuell läggning.
Punkten 2 ger Migrationsverket stöd för behandling av känsliga
personuppgifter i löpande text för återsökning av information rörande förhållanden i andra länder. Behandling får dock endast ske om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §. Däremot är det över huvud taget inte tillåtet att behandla känsliga personuppgifter för återsökning av avgöranden, rättsutredningar och annan rättslig information.
I 21 § finns en upplysning om att regeringen kan meddela närmare föreskrifter om gallring av känsliga personuppgifter.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Paragrafen reglerar den interna tillgången till personuppgifter för personal som arbetar inom Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandmyndigheterna i verksamhet som faller under lagens tillämpningsområde. Övervägandena finns i avsnitt 7.12.2.
I första stycket slås fast att tillgången till personuppgifter hos ovannämnda myndigheter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bakgrunden till bestämmelsen är att integritetsrisken vid behandling av personuppgifter är större ju fler personer som har tillgång till uppgifterna. Tillgången till uppgifter ska därför i så stor utsträckning som möjligt begränsas till den krets av personer som är i behov av dem för att kunna utföra sina arbetsuppgifter. Det är den personuppgiftsansvariga myndigheten som har ansvar för att avgöra vilka uppgifter respektive anställd behöver för att kunna fullgöra sina uppgifter. Myndigheten ansvarar också för att datasystemen utformas så att det är möjligt att på ett ändamålsenligt sätt begränsa tillgången till information på individnivå. Bestämmelsen har särskilt stor betydelse i
de fall som myndigheterna medges direktåtkomst till andra myndigheters personuppgifter, se avsnitten 7.15.2 och 9.3.2.
I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns dessa bestämmelser i 4 och 5 §§.
Sökning
17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 11 § 1−3 och 5 samt 13 §
Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.
Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.
I paragrafen finns bestämmelser som begränsar användningen av sökbegrepp vid behandling av personuppgifter som omfattas av utlänningsdatalagens tillämpningsområde. Övervägandena finns avsnitt 7.13.2.
Bestämmelsen i första stycket medför att känsliga personuppgifter trots bestämmelsen i 15 § inte får användas som sökbegrepp för de ändamål som anges i 11 § 1−3 och 5 samt 13 §. Känsliga personuppgifter får alltså däremot användas som sökbegrepp vid behandling av personuppgifter om det är nödvändigt för behandling av personuppgifter för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet (11 § 4).
När det gäller återsökning av information rörande förhållanden i andra länder får enligt andra stycket personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Känsliga personuppgifter får över huvud taget inte behandlas för återsökning av avgöranden, rättsutredningar och annan rättslig information och kan därför inte heller användas som sökbegrepp vid behandling för detta ändamål.
Inte heller får personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden användas som sökbegrepp. Uppgifter om förvar får dock användas som sökbegrepp.
Direktåtkomst
18 § Direktåtkomst till personuppgifter som behandlas automatiserat hos
Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.
Direktåtkomst till personuppgifter som Migrationsverket behandlar får medges
1. Polismyndigheten för ändamål som anges i 11 § 1–3 och 14 §,
2. Säkerhetspolisen för ändamål som anges i 11 § 1–3 samt
3. utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket för ändamål som anges i 11 § 1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
I paragrafen anges under vilka förutsättningar direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket får medges. Vad som avses med direktåtkomst redovisas i avsnitt 7.15.2. Paragrafen har ingen sekretessbrytande effekt.
Av första stycket följer att regleringen när direktåtkomst får medges är uttömmande. Det innebär att Migrationsverket inte kan medge ytterligare direktåtkomst utöver den som regleras i paragrafen, vare sig till andra myndigheter eller till enskilda.
I andra stycket anges både vilka myndigheter som får medges direktåtkomst till personuppgifter som Migrationsverket behandlar automatiserat och för vilka ändamål som detta får ske. De myndigheter som får medges direktåtkomst är Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket.
De myndigheter som medges direktåtkomst får inte använda direktåtkomsten för andra ändamål än de som paragrafen tillåter myndigheterna att ha direktåtkomst för. Det innebär till exempel att Polismyndigheten i brottsutredande syfte inte får använda direktåtkomsten till Migrationsverkets uppgifter för att kontrollera en brottsmisstänkt utlänning. Polismyndighetens och Säkerhetspolisens
direktåtkomst för ändamålet kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige avser således utlänningskontroll utan samband med brottsbekämpning.
