ds 2026 8
Departementsserien 2026:8
En extern tjänsteleverantör för biometriupptagning
i migrationsverksamheten
Ds 2026:8
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Omslag: Regeringskansliets standard
Tryck och remisshantering: Multiply Solutions, Stockholm 2026
ISBN 978-91-525-1531-0 (tryck)
ISBN 978-91-525-1532-7 (pdf)
ISSN 0284-6012
Förord
Migrationsminister Johan Forssell beslutade den 8 oktober 2025 att ge chefsrådmannen Emma Regnér i uppdrag att biträda Justitiedepartementet med att utreda förutsättningarna för att överlämna vissa förvaltningsuppgifter som rör bland annat upptagning av biometri till en extern tjänsteleverantör i ärenden om uppehållstillstånd och visering för längre vistelse. Uppdraget skulle redovisas senast den 15 april 2026. Uppdraget finns i bilaga 1.
Som experter att biträda utredaren förordnades processledaren Daniel Andersson och verksjuristen Henrik Karlsson (båda Migrationsverket).
Utredaren har biståtts av ett sekretariat. Som utredningssekreterare anställdes den 15 oktober 2025 hovrättsassessorerna Rebecca Gustavsson Ekberg och Sofia Pöllänen.
Denna promemoria är resultatet av ett gemensamt arbete. Därför anges att bedömningar och förslag är utredningens även om utredaren ensam ansvarar för innehållet i promemorian. Utredaren överlämnar härmed promemorian En extern tjänsteleverantör för biometriupptagning i migrationsverksamheten. Uppdraget är med detta slutfört.
Malmö i april 2026
Emma Regnér
/Rebecca Gustavsson Ekberg
Sofia Pöllänen
1
Innehåll
1.2Förslag till förordning om överlämnande av
3
| Innehåll | Ds 2026:8 |
4
Ds 2026:8Innehåll
6.2.2Rättighetskapitlet i RF och internationella
| rättsliga åtaganden ................................................... | 71 |
6.2.3Förvaltningslagen och förvaltningsrättsliga
| principer ................................................................... | 75 | |
| 6.2.4 | Grunderna för god förvaltning ............................... | 75 |
6.2.5Allmänna krav på handläggningen av
| förvaltningsärenden................................................. | 77 |
6.3Kontrollmedel för efterlevnad av
6.4Statens skadeståndsansvar för fel och försummelser vid
7.3Särskilt om regleringen av biometriska uppgifter i
5
| Innehåll | Ds 2026:8 |
8.3Sekretessbestämmelser som reglerar hanteringen av
| biometriska uppgifter ........................................................... | 105 | |
| 8.3.1 | Sekretess för uppgift som rör en utlänning ......... | 105 |
8.3.2Sekretess för uppgift i verksamhet för kontroll
| över utlänningar .................................................... | 105 |
8.3.3Särskilda bestämmelser om uppgifter i SIS
| samt i ärenden om arbetstillstånd ........................ | 106 |
8.3.4Biometriska uppgifter kan omfattas av
8.5Förutsättningar för Migrationsverket att lämna ut sekretessbelagda uppgifter till en extern
9.3Migrationsverkets bedömning av samarbetet med en
6
Ds 2026:8Innehåll
11.1.2Grundläggande utgångspunkter för
13.3.1Ett exempel: konsekvenser för
13.4.2Alternativ två – använd en extern
7
| Innehåll | Ds 2026:8 |
8
Förkortningar
I denna promemoria används följande förkortningar:
| barnkonventionen | Förenta nationernas konvention |
| om barnets rättigheter | |
| BrB | brottsbalken |
| dataskyddsdirektiv | Europaparlamentets och rådets |
| direktiv (EU) 2016/680 av | |
| den 27 april 2016 om skydd för | |
| fysiska personer med avseende på | |
| behöriga myndigheters behand- | |
| ling av personuppgifter för att | |
| förebygga, förhindra, utreda, | |
| avslöja eller lagföra brott eller | |
| verkställa straffrättsliga påföljder, | |
| och det fria flödet av sådana | |
| uppgifter och om upphävande av | |
| rådets rambeslut 2008/977/RIF | |
| dataskyddsförordningen | Europaparlamentets och rådets |
| förordning (EU) 2016/679 av | |
| den 27 april 2016 om skydd för | |
| fysiska personer med avseende på | |
| behandling av personuppgifter | |
| och om det fria flödet av sådana | |
| uppgifter och om upphävande av | |
| direktiv 95/46/EG (allmän | |
| dataskydds-förordning) | |
| dataskyddslagen | Lag (2018:218) med komplet- |
| terande bestämmelser till EU:s | |
| dataskyddsförordning |
9
den reviderade VIS-förordningen
dir. Ds
EES
EES-land
EES-medborgare
Etias-förordningen
EU
Eu-Lisa
Europakonventionen
EU:s stadga
EU-VAP
FEUF
FL
10
VIS-förordningen efter att 2021 års ändringsförordning börjat tillämpas fullt ut regeringens direktiv Departementsserien
Europeisk ekonomiska samarbetsområdet
ett land som deltar i och omfattas av avtalet om det Europeiska ekonomiska samarbetsområdet en utlänning som är medborgare i ett EES-land Europaparlamentets och rådets förordning 2018/1240 av
den 12 september 2018 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014,
(EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226 Europeiska unionen Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna
Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02)
den gemensamma EU-viserings- ansökningsplattformen Fördraget om Europeiska unionens funktionssätt förvaltningslagen (2017:900)
| FN | Förenta nationerna |
| funktionsrättskonventionen | Förenta nationernas konvention |
| om rättigheter för personer med | |
| funktionsnedsättning | |
| gränskodexen | Europaparlamentet och rådets |
| förordning (EU) 2016/399 av | |
| den 9 mars 2016 om en unions- | |
| kodex om gränspassage för | |
| personer (kodex om Schengen- | |
| gränserna) (kodifiering) | |
| JK | Justitiekanslern |
| JO | Riksdagens ombudsmän |
| MIGRFS | Migrationsverkets föreskrifter |
| och allmänna råd | |
| OSL | offentlighets- och sekretesslagen |
| (2009:400) | |
| prop. | regeringens proposition |
| RF | regeringsformen |
| Schengenavtalet | nuvarande avtal mellan Justitie- |
| departementet och den externa | |
| tjänsteleverantören i samarbetet i | |
| ärenden om Schengenviseringar | |
| SIS | Schengens Informationssystem |
| SOU | Statens offentliga utredningar |
| TF | tryckfrihetsförordningen |
| tredjeland | länder utanför EU/EES |
| tredjelandsmedborgare | Personer som inte är medborgare |
| i något EU/EES-land eller i | |
| Schweiz | |
| tystnadspliktslagen | lagen (2020:914) om tystnadsplikt |
| vid utkontraktering av teknisk | |
| bearbetning eller lagring av | |
| uppgifter | |
| UtlF | utlänningsförordningen (2006:97) |
| UtlL | utlänningslagen (2005:716) |
| VIS | Informationssystemet för |
| viseringar | |
| viseringskodexen | Europaparlamentets och rådets |
| förordning (EG) nr 810/2009 av | |
| 11 |
| den 13 juli 2009 om införande av | |
| en gemenskapskodex om | |
| viseringar (viseringskodex) | |
| VIS-förordningen | Europaparlamentets och rådets |
| förordning (EG) nr 767/2008 av | |
| den 9 juli 2008 om informations- | |
| systemet för viseringar (VIS) och | |
| utbytet mellan medlemsstaterna | |
| av uppgifter om viseringar för | |
| kortare vistelse (VIS-förord- | |
| ningen) | |
| VIS-rådsbeslutet | rådets beslut 2008/633/RIF av |
| den 23 juni 2008 om åtkomst till | |
| informationssystemet för | |
| viseringar (VIS) för sökningar för | |
| medlemsstaternas utsedda | |
| myndigheter och för Europol i | |
| syfte att förhindra upptäcka och | |
| utreda terroristbrott och andra | |
| grova brott (VIS-rådsbeslutet) | |
| 2019 års ändringsförordning | Europaparlamentets och rådets |
| förordning (EU) 2019/1155 av | |
| den 20 juni 2019 om ändring av | |
| förordning (EG) nr 810/2009 om | |
| införande av en gemenskapskodex | |
| om viseringar (viseringskodex) | |
| 2021 års ändringsförordning | Europaparlamentets och rådets |
| förordning (EU) 2021/1134 av | |
| den 7 juli 2021 om ändring av | |
| Europaparlamentets och rådets | |
| förordningar (EG) nr 767/2008, | |
| (EG) nr 810/2009, | |
| (EU) 2016/399, (EU) 2017/2226, | |
| (EU) 2018/1240, | |
| (EU) 2018/1860, | |
| (EU) 2018/1861, (EU) 2019/817 | |
| och (EU) 2019/1896 och om | |
| upphävande av rådets beslut | |
| 2004/512/EG och 2008/633/RIF, |
12
isyfte att reformera Informationssystemet för viseringar
2023 års ändringsförordning Europaparlamentets och rådets förordning (EU) 2023/2667 av den 22 november 2023 om ändring av Europaparlamentets och rådets förordningar
(EG) nr 767/2008 (VIS-förord- ningen), (EG) nr 810/2009 (viseringskodexen) och
(EU) 2017/2226, rådets förordningar (EG) nr 693/2003 och (EG) nr 694/2003 och konventionen om tillämpning av Schengenavtalet vad gäller digitaliseringen av viseringsförfarandet
13
Sammanfattning
Bakgrund
Utlänningar som vill resa in i och vistas i Sverige ska som huvudregel ha antingen visering eller uppehållstillstånd, om de inte är medborgare i ett EES-land. Bestämmelser om visering och uppehållstillstånd finns bland annat i utlänningslagen (2005:716). Uppehållstillstånd är ett tillstånd att vistas i Sverige under viss tid eller utan tidsbegränsning. Uppehållstillstånd kan beviljas av flera olika skäl. Visering är ett tillstånd att resa in i och vistas i Sverige under en viss kortare tid. Visering ges antingen som Schengenvisering eller nationell visering. Schengenvisering avser visering för kortare vistelse och nationell visering avser visering för längre vistelse.