I 14 § utlänningsdatalagen finns bestämmelser om bland annat Migrationsverkets fingeravtrycksregister. Det är Polismyndigheten som handhar, förvaltar och underhåller Migrationsverkets fingeravtrycksregister utan att verket har någon tillgång till sitt eget register. Det är således Polismyndigheten som registrerar och gör fingeravtrycksjämförelser i registret för Migrationsverkets räkning, se avsnitt 7.10. För att detta ska vara möjligt måste Polismyndigheten medges direktåtkomst till Migrationsverkets uppgifter för detta ändamål.
I tredje stycket finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns sådana bestämmelser i 6−9 §§. I dessa bestämmelser specificeras i viss utsträckning vilka uppgifter som får omfattas av direktåtkomsten.
Överföring av personuppgifter till tredjeland
19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.
I paragrafen görs ytterligare undantag från personuppgiftlagens grundläggande förbud mot överföring av personuppgifter till tredjeland. Övervägandena finns i avsnitt 7.7.8.
Som följer av 8 § första stycket 8 är 33−35 §§ PUL tillämpliga i verksamhet inom utlännings- och medborgarskapslagstiftningen. I 33 § PUL finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifterna.
Bestämmelsen, som kompletterar undantagen i 34 § PUL, innebär att det utan den registrerades samtycke är tillåtet att även föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för i paragrafen angivna ändamål.
I andra stycket finns en upplysning om att ytterligare bestämmelser om vilka personuppgifter som får föras över till tredjeland och om till vilka mottagare överföringen får ske meddelas av regeringen. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns dessa bestämmelser i 10 §.
Avskiljande
20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § ska avskiljas från automatiserad behandling i myndighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.
Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
I paragrafen regleras avskiljande av personuppgifter som inte längre är nödvändiga för verksamheten. Övervägandena finns i avsnitt 7.16.2.
Enligt paragrafens första stycke ska den personuppgiftsansvariga myndigheten avskilja personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1−3 och 13 § när uppgifterna inte längre är nödvändiga för verksamheten. Elektroniskt bevarande av personuppgifter i den verksamhet som regleras i utlänningsdatalagen ska styras av det arkivrättsliga regelverket. Det innebär att uppgifterna som huvudregel ska bevaras. Med hänsyn till integritetsintresset kan myndigheterna inte tillåtas ha en oförändrad åtkomst till personuppgifter som inte längre är nödvändiga för de uppgifter som det åligger respektive myndighet att utföra. När uppgifterna inte längre behövs för den löpande verksamheten ska de därför avskiljas. Med avskiljande menas att personuppgifter tas bort från
automatiserade uppgiftssamlingar som används i verksamheten enligt 2 och 3 §§. Det åligger den personuppgiftsansvariga myndigheten att införa rutiner för när avskiljande ska ske och på vilket sätt. Avskiljandet får inte innebära att uppgifter gallras i strid med arkivlagens (1990:782) bestämmelser eller föreskrifter som har meddelats med stöd av den lagen.
I andra stycket anges att behörighet för åtkomst till avskilda personuppgifter endast får ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter. Genom kravet på att det ska föreligga ett absolut behov för att få tillgång till uppgifterna betonas att åtkomsten ska vara starkt begränsad. I främst Migrationsverkets verksamhet finns dock ett behov av att kunna komma åt uppgifter i redan avslutade ärenden. Det kan till exempel vara aktuellt när en person åberopar anknytning som skäl för uppehållstillstånd och en tjänsteman därför behöver komma åt uppgifter som rör anknytningspersonen i ett avslutat ärende. Åtkomst ska därför inte bara beviljas arkiveringspersonal utan även handläggare som kan vara i behov av uppgifter som är avskilda i sitt dagliga arbete. Det åligger den personuppgiftsansvariga myndigheten att se till att tillgången till avskilda uppgifter begränsas på redovisat sätt. Avskilda uppgifter får inte omfattas av direktåtkomst enligt 18 §.
I tredje stycket finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om avskiljande såvitt avser personuppgifter som behandlas av annan myndighet men för vars behandling verket är personuppgiftsansvarig. Med annan myndighet avses här i praktiken Migrationsverket. Bestämmelsen ger stöd för den personuppgiftsansvariga myndigheten att meddela närmare föreskrifter om avskiljande avseende de uppgifter som behandlas i den egna verksamheten. Migrationsverket är enligt 9 § emellertid personuppgiftsansvarig myndighet även för utlandsmyndigheternas automatiserade behandling av personuppgifter. Eftersom Migrationsverket inte är överordnat utlandsmyndigheterna, krävs en uttrycklig bestämmelse om Migrationsverkets föreskriftsrätt. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns bestämmelser härom i 11 §.
Gallring
21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga biträden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag.
Övervägandena finns i avsnitten 7.11.4 och 8.3.7. Paragrafen upplyser om regeringens möjlighet att meddela föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga biträden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag. Föreskrifter härom finns i 12 och 13 §§ i utredningens förslag till en ny utlänningsdataförordning.
Säkerhetsåtgärder
22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Övervägandena finns i avsnitt 7.17. Paragrafen upplyser om regeringens möjlighet att meddela föreskifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets ansvar. Föreskriftsmöjligheten kan överlåtas till myndighet som regeringen bestämmer, i praktiken Migrationsverket. I utredningens förslag till en förordning med kompletterande föreskrifter rörande personuppgiftsbehandlingen finns bestämmelser härom i 14 §.
13.2. Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
2 kap.
8 b § Migrationsverket får medges direktåtkomst till uppgifter som avses i 3 §
1–5 och 11 om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen . Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen är ny. Paragrafen har sin bakgrund i Migrationsverkets behov av uppgifter vid verkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd. Övervägandena finns i avsnitt 9.3.
I första stycket regleras vilka uppgifter i beskattningsdatabasen som Migrationsverket får medges direktåtkomst till och under vilka förutsättningar direktåtkomst får förekomma. Uppgifterna ska behövas vid handläggning av sådana ärenden som anges i paragrafen.
I andra stycket finns en upplysning om att ytterligare bestämmelser om omfattningen av direktåtkomsten samt om behörighet och säkerhet meddelas av regeringen.
Utredningen föreslår att sekretessbrytande bestämmelser och bestämmelser som preciserar omfattningen av direktåtkomsten och som rör behörighet och säkerhet tas in i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
13.3. Förslaget till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
2 kap.
27 a § Migrationsverket får medges direktåtkomst till uppgifter som avses i
5 § första stycket 3 om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716) ,
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen .
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen är ny. Paragrafen har sin bakgrund i Migrationsverkets behov av uppgifter vid verkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd. Övervägandena finns i avsnitt 9.3.
I första stycket regleras vilka uppgifter i utsöknings- och indrivningsdatabasen som Migrationsverket får medges direktåtkomst till och under vilka förutsättningar direktåtkomst får förekomma. Uppgifterna ska behövas vid handläggning av sådana ärenden som anges i paragrafen.
I andra stycket finns en upplysning om att ytterligare bestämmelser om omfattningen av direktåtkomsten samt om behörighet och säkerhet meddelas av regeringen.
Utredningen föreslår att sekretessbrytande bestämmelser och bestämmelser som preciserar omfattningen av direktåtkomsten och som rör behörighet och säkerhet tas in i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
13.4. Förslaget till lag om ändring av utlänningslagen (2005:716)
9 kap.
8 c § Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), i den ursprungliga lydelsen.
Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.
När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.
Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör fingeravtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.
Enligt paragrafen är vissa personer vid in- eller utresekontroll skyldiga att låta en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för olika kontroller.
I fjärde stycket, som är nytt, regleras visst skadeståndsansvar. Övervägandena finns i avsnitt 11.3. Regleringen innebär att bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204) ska tillämpas på motsvarande sätt om en myndighet som utfört kontroller enligt första eller andra stycket inte förstör fingeravtryck och biometriska data på sätt som föreskrivs i tredje stycket. Hänvisningen innebär att en person som lider skada och drabbas av en kränkning av den personliga integriteten därför att uppgifterna inte förstörs kan få skadestånd.
17 kap.
4 § Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att
ta del av sådana uppgifter som myndigheterna får medges direktåtkomst till enligt utlänningsdatalagen (0000:00) .
Paragrafen är ny. Övervägandena finns i avsnitten 7.10.3, 7.15.2 och 10.3.
Paragrafen innehåller en uppgiftsskyldighet för Migrationsverket gentemot Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna. Uppgiftsskyldigheten bryter den sekretess som kan gälla för uppgifterna hos Migrationsverket, se 10 kap. 28 § OSL. Genom paragrafen har Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna rätt att ta del av sådana uppgifter som myndigheterna får medges direktåtkomst till enligt 18 § utlänningsdatalagen (0000:00). Paragrafen innebär bland annat att Migrationsverket kan lämna fingeravtryck som verket har tagit till Polismyndigheten för registrering i verkets fingeravtrycksregister (B-filen). Fingeravtryck kan också lämnas till Polismyndigheten för kontroll mot verkets eget fingeravtrycksregister och Polismyndighetens fingeravtycksregister.
Frågan om Migrationsverkets och Polismyndighetens personuppgiftsansvar behandlas närmare i kapitel 10.