Bestämmelser om handläggningen av och villkoren för beviljande av Schengenviseringar finns i EU-förordningen viseringskodexen. I ärenden om Schengenviseringar överlämnas i dag regelmässigt uppgiften att ta upp biometri till en extern tjänsteleverantör. Viseringskodexen tillsammans med en kompletterande bestämmelse i utlänningslagen möjliggör för samarbetet med en extern tjänsteleverantör. För ett motsvarande samarbete i ärenden om uppehållstillstånd och nationell visering saknas det i dag lagstöd.
Uppdraget
Utredningen har haft i uppdrag att utreda de rättsliga förutsättningarna för att överlämna uppgiften att ta upp biometri i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör. Uppdraget har också omfattat frågan om ytterligare förvaltningsuppgifter behöver överlämnas för att det ska vara möjligt eller ändamålsenligt för den externa tjänsteleverantören att
15
| Sammanfattning | Ds 2026:8 |
ta upp biometri. I utredningsuppdraget har ingått att analysera konsekvenserna av och belysa för- och nackdelar med ett sådant överlämnande samt ta ställning till lämpligheten i överlämnandet. Oavsett ställningstagande har det ingått i uppdraget att lämna förslag på hur en sådan ordning kan se ut samt att lämna nödvändiga författningsförslag.
Rättsliga förutsättningar att överlämna en uppgift
Ärenden om uppehållstillstånd och nationell visering är förvaltningsärenden hos statliga myndigheter. Utgångspunkten är därför att handläggningen ska ske hos myndigheterna. Förutsättningarna att överlämna förvaltningsuppgifter till andra organ regleras i regeringsformen. Utredningen har haft som utgångspunkt att den externa tjänsteleverantören kommer att vara ett utländskt rättssubjekt, ofta ett privat bolag med säte utanför Sverige. Vi har med den utgångspunkten bedömt att ett överlämnande av förvaltningsuppgifter till en extern tjänsteleverantör kräver lagstöd enligt 10 kap. 8 § första stycket RF.
Ärenden om uppehållstillstånd och nationell visering innefattar myndighetsutövning hos de beslutsfattande myndigheterna. Eftersom uppgiften att ta upp biometri utgör en del av handläggningen av ett sådant ärende och syftar till att få fram ett fullständigt beslutsunderlag bedömer vi att uppgiften utgör myndighetsutövning. En lag som möjliggör ett överlämnande av uppgiften att ta upp biometri till ett utländskt organ utanför Sverige måste därför antas med stöd av 10 kap. 8 § andra stycket RF, det vill säga med kvalificerad majoritet eller i den ordning som gäller för stiftande av grundlag.
Utredningens förslag
Utredningens förslag använder regelverket för och samarbetet med en extern tjänsteleverantör i ärenden om Schengenviseringar som förlaga. Förslaget innebär alltså att ett motsvarande system införs i ärenden om uppehållstillstånd och nationell visering. Utredningen föreslår därför en ordning som bygger på bestämmelser i lag, förordning och ett civilrättsligt avtal med den externa tjänsteleverantören.
16
| Ds 2026:8 | Sammanfattning |
Utredningen föreslår att bestämmelser som möjliggör ett överlämnande av upptagning av biometriska uppgifter till en extern tjänsteleverantör införs i utlänningslagen. Förslaget innebär att Regeringskansliet ges rätt att besluta om samarbete med tjänsteleverantören. Bestämmelser som bemyndigar regeringen att meddela föreskrifter om serviceavgift och tillsyn av den externa tjänsteleverantören föreslås också införas i utlänningslagen.
Utredningen föreslår också en ny förordning som ska reglera Regeringskansliets ansvar för uppgiftens utförande efter överlämnande. I förordningen föreslås bestämmelser som anger vilka moment som ingår i den externa tjänsteleverantörens uppgift, krav på Regeringskansliet vid upphandling och val av tjänsteleverantör samt en skyldighet för Regeringskansliet att reglera samarbetet med tjänsteleverantören genom avtal. Förordningen föreslås också omfatta bestämmelser som syftar till att skydda grundläggande rättssäkerhetsaspekter och dataskyddsaspekter. Vidare föreslås bestämmelser som reglerar Regeringskansliets ansvar i fråga om tillsyn och övervakning av tjänsteleverantörens verksamhet.
Av förordningsförslaget följer att samarbetet med den externa tjänsteleverantören ska regleras genom avtal och att avtalet som minst ska innehålla ett antal särskilt angivna villkor och krav. Villkoren och kraven syftar till att reglera frågor om regelefterlevnad, skydd för enskildas rättssäkerhet och barns rättigheter, skydd för personuppgifter och sekretessbelagda uppgifter, motverkande av missbruk och korruption, villkor om tillsyn och medel för kontroll, villkor för användande av underleverantör samt avtalssanktioner.
Förslaget föreslås finansieras genom att den externa tjänsteleverantören tillåts att ta ut en serviceavgift av sökanden. Utredningen föreslår en bestämmelse i förordningen som anger att serviceavgiftens storlek ska regleras i avtal med den externa tjänsteleverantören och att serviceavgiften ska vara skälig och proportionerlig.
Utredningens bedömning av förslagets lämplighet
Den främsta fördelen med utredningens förslag är att det ger de handläggande myndigheterna betydligt bättre förutsättningar att
17
| Sammanfattning | Ds 2026:8 |
hantera den mängd biometriupptagningar som sker idag och som på sikt kommer att öka markant. Den huvudsakliga nackdelen med att överlämna biometriupptagning till en extern tjänsteleverantör är att svenska myndigheter förlorar kontrollen över hur uppgiften utförs, vilket bland annat innebär en kontrollförlust i fråga om huruvida enskildas rättssäkerhet efterlevs vid utförande av uppgiften. Utredningens förslag syftar till att i så stor utsträckning som möjligt hantera och reglera denna kontrollförlust. Vår bedömning är att förslaget på ett tillräckligt tillfredsställande sätt hanterar riskerna med ett överlämnande och att ett överlämnande enligt förslaget vid en sammantagen bedömning därmed är lämpligt.
Konsekvenser av utredningens förslag
I dag utför svenska utlandsmyndigheter utanför Europa cirka 40 000 biometriupptagningar i ärenden om uppehållstillstånd per år. Genom kommande ändringar inom EU-rätten och svensk rätt kommer antalet biometriupptagningar för utlandsmyndigheterna att öka avsevärt. Det kommer öka besöksbelastningen, medföra ökade arbetsuppgifter och ökade behov av säkerhetsåtgärder vid utlandsmyndigheterna samt generera längre handläggningstider hos Migrationsverket. Utifrån vad utredningen har erfarit är det troligt att utlandsmyndigheterna med nuvarande kapacitet i fråga om resurser och lokaler inte har förutsättningar att hantera denna ökning. Om det inte vidtas någon åtgärd kommer Sverige alltså att få svårt att hantera biometriupptagning i alla ärenden om uppehållstillstånd och nationell visering (det s.k. nollalternativet). Det skulle medföra en risk för att Sveriges möjlighet att attrahera kvalificerad arbetskraft och internationell spetskompetens försämras. En upprustning av nuvarande system i syfte att möta nämnda ökning kommer innebära ökade kostnader för staten.
En effekt av utredningens förslag är att antalet biometriupptagningar som utlandsmyndigheterna utför kan förväntas minska i stället för att öka. Utredningen bedömer därför att förslagen i promemorian innebär att myndigheterna ges förutsättningar att hantera de ovan beskrivna förändringarna på ett tillfredsställande sätt. För enskilda sökanden bedöms förslagen medföra ökad tillgänglighet och servicegrad i ansökningsförfarandet. En ökad
18
| Ds 2026:8 | Sammanfattning |
tillgänglighet och servicegrad kan förväntas öka Sveriges attraktionskraft för internationell spetskompetens och för internationella studenter och forskare. Det i sin tur kan förväntas underlätta för företag att rekrytera utländsk arbetskraft och för universitet och högskolor att attrahera internationella studenter. Utredningen bedömer att förslagen inte kommer att medföra en kostnadsökning för staten utan snarare en mindre kostnadsbesparing.
19
1 Författningsförslag
1.1Förslag till lag om ändring i utlänningslagen (2005:716)
Härigenom föreskrivs i fråga om utlänningslagen (2005:716) dels att 3 kap. 6 och 7 §§ ska ha följande lydelse,
dels att det i lagen ska införas två nya paragrafer, 5 kap. 28 och
29 §§, av följande lydelse.
| Nuvarande lydelse | Föreslagen lydelse |
3kap. 6 §1
Regeringen eller, efter regeringens bemyndigande, Migrationsverket får meddela föreskrifter om att andra myndigheter har rätt att besluta om visering.
Regeringen får meddela föreskrifter om att ett organ som är knutet till Sveriges exportråd har rätt att bevilja visering.