13.5. Förslaget till lag om ändring i socialförsäkringsbalken (2010:110)
114 kap.
1 § I detta kapitel finns allmänna bestämmelser i 2−5 §§.
Vidare finns bestämmelser om – personuppgiftslagen och personuppgiftsansvar i 6 §, – ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§, – tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 a §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§, – överföring av personuppgifter till tredjeland i 29 §, – information i 30 §,
– gallring i 31 §, – avgifter i 32 §, – rättelse och skadestånd i 33 §, – kontrollverksamhet i 34 §, – tystnadsplikt i 35 § och – överklagande i 36 §
Paragrafen utgör en innehållsförteckning till kapitlet, som reglerar behandling av personuppgifter i verksamhet som bland annat gäller förmåner enligt socialförsäkringsbalken. Övervägandena finns i avsnitt 9.3.
Sjätte strecksatsen i paragrafen har utökats med en hänvisning till en ny paragraf i kapitlet, 23 a §.
17 § Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen och till person-
uppgifter hos Migrationsverket ska begränsas till vad som behövs för att den
enskilde ska kunna fullgöra sina arbetsuppgifter.
Paragrafen reglerar tilldelning av behörighet. Övervägandena finns i avsnitt 9.3.
Första stycket är oförändrat. I andra stycket, som reglerar åtkomst-
behörighet, har en ny begränsning vad gäller den enskilde tjänstemannens åtkomst till personuppgifter införts. Ändringen innebär att behörigheten för åtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndighten ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter. Ändringen är föranledd av att Försäkringskassan och Pensionsmyndigheten får medges direktåtkomst till personuppgifter hos Migrationsverket i vissa fall, se 18 § utlänningsdatalagen (0000:00).
23 a § Migrationsverket får medges direktåtkomst till uppgifter i socialförsäk-
ringsdatabasen om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen är ny. Paragrafen har sin bakgrund i Migrationsverkets behov av uppgifter vid verkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd. Övervägandena finns i avsnitt 9.3.
I första stycket föreskrivs att Migrationsverket får medges direktåtkomst till uppgifter i socialförsäkringsdatabasen och under vilka förutsättningar direktåtkomst får förekomma. Uppgifterna ska behövas vid handläggning av sådana ärenden som anges i paragrafen.
I andra stycket finns en upplysning om att ytterligare bestämmelser om omfattningen av direktåtkomsten samt om behörighet och säkerhet meddelas av regeringen.
Utredningen föreslår att sekretessbrytande bestämmelser och bestämmelser som preciserar omfattningen av direktåtkomsten och som rör behörighet och säkerhet tas in i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration.
13.6. Förslaget till lag om ändring i polisdatalagen (2010:361)
2 kap.
8 § Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,
4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,
5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,
6. verksamhet hos Migrationsverket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11–17 §§ eller
7. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.
I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första−tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Paragrafen reglerar de s.k. sekundära ändamålen för behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet. Övervägandena finns i avsnitt 10.3.
I första stycket 6 har en ny bestämmelse införts som ger stöd för att Polismyndigheten får behandla personuppgifter för att tillhandahålla Migrationsverket information, som Polismyndigheten fått fram då myndigheten har jämfört fingeravtryck tagna av Migrationsverket mot Polismyndighetens fingeravtrycksregister. Den bestämmelsen som tidigare fanns i första stycket 6 har placerats i första stycket 7. I övrigt har endast redaktionella ändringar gjorts.
18 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11–17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Motsvarande gäller för
Migrationsverket avseende personuppgifter som behandlas i fingeravtrycksregister enligt första stycket, om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.
Paragrafen innehåller en sekretessbrytande bestämmelse. Övervägandena finns i avsnitt 10.3.
Paragrafen har kompletterats med en andra mening som innebär att Polismyndigheten kan lämna ut uppgifter ur myndighetens fingeravtrycksregister till Migrationsverket trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § OSL. För att uppgifter ska få lämnas ut krävs att Migrationsverket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.
Särskilt yttrande
av experten Christer Pettersson
Jag delar i huvudsak utredningens bedömningar. Detta särskilt mot utredningens förmåga att på ett mycket bra sätt omhänderta komplexa registerlagsfrågor gällande Migrationsverkets personuppgiftsbehandling.
Jag har emellertid en annan uppfattning än utredningen när det gäller frågan om bestämmelsen gällande direktåtkomst. Min uppfattning är att det av bestämmelsen om direktåtkomst borde framgå att part, dvs. sökande ska ingå i kretsen av berättigade till direktåtkomst gällande uppgifter som hänför sig till parten. Med part avses också partens ombud/biträde.
Det är i sig viktigt att en bestämmelse om direktåtkomst är uttömmande och därmed integritetsskyddande gällande vilka myndigheter som ska beviljas direktåtkomst. Men det skulle bli en ytterst olycklig situation för arbetet med att öka tillgängligheten, förkorta handläggningstiden och förbättra partens möjlighet till partsinsyn ifall part inte skulle kunna ta del av ett antal uppgifter i egna ärenden. Rätten till partsinsyn talar för att part bör ingå i den krets som kan beviljas en direktåtkomst till uppgifter i det egna ärendet. Med detta följer ett ansvar för personuppgiftsansvarig, dvs. myndigheten att säkerställa att åtkomsten är säker genom en behovs- och riskanalys, informationsklassning, gallringsregler, autentiseringslösningar och andra säkerhetsåtgärder.
Utgångspunkten är att säkerställa partens rätt till service och partsinsyn enligt förvaltningslagen (1986:223). Part behöver ofta få uppgifter från myndigheten, framför allt i fråga om handläggningen. Om part ges möjlighet att ha direktåtkomst till vissa uppgifter i egna ärenden kan tid sparas både för dem själva och för myndigheten. För enskilda parter skulle direktåtkomsten kunna leda till ökad
tillgänglighet till myndigheten. En sådan utveckling är positiv och ligger i linje med en allmänna strävan att utveckla e-förvaltning. De ovan beskrivna intressena av effektivitet, tillgänglighet och insyn väger tungt, samtidigt som integritetsriskerna är begränsade om direktåtkomsten endast avser uppgifter i egna ärenden. Ovanstående har även delvis berörts inom ramen för Domstolsdatalags- och Informationshanteringsutredningen.
Även om ovanstående fråga väcktes sent inom ramen för utredningens arbete är det i vart fall väsentligt att frågan blir omhändertagen inom ramen för det fortsatta lagstiftningsarbetet.
Kommittédirektiv 2014:76
Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
Beslut vid regeringssammanträde den 28 maj 2014
Sammanfattning
En särskild utredare ska utarbeta förslag till en lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och anpassa författningsregleringen på området till nationella bestämmelser och internationella åtaganden.
Utredaren ska bl.a.
- kartlägga nuvarande behandling och analysera framtida behov av att behandla personuppgifter enligt utlännings- och medborgarskapslagstiftningen,
- beakta enskildas behov av skydd för sin personliga integritet,
- beakta behovet av en rättslig reglering som ger myndigheter möjlighet att hantera information på ett effektivt sätt,
- analysera förutsättningarna för att i författning ge Migrationsverket en möjlighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker, och
- analysera behovet av och förutsättningarna för ett effektivare informationsutbyte mellan Migrationsverket och vissa andra myndigheter.
Uppdraget ska redovisas senast den 31 juli 2015.
Skydd för den personliga integriteten
Gällande nationell rätt och internationella åtaganden
Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen (RF). Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket RF att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock enligt 2 kap. 20 § första stycket 2 RF under vissa förutsättningar göras i lag. I en övergångsbestämmelse anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Grundlagsändringen medför bl.a. att viss personuppgiftsbehandling som för närvarande regleras i förordning i framtiden måste regleras i lag.
I Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) finns bestämmelser om automatisk databehandling av personuppgifter. Konventionens bestämmelser träffar bl.a. asyl- och migrationsområdet. Konventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Konventionens innehåll kan ses som en precisering av skyddet för enskilda vid användning av automatisk databehandling enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). En bestämmelse om respekt för privatlivet och familjelivet finns även i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna. Av artikel 8 i stadgan följer vidare bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
I personuppgiftslagen (1998:204), förkortad PUL, finns allmänna bestämmelser till skydd för den enskildes personliga integritet vid behandling av personuppgifter. Med behandling avses t.ex. insamling, registrering och olika former av utlämnande av uppgifter. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
(dataskyddsdirektivet). Direktivet innehåller bestämmelser som preciserar och skärper de krav på regleringen som ställs i dataskyddskonventionen och gäller även det bl.a. på asyl- och migrationsområdet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.
PUL är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde. I vissa verksamheter regleras behandling av personuppgifter i särskilda registerförfattningar. Dessa har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register inom den offentliga sektorn. Registerförfattningar reglerar myndigheternas behandling av personuppgifter främst i syfte att skydda enskildas personliga integritet. En utgångspunkt vid utarbetandet av registerförfattningar är att regleringen så långt som möjligt ska vara i överensstämmelse med personuppgiftslagen. En särlagstiftning i förhållande till personuppgiftslagen bör begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen.