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får ingå överenskommelse med en Schengenstat om att den statens behöriga myndigheter får besluta om Schengenvisering.
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör eller med en kommersiell mellanhand i enlighet med viseringskodexen.
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometriska
1Senaste lydelse SFS 2011:705
21
| Författningsförslag | Ds 2026:8 |
uppgifter i ärenden om nationell visering.
7 §
Regeringen får meddela ytterligare föreskrifter om visering. Regeringen får meddela före-
skrifter om rätt för en extern tjänsteleverantör att ta ut serviceavgift för sådan uppgift som överlåts enligt 3 kap. 6 § femte stycket och om tillsyn av en extern tjänsteleverantörs verksamhet.
5 kap.
28 §
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometriska uppgifter i ärenden om uppehållstillstånd.
29 §
Regeringen får meddela föreskrifter om rätt för en extern tjänsteleverantör att ta ut serviceavgift för sådan uppgift som överlåts enligt 5 kap. 28 § och om tillsyn av en extern tjänsteleverantörs verksamhet.
Denna lag träder i kraft den 1 juli 2027.
22
| Ds 2026:8 | Författningsförslag |
1.2Förslag till förordning om överlämnande av biometriupptagning i ärenden om uppehållstillstånd och nationell visering
Härigenom föreskrivs följande
Inledande bestämmelser
1 § I denna förordning finns kompletterande föreskrifter om överlämnande av upptagning av biometriska uppgifter i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör. De uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i utlänningslagen (2005:716).
2 § Regeringskansliet får besluta att uppgiften upptagning av biometriska uppgifter i ärenden om uppehållstillstånd och nationell visering ska överlämnas till en extern tjänsteleverantör. I uppgiften ingår att
–hantera tidsbokning för upptagningen av de biometriska uppgifterna,
–tillhandahålla nödvändig information om upptagningen av de biometriska uppgifterna,
–kontrollera identiteten på den person som lämnar de biometriska uppgifterna och
–överföra insamlade uppgifter, inbegripet de biometriska uppgifterna, till berörd utlandsmyndighet eller Migrationsverket.
Val av tjänsteleverantör
3 § Vid val av en extern tjänsteleverantör ska Regeringskansliet bedöma tjänsteleverantörens tillförlitlighet och solvens, säkerställa att det inte föreligger några intressekonflikter, att den externa tjänsteleverantören kan garantera nödvändig datasäkerhet samt att tjänsteleverantören uppfyller de villkor och bestämmelser som omfattas av avtalet.
23
| Författningsförslag | Ds 2026:8 |
Avtalet
4 § Samarbetet med en extern tjänsteleverantör ska regleras genom avtal. Detta avtal ska som minst innehålla villkor som syftar till att reglera:
1.Den externa tjänsteleverantörens skyldighet att fullt ut följa avtalet och de instruktioner som ges av Regeringskansliet, Migrationsverket eller berörd utlandsmyndighet.
2.Regeringskansliets och den externa tjänsteleverantörens ansvar för att uppgiften utförs på ett sådant sätt att enskildas rättssäkerhet och barns rättigheter garanteras.
3.Regeringskansliets och den externa tjänsteleverantörens ansvar för att uppgiften utförs på ett sådant sätt att personuppgifter och sekretessbelagda uppgifter skyddas.
4.Regeringskansliets och den externa tjänsteleverantörens ansvar
ifråga om att motverka missbruk och korruption.
5.Regeringskansliets och den externa tjänsteleverantörens ansvar
ifråga om tillsyn och övervakning av utförandet av uppgiften.
6.Den externa tjänsteleverantörens användande av underleveran-
tör.
7.Sanktioner vid avtalsbrott.
Skydd för enskildas rättssäkerhet
5 § Efter ett överlämnande enligt 2 § är Regeringskansliet ansvarig för att säkerställa att tjänsteleverantören utför uppgiften med respekt för grundläggande principer och rättigheter till skydd för enskildas rättssäkerhet som följer av svensk lag och internationella åtaganden.
Upptagning av biometriska uppgifter från barn
6 § Regeringskansliet ska säkerställa att den externa tjänsteleverantörens upptagning av fingeravtryck och fotografi från barn görs med barnets bästa som utgångspunkt i enlighet med lag och barnkonventionen. Regeringskansliet ska i detta syfte särskilt säkerställa att
24
| Ds 2026:8 | Författningsförslag |
1.den personal som tar upp fingeravtryck och fotografi från ett barn har särskild utbildning för att uppta ett barns biometriska uppgifter på ett barnvänligt och barnanpassat sätt med respekt för barnets bästa och de garantier som fastställs i barnkonventionen,
2.att varje barn vid upptagningen av biometriska uppgifter åtföljs av en vuxen familjemedlem eller förmyndare, samt
3.att inget tvång används för upptagningen av biometriska uppgifter.
Skydd för personuppgifter
7 § Regeringskansliet ska möjliggöra för den personuppgiftsansvarige att fullgöra de skyldigheter som följer av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och nationell rätt i förhållande till den externa tjänsteleverantören.
Regeringskansliet ska säkerställa att den externa tjänsteleverantören är föremål för Integritetsskyddsmyndighetens övervakning.
Tillsyn
8 § Regeringskansliet ska i fråga om tillsyn av den externa tjänsteleverantörens utförande av uppgiften
1.kontrollera att den externa tjänsteleverantören uppfyller de krav och villkor som omfattas av avtalet,
2.noga övervaka genomförandet av avtalet och särskilt upptagningen av de biometriska uppgifterna, samt
3.säkerställa att regelbundna kontroller genomförs i den externa tjänsteleverantörens verksamhet.
Serviceavgift
9 § Regeringskansliet får besluta att en extern tjänsteleverantör har rätt att ta ut en serviceavgift av sökanden. Serviceavgiftens storlek ska regleras i avtal med den externa tjänsteleverantören.
25
| Författningsförslag | Ds 2026:8 |
Serviceavgiften ska vara skälig och motsvara de tjänster som den externa tjänsteleverantören tillhandahåller. Avgiften ska också stå i proportion till den externa tjänsteleverantörens kostnader för utförandet av de uppgifter som överlämnats till den.
Denna förordning träder i kraft den 1 juli 2027.
26
2 Inledning
2.1Utredningens uppdrag
Regeringen tillsatte år 2015 en utredning med uppdrag att utreda förutsättningarna för att lägga ut vissa förvaltningsuppgifter i ärenden om uppehålls- och arbetstillstånd till en extern tjänsteleverantör i utlandet. Utredningen antog namnet Tjänsteleverantörsutredningen och lämnade betänkandet Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36). I betänkandet lämnades bland annat förslag som skulle möjliggöra att vissa förvaltningsuppgifter, däribland upptagning av biometri, i ärenden om uppehålls- och arbetstillstånd skulle kunna hanteras av externa tjänsteleverantörer.
Vid remitteringen av betänkandet instämde flera remissinstanser i utredningens bedömning. Förslagen fick samtidigt kritik i vissa delar. Kritiken avsåg bland annat att förslagen inte i tillräcklig utsträckning hade beaktat dataskydds- och rättssäkerhetsaspekter. Förslagen i betänkandet har inte lett till lagstiftning. För de handläggande myndigheterna har det dock fortsatt funnits en efterfrågan om att kunna använda en extern tjänsteleverantör i ärenden om uppehålls- och arbetstillstånd, vilket bland annat framgår av en hemställan från Migrationsverket till regeringen år 2023 (se Ju2023/01314).
Sedan Tjänsteleverantörsutredningen lämnade sitt betänkande har en mer detaljerad reglering för behandling av personuppgifter inom EU trätt i kraft genom dataskyddsförordningen. Även förändringar inom EU:s gemensamma viseringslagstiftning har beslutats och delvis genomförts efter att betänkandet lämnades. Migrationsverket har bedömt att förändringarna i viseringslagstiftningen i praktiken kommer att innebära att biometri måste upptas i nära anslutning till ansökan om uppehållstillstånd och
27
| Inledning | Ds 2026:8 |
nationell visering samt att upptagning av biometri kommer behöva ske i fler fall än i dag.
Mot bakgrund av detta finns det ett behov av att på nytt utreda förutsättningarna att överlämna upptagning av biometri i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör samt analysera övriga rättsliga aspekter. Denna utredning tillsattes därför (se Ju 2025:E). I uppdraget har ingått att analysera konsekvenserna och belysa för- och nackdelar med ett sådant överlämnande och ta ställning till lämpligheten i det samt att oavsett ställningstagande lämna förslag på hur en sådan ordning kan se ut. Utredningen har också omfattat frågan om ytterligare förvaltningsuppgifter behöver överlämnas för att det ska vara möjligt eller ändamålsenligt för en extern tjänsteleverantör att ta upp biometri. Utredningen har vidare haft i uppdrag att föreslå hur det kan säkerställas att leverantörens tjänster bedrivs på ett så kostnadseffektivt sätt som möjligt och hur verksamheten ska finansieras. Slutligen har det ingått i utredningens uppdrag att lämna nödvändiga författningsförslag.