Särskilda regler för utlännings- och medborgarskapsområdet finns i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Översynen av EU:s dataskyddsreglering
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Kommissionen har bl.a. lämnat förslag till en ny förordning med en generell reglering av uppgiftsskyddet som ska ersätta dataskyddsdirektivet. Förhandlingarna om förslaget pågår inom EU. Det är i nuläget oklart hur lång tid det kan ta innan rättsakten antas slutligt av Europaparlamentet och rådet. Det är också oklart vilka effekter de nya reglerna kommer att få i Sverige. Om dataskyddsdirektivet ersätts av en EU-förordning kommer dock åtminstone personuppgiftslagen att behöva upphävas eller lagens tillämpningsområde snävas in avsevärt. I vilken utsträckning det kommer att
finnas utrymme att behålla en sektorspecifik registerlagstiftning och i vilken mån det blir möjligt att komplettera en eventuell EUförordning med generella nationella normer är för närvarande svårt att förutse. I förhandlingarna förespråkar Sverige att regleringen ges formen av ett direktiv i stället för en förordning, men stödet för detta har visat sig vara svagt bland övriga medlemsstater. Mot den bakgrunden arbetar regeringen för att förordningen utformas på ett sätt som ger medlemsstaterna stor flexibilitet att precisera villkoren för behandling av personuppgifter främst inom den offentliga sektorn. För en sådan inriktning finns det ett brett stöd också bland övriga medlemsstater.
Uppdraget
En lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
Verksamhet enligt utlännings- och medborgarskapslagstiftningen bedrivs främst av Migrationsverket, men även av domstolarna, polisen och utlandsmyndigheterna. I myndigheternas verksamhet enligt denna lagstiftning behandlas personuppgifter som ofta är av mycket integritetskänslig natur. Dessutom omfattar verksamheten ett mycket stort antal registrerade personer. Redan dessa förhållanden indikerar att verksamheten kräver särregler i en registerförfattning. Mycket talar för att den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen efter den 31 december 2015 inte är förenlig med grundlagen. Det finns därför ett behov av en lagreglering på området. En särskild utredare bör därför få i uppdrag att ta fram ett sådant förslag. I arbetet med utformningen av den nya lagen måste utredaren anlägga ett helhetsperspektiv och se till att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen passar väl in i personuppgiftslagens regelsystem. När det gäller domstolarnas behandling av personuppgifter måste beaktas det arbete som pågår med en domstolsdatalag. I departementspromemorian Domstolsdatalag (Ds 2013:10) föreslås en ny lagstiftning som bl.a. ska ge domstolarna och nämnderna möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin rättskipande
och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Promemorian har remitterats.
Utredaren ska mot denna bakgrund
- noggrant kartlägga användningen av personuppgifter i all verksamhet enligt utlännings- och medborgarskapslagstiftningen,
- analysera om den användning som förekommer är nödvändig och vilka eventuella ytterligare behov av personuppgiftsbehandling som finns för att skapa förutsättningar för en effektiv verksamhet,
- identifiera de integritetsintressen och övriga intressen som kan beröras av uppgiftsbehandlingen och i samband med detta särskilt beakta enskildas behov av skydd för sin personliga integritet,
- lämna förslag till en lagreglering av personuppgiftsbehandling på utlännings- och medborgarskapsområdet som är utformad så att den är förenlig med den kommande regleringen av domstolarnas personuppgiftsbehandling,
- uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål, och
- i sitt arbete noga följa den fortsatta behandlingen inom EU av förslaget till ny dataskyddsreglering samt anpassa de förslag till författningsreglering som lämnas till denna översyn och dess resultat.
Regleringen ska möjliggöra moderna och ändamålsenliga it-system
Regeringens utgångspunkt är att verksamhet enligt utlännings- och medborgarskapslagstiftningen ska kunna bedrivas så effektivt som möjligt med bl.a. användning av moderna och ändamålsenliga itsystem. Behandlingen av personuppgifter inom rättsområdet är till en betydande del av internationell karaktär. Överförande av uppgifter till andra EU-länder eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete.
Utredaren ska därför
- se till att den reglering som föreslås ger möjlighet att utveckla moderna och ändamålsenliga it-system.
Relationen till bland annat grundlag och offentlighets- och sekretesslagen
Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna över uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra ärendets behöriga gång. Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 6 § förvaltningslagen (1986:223). Såsom bl.a. Integritetsskyddskommittén har uppmärksammat i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22), förekommer det emellertid numera att uttömmande ändamålsreglering leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (SOU 2007:22 s. 464 f.).