2.2Några utgångspunkter för utredningen
I utredningens uppdragsbeskrivning anges att mycket höga krav måste ställas på verksamheten hos en extern tjänsteleverantör med hänsyn till att verksamheten omfattar förvaltningsuppgifter och hantering av känsliga uppgifter för ett stort antal sökanden. Detta har varit en självklar utgångspunkt för utredningen. Vidare anges i uppdragsbeskrivningen ett antal förutsättningar för att anlita en extern tjänsteleverantör. De förutsättningarna är att den enskildes rättssäkerhet kan säkerställas liksom att hanteringen är förenlig med regelverken om personuppgiftsbehandling, sekretess och säkerhetsskydd. Därutöver räknas flera omständigheter upp som också behöver beaktas. Dessa omständigheter är god service och kostnadseffektivitet, säkerhetskrav samt säkerhetsläget i omvärlden, risken för missbruk och korruption samt behovet av uppföljning och tillsyn inklusive frågan om ansvarig myndighet för det. Det anges också att utredningens analys även bör omfatta situationer då en extern tjänsteleverantör använder underleverantörer för hanteringen.
28
| Ds 2026:8 | Inledning |
I uppdragsbeskrivningen anges också att regelverket för och erfarenheterna från samarbetet på området för Schengenviseringar ska användas som utgångspunkt. I uppdraget ingår att överväga om en motsvarande reglering bör införas för ärenden om uppehållstillstånd. Om förhållandet till tjänsteleverantören föreslås regleras genom avtal bör innehållet i de avtalen belysas noggrant.
2.3Om begreppen biometri, fingeravtryck och fotografi
I vår uppdragsbeskrivning definieras biometriska uppgifter eller biometri som fotografi och fingeravtryck. I flera lagstiftningssammanhang har det konstaterats att biometri syftar på en metod för att identifiera en person eller avgöra om en påstådd identitet är riktig, baserad på mätning av fysiologiska karaktärsdrag hos den som ska identifieras (se till exempel prop. 2004/05:119 s. 20 och prop. 2010/11:123 s. 16–17). I dessa sammanhang har det gjorts skillnad på å ena sidan biometriskt underlag och å andra sidan biometriska data. Med biometriskt underlag avses rådata om en persons fysiska karaktärsdrag, till exempel ett digitalt fotografi av ett ansikte eller av ett fingeravtryck. Biometriska data är den information som kan tas fram (extraheras) ur ett biometriskt underlag. Biometriska data kan användas för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.
Ur ett dataskyddsperspektiv finns en poäng att differentiera användandet av biometriskt underlag och biometriska data när det gäller fotografier. I dataskyddsförordningen definieras biometriska uppgifter som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (se artikel 4.14 dataskyddsförordningen). Dataskyddsförordningen innehåller ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (i svensk rätt kallade känsliga personuppgifter). Förbudet omfattar dels uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, dels bland annat genetiska uppgifter och
29
| Inledning | Ds 2026:8 |
biometriska uppgifter för att entydigt identifiera en fysisk person. Fingeravtryck anses vara sådana biometriska uppgifter som entydigt identifierar en fysisk person. När det gäller fotografier utgör de dock känsliga personuppgifter endast om de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person, exempelvis genom ansiktsigenkänningsprogram.
Begreppet ansiktsbild används i många EU-rättsliga sammanhang. Begreppet definieras i VIS-förordningen som en digital bild av ansiktet (se artikel 4.15 som införs genom artikel 1.5 b i 2021 års ändringsförordning). I utlänningslagen används genomgående begreppen fotografi eller fotograferas. Någon definitionsmässig skillnad är inte avsedd, utan syftet är att skapa en enhetlighet inom utlänningslagen (se prop. 2010/11:123 s. 13). Även i utredningen tillämpas begreppen ansiktsbild och fotografi eller fotograferas på motsvarande utbytbara sätt.
2.4Avgränsningar
I utredningens uppdrag har, utöver vad som framgår av avsnitt 2.1, även ingått att i mån av tid överväga sådana närliggande frågor som har samband med de frågeställningar som ska utredas och som avser attraktion av internationell spetskompetens. I uppdragsbeskrivningen ges som exempel andra förvaltningsuppgifter än sådana som har samband med biometriupptagningen.
Under arbetets gång har Migrationsverket genom utredningens experter framfört att det finns ett behov av att även andra förvaltningsuppgifter än de som omfattas av utredningens förslag kan lämnas över till tjänsteleverantören. De uppgifter som avses är mottagande och utlämnande av pass efter påföring av visering samt utlämnande av beslut om uppehållstillstånd och uppehållstillståndskort. Behovet grundas i en önskan om att skapa ett effektivt system för såväl myndigheterna som för sökanden. En möjlighet att överlämna även dessa uppgifter skulle bland annat innebära att sökanden inte behöver resa till en utlandsmyndighet för dessa delar.
Utredningen delar bedömningen att ett överlämnande av dessa uppgifter ytterligare skulle effektivisera och förenkla systemet för såväl myndigheterna som för sökanden. Det är därför troligt att ett sådant överlämnande skulle bidra till att attrahera internationell
30
| Ds 2026:8 | Inledning |
spetskompetens till Sverige. En analys av ett sådant överlämnande skulle emellertid aktualisera särskilda överväganden om bland annat hanteringen av personuppgifter och sekretessbelagda uppgifter. Det är därför vår bedömning att en tillräckligt djupgående analys i fråga om konsekvenserna av att lämna över även denna typ av uppgifter inte ryms inom utredningens givna tidsram. I syfte att effektivisera och fullt ut nyttja fördelarna av samarbetet med en extern tjänsteleverantör framstår det dock som ändamålsenligt att inom ramen för en annan process vidare utreda förutsättningarna för att lämna över även sådana uppgifter till tjänsteleverantören.
2.5Utredningens arbete
Utredningen påbörjade sitt arbete i oktober 2025. Arbetet har bedrivits på sedvanligt sätt med regelbundna möten med utredningens experter. Totalt har fem möten hållits med utredningens experter. Utredningen har därutöver haft kontakter med berörda inom Regeringskansliet. Möten har också genomförts med representanter för Sveriges ambassad i Bangkok samt Integritetsskyddsmyndigheten. Vi har också fått skriftligt underlag från Sveriges ambassad i Washington D.C. Genom dessa kontakter har utredningen bland annat fått synpunkter på bedömningar och tillgång till information. Vidare har utredningen beaktat för uppdraget relevant arbete inom Regeringskansliet.
31
3Uppehållstillstånd och nationell visering
3.1Inledning
Utlänningar som vill resa in i och vistas i Sverige ska som huvudregel ha antingen visering eller uppehållstillstånd, om de inte är medborgare i ett EES-land. Bestämmelser om visering och uppehållstillstånd finns bland annat i utlänningslagen (2005:716). Lagen reglerar villkor för när en utlänning ska få resa in i samt vistas och arbeta i Sverige. I lagen regleras bland annat villkor för beviljande av visering och i vilka situationer en utlänning kan få uppehållstillstånd i Sverige. I utlänningsförordningen (2006:97) finns kompletterande bestämmelser.
I detta kapitel ges en översiktlig bild av de bestämmelser som är av relevans vid handläggningen av ärenden om uppehållstillstånd och nationell visering. De materiella bestämmelserna om uppehållstillstånd och nationell visering samt närmare bestämmelser om krav för beviljande av uppehållstillstånd och nationell visering redogörs inte närmare för.
3.2Uppehållstillstånd
Uppehållstillstånd är ett tillstånd att vistas i Sverige under viss tid (tidsbegränsat uppehållstillstånd) eller utan tidsbegränsning (permanent uppehållstillstånd) (se 2 kap. 4 § UtlL). Som huvudregel gäller att en utlänning som vistas i Sverige mer än tre månader ska ha uppehållstillstånd (se 2 kap. 5 § UtlL). Medborgare i de nordiska länderna är undantagna kravet på uppehållstillstånd (se 2 kap. 8 b § UtlL). Uppehållstillstånd kan beviljas av flera olika skäl, till exempel för besök, arbete eller studier. Uppehållstillstånd kan också beviljas
33
| Uppehållstillstånd och nationell visering | Ds 2026:8 |
på grund av asylrelaterade skäl, anknytning eller synnerligen ömmande omständigheter.
3.3Visering
Visering är ett tillstånd att resa in i och vistas i Sverige under en viss kortare tid. En utlänning som reser in i eller vistas i Sverige ska ha Schengenvisering eller nationell visering (se 2 kap. 3 § UtlL). Schengenvisering avser visering för kortare vistelse och nationell visering avser visering för längre vistelse. Kravet på visering gäller inte för EES-medborgare (se 2 kap. 8 a § UtlL). Ytterligare undantag från kravet på visering följer av 2 kap. 10 § UtlL och 3 kap. 1 § UtlF.
Villkor för beviljande av Schengenvisering finns i viseringskodexen (se 3 kap. 1 § och 1 kap. 4 § UtlL). En Schengenvisering avser vistelser som inte varar längre än 90 dagar under en 180-dagarsperiod (se artikel 2.2 i viseringskodexen). Viseringskodexen reglerar handläggningen av ärenden om Schengenviseringar. I sådana ärenden överlämnas i dag regelmässigt förvaltningsuppgifter, bland annat upptagning av biometri, till en extern tjänsteleverantör. Regelverket för Schengenviseringar redogörs närmare för i kapitel 4.
Om det finns särskilda skäl får nationell visering beviljas. Viseringen får endast beviljas för längre tid än tre månader, dock högst ett år (se 3 kap. 4 § UtlL). Vid införandet av bestämmelsen anfördes att särskilda skäl kan vara att det rör sig om nära släktingar som önskar vistas här i landet för släktbesök längre tid än tre månader eller för affärsbesök (se prop. 2004/05:170 s. 273 och prop. 2010/11:121 s. 36). Nationell visering kan också beviljas för en utlänning som har ansökt om förlängning av uppehålls- och arbetstillstånd för arbete, om han eller hon har behov av en sådan för att kunna resa in i Sverige efter en utlandsresa i tjänsten (se 3 kap. 3 § UtlF). I en sådan situation ska en ansökan om visering ges in till Migrationsverket och får endast göras inifrån landet (se 3 kap. 4 § UtlF).