Utredaren ska därför
- se till att föreslagen reglering inte innehåller några uttömmande ändamålsregleringar, och
- även i övrigt se till att de författningsförslag som lämnas harmonierar med tryckfrihetsförordningen, offentlighets- och sekretesslagen samt Sveriges internationella åtaganden.
Registrering av uppgifter om offentliga biträden m.fl.
Migrationsverket har bl.a. till uppgift att förordna offentliga biträden i ärenden enligt utlänningslagen (2005:716). Till offentligt biträde får förordnas en advokat, en biträdande jurist på en advokatbyrå eller någon annan som är lämplig för uppdraget. Advokat är den som, efter prövning av bl.a. lämplighet, har antagits som ledamot i Sveriges advokatsamfund. En biträdande jurist står under tillsyn av en advokat vid den advokatbyrå där han eller hon är anställd. I Utvärderingsutredningen (SOU 2008:65, Sekretess och offentliga biträden i utlänningsärenden) uppmärksammades att det
förekommer offentliga biträden som inte är lämpliga för sina uppdrag. Vidare har Statskontoret i rapporten En ny modell för Migrationsverkets offentliga biträden (2013:30) angett att lämplighetsprövningarna i samband med Migrationsverkets förordnanden inte genomförs enhetligt. Migrationsverket har i en framställan till regeringen utryckt att verket behöver ha möjlighet att registrera kvalitetsomdömen om biträdena för att kunna förordna lämpliga biträden som kan tillvarata sökandes rätt på bästa sätt. En sådan möjlighet finns inte enligt nu gällande författning. Uppgifter som vid Migrationsverkets lämplighetsprövningar har ansetts betydelsefulla är t.ex. tillräckliga kunskaper om utlänningsrätt, processvana och personlig lämplighet. Uppgifter om personlig lämplighet är typiskt sett integritetskänsliga. Frågan om det ska vara möjligt att kunna registrera omdömen av den typen och hur en sådan reglering i så fall ska utformas kräver därför noggranna överväganden. Mot bakgrund av den lämplighetsprövning och den tillsyn som sker av advokater och biträdande justister anställda vid advokatbyråer finns det dock inte någon anledning att överväga någon registrering av den typen av uppgifter om de personerna. Migrationsverket har även framfört önskemål om att kunna behandla motsvarande uppgifter när det gäller tolkar, översättare och språkanalytiker. Detta för att skydda enskilda sökandes utsatta position och ställning samt uppfylla Migrationsverkets ansvar enligt såväl asylprocedurdirektivet som allmänna rättsgrundsatser.
Utredaren ska därför
- analysera förutsättningarna för att ge Migrationsverket en möjlighet att registrera uppgifter om andra offentliga biträden än advokater och biträdande jurister anställda vid advokatbyråer, tolkar, översättare och språkanalytiker,
- för det fall utredaren anser att det finns förutsättningar för en sådan reglering när det gäller en eller flera av dessa grupper, utforma ett förslag till sådan reglering i den nya lag som föreslås och även undersöka förutsättningarna för att låta domstolar och andra myndigheter ta del av uppgifterna,
- beakta såväl intresset av att Migrationsverket kan förordna eller anlita lämpliga offentliga biträden m.fl. som berörda parters integritetsintressen, och
- uppmärksamma frågor om huruvida ett sådant register ska vara offentligt, huruvida den enskilde ska kunna överklaga en registrering, hur beslut om registrering av uppgifter ska fattas och när uppgifterna ska gallras.
Ett effektivare informationsutbyte
I departementspromemorian Åtgärder mot missbruk av reglerna för arbetskraftsinvandring (Ds 2013:57) föreslås bl.a. att Migrationsverket under löpande tillståndstid ska få möjlighet att utföra efterkontroller avseende beviljade arbetstillstånd. Det föreslås också bestämmelser om återkallelse av uppehållstillstånd som beviljats för arbete om förutsättningarna för arbetstillståndet inte längre är uppfyllda eller det arbete som arbetstillståndet beviljats för inte påbörjats inom rimlig tid. För att Migrationsverkets handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd ska kunna ske snabbt och effektivt är det angeläget att Migrationsverket har tillgång till vissa uppgifter hos Skatteverket, Försäkringskassan och Kronofogdemyndigheten. I promemorian förslås därför bestämmelser som medger Migrationsverket direktåtkomst till uppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas.