34
| Ds 2026:8 | Uppehållstillstånd och nationell visering |
3.4Ansökan om uppehållstillstånd och nationell visering
En utlänning som vill ha uppehållstillstånd i Sverige ska som huvudregel ha ansökt om och beviljats ett sådant tillstånd före inresan i landet (se 5 kap. 18 § första stycket och 5 b kap. 15 § UtlL). Det finns emellertid en rad undantag från den huvudregeln (se t.ex. 5 kap. 18 § andra – sjunde stycket, 5 kap. 18 a §, 5 kap. 19 § UtlL och 4 kap. 17 § UtlF). Undantagen är många men innebär bland annat att utlänningar som har rätt till uppehållstillstånd här som flykting eller alternativt skyddsbehövande och utlänningar vars ansökan avser förlängning av ett tidsbegränsat uppehållstillstånd som är beviljat på grund av anknytning undantas från kravet på att ansökan ska göras före inresa i landet.
Beslut om uppehållstillstånd meddelas av Migrationsverket och av Regeringskansliet samt, då en utlänning har utvisats på grund av brott, migrationsdomstolarna (se 5 kap. 20 § UtlL). Beslut om uppehållstillstånd kan också fattas av antingen Migrationsverket eller migrationsdomstolarna efter överklagande (se bland annat 8 kap. 27 § samt 14 kap. 2 och 3 §§ UtlL). Regeringen eller, efter regeringens bemyndigande, Migrationsverket får meddela föreskrifter om att andra myndigheter har rätt att besluta om uppehållstillstånd (se 5 kap. 22 § UtlL). Med stöd av bemyndigandet får Migrationsverket enligt 4 kap. 25 § UtlF ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om uppehållstillstånd för högst tre år. I dagsläget utnyttjas inte den möjligheten vid någon utlandsmyndighet. Det senaste bemyndigandet för en svensk utlandsmyndighet att fatta beslut om uppehållstillstånd upphävdes vid årsskiftet 2020/2021.
En ansökan om uppehållstillstånd av en utlänning som inte befinner sig i Sverige ges in till och utreds av en svensk beskickning eller ett svenskt konsulat i hemlandet eller i det land där utlänningen annars är stadigvarande bosatt. En ansökan om uppehållstillstånd av en utlänning som vistas i Sverige ges in till Migrationsverket (se 4 kap. 20 § UtlF).
Utöver bestämmelsen i 3 kap. 4 § UtlF som redogjorts för ovan saknas bestämmelser om var och när en ansökan om nationell visering ska göras. På Migrationsverkets hemsida hänvisas till att ansökan om nationell visering ska ske på särskild blankett. Av
35
| Uppehållstillstånd och nationell visering | Ds 2026:8 |
informationen på blanketten följer att ansökan ska lämnas in på en svensk utlandsmyndighet (ambassad eller generalkonsulat). Beslut om nationell visering får meddelas av Migrationsverket och Regeringskansliet (se 3 kap. 5 § UtlL). Regeringen eller, efter regeringens bemyndigande, Migrationsverket får meddela föreskrifter om att andra myndigheter har rätt att besluta om visering. Med stöd av bemyndigandet får Migrationsverket enligt 3 kap. 12 § UtlF ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar.
Utöver de bestämmelser som redogjorts för ovan finns bestämmelser om handläggningen av ärenden hos förvaltningsmyndigheterna i utlänningslagens 13 kapitel. De allmänna kraven på handläggning av ärenden följer också av bestämmelser förvaltningslagen (2017:900), vilka närmare redogörs för i kapitel 6.
3.4.1Krav på biometri i ärenden om uppehållstillstånd och nationell visering
I ärenden om uppehållstillstånd måste sökanden låta sig bli fotograferad och lämna fingeravtryck vid ansökan (se 9 kap. 8 a § UtlL). Sökanden måste dock inte lämna fingeravtryck om han eller hon är under sex år eller fysiskt förhindrad att lämna fingeravtryck. Kravet gäller inte heller om sökanden omfattas av avtalet mellan Europeiska gemenskapen och dess medlemsstater å ena sidan och Schweiz å andra sidan om fri rörlighet för personer. Skyldighet att bli fotograferad och lämna fingeravtryck i ärenden om uppehållstillstånd av skyddsskäl följer av 9 kap. 8 § UtlL. I sådana ärenden ska fingeravtryck tas om sökanden har fyllt 14 år. För fotografering finns inget undantag för låg ålder.
I ärenden om nationell visering finns inte någon skyldighet för sökanden att låta sig fotograferas eller lämna fingeravtryck. Av Europaparlamentets och rådets förordning (EU) 265/2010 av den 25 mars 2010 om ändring av konventionen om tillämpning av Schengenavtalet och av förordning (EG) nr 562/2006 vad gäller rörlighet för personer med visering för längre vistelser följer emellertid ett krav på att en nationell visering ska utfärdas enligt den modell för viseringar som fastställs i rådets förordning (EG) nr 1683/95 av den 29 maj 1995 om en enhetlig utformning av visumhandlingar. Av den sistnämnde förordningen följer att den
36
| Ds 2026:8 | Uppehållstillstånd och nationell visering |
modellen (klistermärket) bland annat ska innehålla ett integrerat färgfoto av innehavaren. I praktiken innehåller alltså en beviljad nationell visering ett fotografi av sökanden.
I propositionen Anpassning av svensk rätt till den reviderade VIS-förordningen (prop. 2024/25:176) föreslås dock att det införs en skyldighet i utlänningslagen för sökanden att låta sig fotograferas och lämna fingeravtryck vid ansökan om nationell visering. Skyldigheten att låta en myndighet ta fingeravtryck ska inte gälla om utlänningen är under sex år eller om det är fysiskt omöjligt för utlänningen att lämna fingeravtryck. I propositionen föreslås också en bestämmelse som ger regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om ytterligare undantag från skyldigheten att låta sig fotograferas och lämna fingeravtryck i ärenden om nationell visering. I författningskommentaren anges att sådana undantag kan vara motiverade till exempel när Utrikesdepartementet handlägger ärenden om nationell visering för konsulär personal eller när de praktiska möjligheterna till upptagning av biometriska uppgifter är begränsade i ärenden hos Migrationsverket där nationella viseringar utfärdas, exempelvis vid uttagning av så kallade kvotflyktingar (se prop. 2024/25:176 s. 76). Riksdagen har genom beslut den 15 oktober 2025 antagit regeringens förslag enligt propositionen. Lagändringarna ska träda i kraft den dag som regeringen bestämmer.
3.4.2Förslag på förändringar av gällande rätt i tidigare utredningar
I promemorian Migrations- och asylpakten (Ds 2025:30) lämnas förslag på anpassningar av svensk rätt utifrån nio EU-förordningar. I promemorian föreslås bland annat att 9 kap. 8 § UtlL ändras så att åldersgränsen för att myndigheterna ska få ta upp fingeravtryck sänks till sex år. Ytterligare förslag som lämnats i promemorian innebär att asylrelaterade skäl kommer att utmönstras som grund för uppehållstillstånd enligt nationell rätt. I stället föreslås frågan om någon kan beviljas flyktingstatus eller status som subsidiärt skyddsbehövande prövas i ett ärende om internationellt skydd enligt asylprocedurförordningen. Frågan om uppehållstillstånd prövas enligt förslaget inte inom ramen för ett ärende om internationellt skydd eftersom det enligt skyddsgrundsförordningen utgör en
37
| Uppehållstillstånd och nationell visering | Ds 2026:8 |
rättighet som följer av att en person beviljas internationellt skydd. Promemorians förslag innebär således en ny systematik för asylförfarandet. Förändringarna föreslås träda i kraft den 12 juni 2026.
Utredningen om stärkt återvändandeverksamhet har haft i uppdrag att se över förutsättningarna för behandling av biometriska uppgifter i utlänningsärenden. I uppdraget har bland annat ingått att ta ställning till om Migrationsverket ska få möjlighet att lagra och använda fotografier och fingeravtryck i samband med alla typer av ansökningar om uppehållstillstånd (se dir. 2022:91). I betänkandet Vissa åtgärder för stärkt återvändandeverksamhet och utlänningskontroll (SOU 2024:80) föreslår utredningen att grunden för att ta upp fingeravtryck och fotografier i samband med en ansökan om uppehållstillstånd ska vara samlade i en bestämmelse i 9 kap. 8 a § UtlL. Regleringen i 9 kap. 8 § första stycket 2 UtlL om att ta fingeravtryck och fotografier vid en ansökan om uppehållstillstånd på grund av skyddsskäl föreslås därför upphävas. Även i detta betänkande föreslås att åldersgränsen för att myndigheterna ska få ta upp fingeravtryck sänks till sex år. I utredningen lämnas också förslag angående lagring och användning av de fotografier och fingeravtryck som tas upp inom ramen för ett ärende om uppehållstillstånd. Förslagen i den delen redogörs för i avsnitt 7.3.1.
Både promemorian och betänkandet bereds för närvarande inom Regeringskansliet.
3.5Praktisk hantering
I detta avsnitt är avsikten att lämna en översiktlig redogörelse för den praktiska hanteringen av ärenden om uppehållstillstånd och nationella viseringar. Uppgifterna är främst baserade på muntlig information från utredningens experter på Migrationsverket.