Datainspektionen anför i sitt remissvar över promemorian att det kan innebära ett betydande intrång i de registrerades personliga integritet om en myndighet, för dess särskilda verksamhet, ges direktåtkomst till en samling av personuppgifter som en annan myndighet samlat in om enskilda personer för helt andra specifika verksamhetsändamål. Vidare anförs att de föreslagna sekretessbrytande bestämmelserna är otydliga och inkonsekventa samt att det behövs tekniska spärrar som uppfyller kravet på integritetsskyddande begränsningar av Migrationsverkets direktåtkomst. Enligt Datainspektionen behövs det också ytterligare analys av vilka uppgifter som är nödvändiga för Migrationsverket att inhämta och vilka ändringar som behövs i den registerförfattning som reglerar Migrationsverkets behandling av personuppgifter. Försäkringskassan framför i sitt remissvar att utformningen av den sekretessbrytande bestämmelsen som rör Försäkringskassans socialförsäkringsdatabas
inte bryter sekretessen på ett sådant sätt att den kan läggas till grund för direktåtkomst. I en lagrådsremiss beslutad den 10 april 2014 lämnas bl.a. förslag som innebär att den typ av efterkontroller som föreslogs i promemorian införs. Mot bakgrund av remisskritiken innehåller lagrådsremissen inte promemorians förslag om direktåtkomst. I den delen bedömer regeringen att det behövs ytterligare analys.
Utredaren ska mot denna bakgrund
- analysera uppgiftsbehovet hos Migrationsverket när det gäller arbetet med handläggning av ärenden som rör uppehållstillstånd för arbete och arbetstillstånd,
- analysera förutsättningarna för att ge Migrationsverket direktåtkomst till dessa uppgifter och, om analysen ger stöd för att sådana förutsättningar finns, ta fram förslag till sådana bestämmelser,
- om utredaren gör bedömningen att bestämmelser om direktåtkomst inte går att motivera, föreslå bestämmelser som möjliggör någon annan form av elektroniskt utlämnande som tillgodoser önskvärda krav på effektivitet och integritet för den enskilde,
- utreda om det finns behov av och bör införas särskilda sekretessbrytande bestämmelser som gör att Migrationsverket kan få tillgång till efterfrågade uppgifter och i så fall ge förslag till hur de bör utformas, och
- utreda vilka tekniska eller andra begränsningar som måste finnas för att inte överskottsinformation ska röjas för Migrationsverket.
Bestämmelser om skadeståndsskyldighet efter kontroll av Schengenviseringar
Av Europaparlamentets och rådets förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (gränskodexen) framgår att en utlänning som har en Schengenvisering är skyldig att låta gränskontrolltjänstemän ta hans eller hennes fingeravtryck vid in- eller utresa för kontroll av identiteten och av viseringens äkthet.
I en departementspromemoria som behandlar gränskodexen (EU:s gränskodex, Ds 2011:28) föreslås att det i utlänningslagen införs bestämmelser som anger att när en kontroll har genomförts ska de fingeravtryck och biometriska data som har tagits för kontrollen omedelbart förstöras. Datainspektionen framhåller i sitt remissvar över promemorian att det inte föreslås någon särskild bestämmelse om skadeståndsskyldighet för det fall uppgifter skulle behandlas i strid med förstöringsskyldigheten. Datainspektionen anger vidare att det kan behöva övervägas närmare om någon av de befintliga skadeståndsbestämmelserna i personuppgiftslagen eller annan lagstiftning blir tillämplig eller om det finns behov av en särskild sådan bestämmelse.
Utredaren ska därför
- överväga behovet av särskilda bestämmelser om skadestånd för det fall fingeravtryck och biometriska data som tagits vid in- eller utresekontroll för kontroll av identitet och av en Schengenviserings äkthet inte omedelbart förstörs efter att kontrollen har genomförts i enlighet med de bestämmelser som föreslås i promemorian EU:s gränskodex, och
- för det fall utredaren anser att ett sådant behov finns, utforma förslag till sådana bestämmelser.
Genomförande och redovisning av uppdraget
Utredaren ska samråda med Informationshanteringsutredningen (Ju 2011:11), Migrationsverket, Datainspektionen, Försäkringskassan, Pensionsmyndigheten och polisen samt, i den utsträckning som utredaren finner det behövligt, med kommittéer och utredare med närliggande frågeställningar.
I uppdraget ingår att lämna fullständiga författningsförslag utifrån de överväganden som görs. Utredaren är oförhindrad att ta upp även andra frågor som har samband med de frågeställningar som ska utredas.
Utredaren ska bedöma de kostnader och konsekvenser som förslaget kan komma att medföra. Om förslaget förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.
Uppdraget ska redovisas senast den 31 juli 2015.
(Justitiedepartementet)