De flesta ansökningar om uppehållstillstånd från personer som inte befinner sig i Sverige kommer in till Migrationsverket via en e- ansökan. Efter att Migrationsverket har granskat ansökan och bedömt vilka handläggningsåtgärder som behöver vidtas anmodar Migrationsverket en utlandsmyndighet att utföra vissa uppgifter, till exempel att ta upp biometri. Det är också möjligt att ge in en ansökan om uppehållstillstånd direkt hos en utlandsmyndighet, i så
38
| Ds 2026:8 | Uppehållstillstånd och nationell visering |
fall registreras ansökan av utlandsmyndigheten och skickas vidare till Migrationsverket. Även i de situationerna är det Migrationsverket som bedömer vilka uppgifter utlandsmyndigheten ska utföra i ärendet. Samtliga utlandsmyndigheter som har ett migrationsuppdrag har möjlighet att ta upp biometri. I dag finns sådana utlandsmyndigheter i 45 länder. Det finns beslut om att avveckla två sådana utlandsmyndigheter under år 2026.
En ansökan om nationell visering görs via ett pappersformulär och ges som utgångspunkt in till en utlandsmyndighet. Det finns i nuläget ingen möjlighet att ansöka digitalt, men en sådan möjlighet är under framtagande hos Migrationsverket. I praktiken används en nationell visering främst i vissa särpräglade situationer. Det kan bland annat ske vid uttagning av så kallade kvotflyktingar, då det av praktiska skäl inte är möjligt att ta upp biometri eller då någon beviljats uppehållstillstånd och av brådskande eller ömmande skäl inte kan invänta att ett uppehållstillståndskort skickas till honom eller henne. Under perioden 2018–2022 har det utfärdats omkring 4 000 – 6 000 nationella viseringar till Sverige per år. Därefter har det skett en minskning av antalet utfärdade nationella viseringar till drygt 2 000 under år 2023 och knappt 1 200 under 2024 (se prop. 2024/25:176 s. 36). Minskningen kan i stor utsträckning hänföras till minskningen av den så kallade flyktingkvoten.
39
4Schengensamarbetet och viseringskodexen
4.1Schengensamarbetet
Inom EU råder fri rörlighet för personer. EU:s passfria område kallas Schengenområdet och utgör en viktig del i det europeiska samarbetet. Idag består Schengenområdet av alla EU-länder (förutom Irland och Cypern) samt fyra andra europeiska länder som inte är medlemmar i EU; Island, Norge, Lichtenstein och Schweiz. Genom Schengensamarbetet avskaffas gränskontrollerna inom området samtidigt som skyddet av de yttre gränserna förstärks och harmoniseras. Inom Schengenområdet är den generella regeln, med vissa undantag, att människor kan resa från ett medlemsland till ett annat utan att passera en gränskontroll. Samarbetet omfattar även en gemensam viseringspolitik för tredjelandsmedborgares kortare vistelser (s.k. Schengenviseringar), samt ett polisiärt och rättsligt samarbete som gör det enklare för medlemsländerna att tillsammans bekämpa brottslighet. Schengensamarbetet innefattar också gemensamma informationssystem, såsom SIS och VIS.
4.2Regelverken som styr Schengenviseringar
Inom Schengensamarbetet finns det gemensamma regelverket gränskodexen för passage av de yttre och inre gränserna. För att en tredjelandsmedborgare ska få resa in i Schengenområdet, dvs. passera en yttre gräns, ställs ett flertal krav upp. Ett krav är att medborgare i vissa länder ska ha en visering för kortare vistelse – en Schengenvisering – om de inte har ett uppehållstånd eller en visering för längre vistelse (artikel 6.1 b gränskodexen). Över hundra länder omfattas av kravet på Schengenvisering (se Ds 2023:30 s. 46). En
41
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
Schengenvisering gäller för hela Schengenområdet och innebär att en tredjelandsmedborgare kan resa in i ett Schengenland och sedan fritt resa omkring i hela området.
Det gemensamma regelverket för utfärdande av Schengenviseringar finns i viseringskodexen. Denna kompletteras av VIS- förordningen, som är under pågående revidering genom en ändringsförordning som antogs i juli 2021 (den reviderade VIS-förord- ningen). Viseringskodexen trädde i kraft år 2009 och har sedan dess genomgått en del ändringar. En av de senare ändringsförordningarna
–2023 års ändringsförordning – innebär förändringar i bland annat viseringskodexens artikel 13 (om biometriska kännetecken) och artikel 43 (om extern tjänsteleverantör). Denna ändringsförordning har antagits men i stora delar ännu inte börjat tillämpas. Av förordningens artikel 8 framgår att den börjar tillämpas efter ett kommissionsbeslut i enlighet med artikel 7.1. Enligt denna artikel är tillämpningen av förordningen avhängig driftsättningen av EU-VAP och införandet av den reviderade VIS-förordningen. Den reviderade VIS-förordningen kommer också att innebära förändringar i viseringskodexens artikel 13.
Viseringskodexen gäller inte för ärenden om uppehållstillstånd eller nationell visering. I detta kapitel redogörs emellertid relativt ingående för regelverket eftersom detta system kommer att utgöra grund för jämförelse vid vårt ställningstagande om ett liknande system bör införas i svensk lag för ärenden om uppehållstillstånd och nationell visering.
4.3VIS-förordningen
VIS är ett EU-gemensamt informationssystem för utbyte av information mellan medlemsstaterna om Schengenviseringar. Systemet regleras av VIS-förordningen och kompletteras av VIS- rådsbeslutet, som reglerar åtkomst till systemet för brottsbekämpande verksamhet. VIS-rådsbeslutet har genomförts i svensk rätt främst genom bestämmelser i lagen (2017:496) om internationellt polisiärt samarbete och förordningen (2017:504) om internationellt polisiärt samarbete.
VIS-systemet innehåller uppgifter om Schengenviseringar. Systemet innehåller bland annat personuppgifter om sökanden,
42
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
inklusive fotografier och fingeravtryck, och beslut som har fattats i enskilda ärenden. De myndigheter som ansvarar för att fatta beslut om viseringar har åtkomst till systemet både för att ändra innehållet, det vill säga lägga in och ta bort uppgifter, och för att ta del av uppgifter för särskilt angivna syften, till exempel för att pröva viseringsansökningar. Därutöver finns det vissa myndigheter i varje medlemsstat som har åtkomst endast för att ta del av uppgifter för särskilt angivna syften, till exempel gränskontroll. VIS-förordningen innehåller bestämmelser som tar sikte på att skydda uppgifterna i VIS-systemet från felaktig behandling, exempelvis bestämmelser om datasäkerhet.
Som ovan nämnts antogs i juli 2021 en ändringsförordning i syfte att reformera VIS-systemet. Därigenom skapades den reviderade VIS-förordningen. Ändringsförordningen trädde i kraft den 2 augusti 2021 och vissa av bestämmelserna tillämpas från det datumet. Vissa andra bestämmelser tillämpas från den 3 augusti 2022. Enligt artiklarna 11 och 12 i 2021 års ändringsförordning ska kommissionen senast den 31 december 2023 fatta beslut om när det uppdaterade VIS-systemet ska tas i drift och merparten av bestämmelserna ska tillämpas från det datum som kommissionen fastställer. Kommissionen har emellertid inte fattat något sådant beslut ännu och det är därmed oklart när det uppdaterade systemet ska tas i drift och den reviderade VIS-förordningen tillämpas fullt ut. Den reviderade VIS-förordningen är, liksom alla förordningar, direkt tillämplig i Sverige och ska tillämpas av nationella myndigheter på samma sätt som lagar och andra nationella föreskrifter.
En av de stora förändringarna i den reviderade VIS-förordningen är att uppgifter från ansökningar om visering för längre vistelse (nationella viseringar) och uppehållstillstånd ska föras in i VIS. Sådana tillstånd finns inte i systemet idag. Uppgifterna som ska föras in omfattar bland annat biometriska uppgifter i form av fingeravtryck och ansiktsbild (fotografi). Vid mottagandet av en ansökan ska behörig myndighet utan dröjsmål upprätta en ansökningsakt och föra in bland annat denna typ av biometriska kännetecken i VIS. En förutsättning för att dessa uppgifter ska föras in i systemet är att sökanden i enlighet med relevant unionsrätt eller nationell rätt är skyldig att tillhandahålla dem. Fingeravtryck från barn under sex år får inte föras in i VIS. För biometriska uppgifter som lämnats av barn under tolv år (kommer att ändras till under sex år) ställs också vissa
43
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
särskilda krav upp för att de ska få införas i VIS, bland annat att den personal som upptar uppgiften har särskild utbildning och att inget tvång använts när uppgifterna upptagits. De myndigheter som är ansvariga för att ta upp ansökan, respektive behöriga att fatta beslut i ärenden om uppehållstillstånd och nationella viseringar, är även ansvariga för att registrera uppgifterna i VIS (se artikel 22a). För svenskt vidkommande innebär det att det är Migrationsverket, Regeringskansliet och svenska beskickningar och konsulat samt migrationsdomstolar som kan komma att behöva skapa en ansökningsakt och registrera uppgifter i VIS (se i fråga om uppehållstillstånd 5 kap. 20 §, 5 kap. 22 §, 8 kap. 27 §, 14 kap. 2 och 3 §§ UtlL, 4 kap. 25 § UtlF och MIGRFS 14/2010 samt i fråga om nationella viseringar 3 kap. 5–6 § UtlL, 3 kap. 12 § UtlF och MIGRFS 05/2011).
Med anledning av den reviderade VIS-förordningen har Justitiedepartementet tagit fram departementspromemorian Anpassning av svensk rätt till den reviderade VIS-förordningen (Ds 2023:30). Förslagen i betänkandet har därefter bearbetats av regeringen som lämnat förslag till lagändringar i propositionen Anpassning av svensk rätt till den reviderade VIS-förordningen (prop. 2024/25:176). I propositionen föreslår regeringen de lagändringar som behövs för att anpassa svensk rätt till den reviderade VIS-förordningen.
4.4Viseringskodexen
Kommande redogörelse av viseringskodexen utgår från nu aktuell konsoliderad version av rättsakten. Revideringar som följer av de ändringsförordningar som antagits men som ännu inte tillämpas kommer att beröras när anledning ges.
4.4.1Några definitioner
Viseringskodexens första avdelning hanterar allmänna bestämmelser, till exempel definitioner. I artikel 2.2 i viseringskodexen definieras visering som ett tillstånd som utfärdas av en medlemsstat för (a) en planerad vistelse på medlemsstaternas territorium som inte varar längre än 90 dagar under 180-dagarsperiod, eller (b) transitering genom de internationella transitområdena på flygplatser i medlemsstaterna. Det finns tre typer av Schengenviseringar;
44
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
enhetlig visering, visering med territoriellt begränsad giltighet samt visering för flygplatstransitering. Enligt artikel 2.3 avses med enhetlig visering en visering som gäller inom medlemsstaternas hela territorium. En visering med territoriellt begränsad giltighet är enligt artikel 2.4 en visering som endast är giltig för en eller flera men inte alla medlemsstaters territorium. Med visering för flygplatstransitering avses slutligen, enligt artikel 2.5, en visering som är giltig för transitering genom de internationella transitområdena på en eller flera av medlemsstaternas flygplatser.
4.4.2Regler för ansökan om visering
I viseringskodexens andra avdelning regleras förfaranden och villkor för utfärdande av viseringar. Efter bestämmelserna i kapitel I, artiklarna 4–8, om behörig medlemsstat och behöriga myndigheter med mera har i artiklarna 9–17 tagits in regler beträffande ansökan om visering. Som huvudregel gäller att sökande ska inställa sig personligen för att lämna fingeravtryck när de ger in en ansökan och då ge in ansökningsformulär, resehandlingar och fotografi och, i tillämpliga fall, tillåta upptagande av fingeravtryck samt betala viseringsavgift (artikel 10). Genom 2023 års ändringsförordning kommer det beträffande frågan om personlig inställelse i stället vara så att sökanden endast behöver inställa sig personligen för att lämna biometriska kännetecken om det krävs i enlighet med artikel 13.
Artikel 13 reglerar upptagning av biometriska kännetecken, vilket i denna bestämmelse definieras som fotografi och den sökandes tio fingeravtryck. Det finns flera undantag till upptagning av biometri, bland annat undantas enligt nu gällande konsoliderad version barn under tolv år. Genom den reviderade VIS-förordningen kommer detta att ändras till barn under sex år, samtidigt som det också införs en övre åldersgräns om 75 år. I avsnitt 4.4.5 redogörs närmare för reglerna avseende upptagning av biometri.
4.4.3Beslutsfattande
I artikel 4.1 finns en huvudregel som innebär att ansökningar om Schengenviseringar ska prövas och beslutas av konsulaten (ambassader och konsulat). Med avvikelse från denna artikel får
45
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
medlemsstaterna, med stöd av artikel 1a besluta att ansökningar ska prövas av och beslut fattas av centrala myndigheter. Medlemsstaterna ska i sådana fall säkerställa att dessa myndigheter har tillräcklig kännedom om de lokala förhållandena i det land där ansökan lämnas in för att bedöma migrations- och säkerhetsrisker samt tillräckliga språkkunskaper för att analysera handlingar, och att konsulaten, där så är nödvändigt, deltar i ytterligare prövning och intervjuer.
Ytterligare undantag till huvudregeln finns i artikel 4.2 – 4.4, till exempel får ansökningar prövas och beslut fattas vid medlemsstaternas yttre gränser av de myndigheter som ansvarar för personkontroller. Med stöd av artikel 4.4 kan en medlemsstat begära att andra myndigheter ska kunna medverka vid prövningen av och vid beslut om ansökningar om Schengenviseringar. En sådan myndighet anges i 3 kap. 5 § UtlL som stadgar att även Migrationsverket får besluta om Schengenviseringar. Enligt artikel 8 får en medlemsstat överlämna åt en annan medlemsstat att pröva och besluta om Schengenviseringar åt medlemsstaten. I denna artikel, punkten 10, nämns också möjligheten för en medlemsstat att samarbeta med en extern tjänsteleverantör i viseringsärenden. I artikel 43 regleras närmare samarbetet mellan en medlemsstat och en extern tjänsteleverantör (se mer om detta i avsnitt 4.4.6).
4.4.4Prövning av och beslut om viseringsansökningar
Andra avdelningens tredje kapitel (III) reglerar prövning av och beslut om viseringsansökningar. Av artikel 19 framgår att det behöriga konsulatet eller de centrala myndigheterna i den behöriga medlemsstaten ska kontrollera huruvida ansökan har lämnats in i rätt tid, innehåller det som krävs i enlighet med artikel 10.3 a–c, att sökandes biometriska uppgifter har tagits upp samt att viseringsavgiften har betalats. När villkoren enligt första punkten är uppfyllda ska ansökan anses möjlig att ta upp till prövning och konsulatet eller de centrala myndigheterna följa de förfaranden som anges i artikel 8 i VIS-förordningen och ytterligare pröva ansökan. Om ansökan inte uppfyller villkoren ska den inte anses möjlig att ta upp och konsulatet eller de centrala myndigheterna i stället
46
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
återsända ansökan jämte dokument till sökande och förstöra de biometriska uppgifter som tagits upp (artikel 19.3).
Grunderna för avslag av en viseringsansökan finns i viseringskodexens artikel 32. Det kan till exempel röra sig om att sökanden ger in en resehandling som är en förfalskning, inte kan styrka ändamålet och villkoren för den planerade vistelsen eller att denne finns på en spärrlista i SIS eller i en registrering i en medlemsstats nationella databaser som syftar till att vägra inresa (till exempel på grund av att denne anses vara ett hot mot en medlemsstats allmänna ordning och inre säkerhet).
4.4.5Upptagning av biometriska uppgifter (artikel 13)
Som ovannämnt reglerar viseringskodexens artikel 13 biometriska kännetecken. Bestämmelsen kommer att få ändrad lydelse genom dels 2021 års ändringsförordning, dels 2023 års ändringsförordning. Relevanta ändringar redogörs för löpande nedan.
Enligt punkten 1 ska medlemsstaterna uppta biometriska kännetecken bestående av ett fotografi av sökanden och dennes tio fingeravtryck i enlighet med de garantier som fastställts i Europakonventionen, i EU:s stadga samt i barnkonventionen. Genom 2021 års ändringsförordning kommer ordet fotografi bytas ut mot ansiktsbild. Vid inlämnandet av den första ansökan är den sökande skyldig att inställa sig personligen. Vid det tillfället ska biometriska kännetecken samlas in i form av dels ett fotografi som tagits vid ansökningstillfället, dels tio platta fingeravtryck som upptas digitalt (punkten 2). 2021 års ändringsförordning för med sig en ny punkt, 2a, som behandlar registreringen av de insamlade uppgifterna. Av denna framgår det att fotografier och fingeravtryck ska samlas in endast för registrering i VIS i enlighet med artikel 9.5 och 9.6 i VIS- förordningen samt i de nationella systemen för handläggning av viseringsansökningar.
Undantag för upptagning av fingeravtryck kan göras om det i VIS redan finns fingeravtryck från en tidigare ansökan som förts in i systemet mindre än 59 månader före dagen för den nya ansökan (punkten 3) och det inte råder rimliga tvivel om sökandens identitet. Om nämnda förutsättningar är uppfyllda kopieras de sedan tidigare upptagna fingeravtrycken in i den nya ansökan. Detta undantag
47
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
kommer även att omfatta fotografi vid genomförandet av 2021 års ändringsförordning.
Krav på hur insamlandet av fotografi och fingeravtryck ska gå till samt registrering av dessa i VIS regleras utförligt i punkterna 4–6. Punkten 6 kommer att få en ändrad lydelse genom 2023 års ändringsförordning, innehållet är i stort detsamma men med några små justeringar. Enligt den nya lydelsen av punkten 6 ska upptagningen av biometriska kännetecknen samlas in av kvalificerad och vederbörligen bemyndigad personal hos de myndigheter som är behöriga i enlighet med artikel 4.1, 4.2 och 4.3. Under överinseende av konsulaten eller de centrala myndigheterna får de biometriska kännetecknen också samlas in av kvalificerad och vederbörligen bemyndigad personal hos en extern tjänsteleverantör enligt artikel
43.Om det råder tvivel får fingeravtryck som den externa tjänsteleverantören tagit verifieras på konsulatet. De tekniska kraven för fotografiet och fingeravtrycken ska följa internationella standarder (punkterna 4–5). Genom 2021 års ändringsförordning införs även krav på fotografiets kvalitet och bildupplösning.
Genom 2021 års ändringsförordning kommer en ny punkt, 6a, läggs till i artikel 13. Den handlar om förfarandet vid upptagning av biometri för en underårig sökande. Den personal som tar upp biometri för en underårig ska ha en särskild utbildning, utföra uppgiften på ett barnvänligt och barnanpassat sätt samt respektera barnets bästa och beakta barnkonventionen. Den underårige ska åtföljas av en vuxen familjemedlem eller förmyndare och inget tvång får användas.
Som tidigare nämnts finns det för vissa sökanden undantag från kravet på att lämna fingeravtryck. För tillfället undantas barn under tolv år från kravet, men detta kommer att ändras till barn under sex år och personer över 75 år. Vidare undantas personer som det är fysiskt omöjligt att ta fingeravtryck på. Enligt punkten 7b ska så många fingeravtryck som möjligt tas, om det går att ta avtryck på färre än tio fingrar. Skulle det emellertid vara frågan om ett tillfälligt hinder, ska det krävas att sökanden lämnar fingeravtryck vid nästa ansökan. De myndigheter som är behöriga i enlighet med artikel 4.1, 4.2 och 4.3 ska ha rätt att begära ytterligare klarlägganden avseende grunderna för det tillfälliga hindret. Medlemsstaterna ska se till att det finns lämpliga förfaranden som garanterar sökandens värdighet, om inläsningen och registreringen av fingeravtryck bereder svårig-
48
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
heter. Ytterligare undantag görs under vissa förutsättningar för stats- eller regeringschefer jämte deras familjer och deras officiella delegationer samt regenter och högt uppsatta medlemmar av en kungafamilj. Genom 2021 års ändringsförordning kommer det införas en möjlighet att även undanta personer som måste framträda som vittne vid internationella domstolar och tribunaler och vars personliga inställelse för att lämna viseringsansökan skulle försätta dem i fara. De två sistnämnda kategorierna kommer genom 2021 års ändringsförordning också kunna undantas från kravet på tagande av ansiktsbild vid ansökningstillfället (punkt 7a).
Genom såväl 2021 års ändringsförordning som 2023 års ändringsförordning kommer det att införas nya punkter, 7b och 7c, som i korthet handlar om tekniska lösningar för tagande av fotografi och uppladdning av de biometriska kännetecknen.
4.4.6Reglering av samarbetet med en extern tjänsteleverantör (artikel 43)
Bestämmelserna om samarbete med en extern tjänsteleverantör finns i artikel 43 i viseringskodexen. Denna artikel kommer att få delvis ny lydelse genom 2023 års ändringsförordning och då primärt för att anpassa nuvarande regelverk till införandet av EU-VAP.
Viseringskodexen föreskriver att medlemsstaterna ska samarbeta med varandra inom ramen för överenskommelser om representation eller andra former av konsulärt samarbete. Detta framgår av artikel
40.Av samma artikel framgår att en medlemsstat även får samarbeta med en extern tjänsteleverantör, i enlighet med artikel 43. Tidigare föreskrevs att ett samarbete med en extern tjänsteleverantör var en sista utväg och att det endast fick ske under vissa särskilda omständigheter, till exempel att säkerställandet av god geografisk täckning av det berörda tredje landet inte kunde uppnås på annat sätt. Dessa krav togs bort genom 2019 års ändringsförordning. I skälen anfördes bland annat att flexibla regler behövde införas för att göra det möjligt för medlemsstaterna att optimera resurssamordningen och stärka den konsulära täckningen. Ändringarna handlade också om att synliggöra unionen och förbättra den service som erbjuds sökande.
Genom 2019 års ändringsförordning infördes även ändringar i viseringskodexens artikel 43. I skälen betonades medlemsstaternas
49
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
ansvar att övervaka externa tjänsteleverantörers verksamhet. Det anfördes bland annat att medlemsstaterna noggrant och regelbundet bör övervaka externa tjänsteleverantörers verksamhet för att säkerställa efterlevnad av det rättsliga instrument som reglerar det ansvar som anförtrotts dem samt säkerställa att hela förfarandet för handläggning av ansökningar och samarbetet med externa tjänsteleverantörer övervakas av utlandsstationerad personal.
Enligt artikel 45 i viseringskodexen får medlemsstaterna även samarbeta med kommersiella mellanhänder när det gäller att lämna in ansökningar. En sådan kommersiell mellanhand får emellertid inte utföra upptagning av biometriska kännetecken. Enligt definitionen i artikel 2.11 i viseringskodexen är en kommersiell mellanhand en privat byrå som tillhandahåller administrativa tjänster, transportbolag eller resebyrå (researrangör och återförsäljare).
Samarbetsavtalet
I artikel 43 beskrivs närmare samarbetet med den externa tjänsteleverantören. I artikel 43.1 anges att medlemsstaterna ska sträva efter att samarbeta med en extern tjänsteleverantör tillsammans med en eller flera andra medlemsstater utan att det påverkar reglerna för offentlig upphandling och konkurrensreglerna. Samarbetet ska baseras på ett rättsligt instrument och ett samarbetsavtal ska därför upprättas. I viseringskodexens bilaga X finns en förteckning över de minimikrav som ska ingå i det rättsliga instrumentet vid samarbete med externa tjänsteleverantörer. Denna bilaga reviderades också i samband med 2019 års ändringsförordning. Enligt förteckningen om minimikrav ska det rättsliga instrumentet innehålla följande uppgifter
a)en redogörelse för de uppgifter som ska utföras av den externa tjänsteleverantören, i enlighet med artikel 43.6,
b)uppgifter om de platser där den externa tjänsteleverantören ska utöva sin verksamhet och vilket konsulat de enskilda ansökningscentrumen rapporterar till,
c)en förteckning över de tjänster som omfattas av den obligatoriska serviceavgiften, samt
50
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
d)anvisningar till den externa tjänsteleverantören om att tydligt informera allmänheten om att andra avgifter täcker valfria tjänster.
Av förteckningen framgår det vidare att samarbetsavtalet ska innehålla flertalet minimikrav vad avser dataskydd som den externa tjänsteleverantören vid verksamhetsutövandet måste iaktta. I det följande redogörs för dessa dataskyddskrav.
Den externa tjänsteleverantören ska alltid förhindra att uppgifter obehörigen läses, kopieras, ändras eller utplånas, särskilt när de överförs till konsulatet i den eller de medlemsstater som har behörighet att behandla en ansökan. Den externa tjänsteleverantören ska i enlighet med instruktionerna från den eller de behöriga medlemsstaterna överföra uppgifterna elektroniskt i krypterad form eller fysiskt på ett säkert sätt. Uppgifterna ska överföras så fort som möjligt. Rör det sig om fysiskt överförda uppgifter ska det ske minst en gång i veckan. För elektroniskt överförda krypterade uppgifter ska det ske senast i slutet av den dag de samlades in. Den externa tjänsteleverantören ska vidare vara skyldig att säkerställa lämpliga medel för att spåra enskilda ansökningsakter till och från konsulatet.
Det ska vidare framgå av samarbetsavtalet att den externa tjänsteleverantören är skyldig att utplåna uppgifterna senast sju dagar efter deras överföring och säkerställa att endast sökandens namn och kontaktuppgifter för tidsbeställningen samt passnumret behålls fram till dess att passet återlämnas till sökanden och raderas fem dagar därefter. Den externa tjänsteleverantören är också skyldig att säkerställa att alla de tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda personuppgifter mot att förstöras genom olyckshändelse eller olagligt förfarande, eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om samarbetet innefattar överföring av akter och uppgifter till den eller de berörda medlemsstaternas konsulat, samt mot alla andra olagliga former av behandling av personuppgifter.
Av samarbetsavtalet ska det även framgå att den externa tjänsteleverantören endast får behandla uppgifterna i syfte att behandla sökandenas personuppgifter för den eller de berörda medlemsstaternas räkning. Den externa tjänsteleverantören är också skyldig
51
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
att tillämpa dataskyddsstandarder som minst motsvarar de standarder som fastställs i dataskyddsförordning. Slutligen ska den externa tjänsteleverantören även ge sökanden den information som krävs enligt artikel 37 i VIS-förordningen, vilket innebär information om bland annat identiteten på den personuppgiftsansvarige, kategorier av uppgiftsmottagare och lagringstiden för uppgifterna.
Förteckningen innehåller även skyldigheter som den externa tjänsteleverantören måste iaktta vad avser personalens uppträdande. I samband med verksamhetsutövandet ska den externa tjänsteleverantören säkerställa att personalen har lämplig utbildning, tar emot sökandena på ett artigt sätt, respekterar sökandenas värdighet och integritet, inte diskriminerar människor på grund av kön, ras eller etniskt ursprung, religion eller övertygelse, funktionsnedsättning, ålder eller sexuell läggning. Personalen ska också respektera sekretessbestämmelserna som även ska gälla efter det att anställda har lämnat sitt arbete eller efter det att samarbetsavtalet tillfälligt har upphört att gälla eller upphävts. Den externa tjänsteleverantören ska alltid kunna lämna identitetsuppgifter om den personal som arbetar för den. Slutligen ska den externa tjänsteleverantören kunna uppvisa att personalen inte är uppförd i kriminalregister och har erforderlig sakkunskap.
Samarbetsavtalet ska vidare innehålla vissa skyldigheter för den externa tjänsteleverantören i samband med att verksamhetsutövandet ska kontrolleras. Den externa tjänsteleverantören ska då sörja för att personal som har bemyndigats av den eller de berörda medlemsstaterna när som helst får tillgång till den externa tjänsteleverantörens lokaler utan föregående anmälan, särskilt i inspektionssyfte. Den externa tjänsteleverantören ska också säkerställa att det finns möjlighet till distansåtkomst till det system som används för tidsbeställning, i inspektionssyfte, samt att relevanta övervakningsmetoder används (till exempel testsökande och webbkamera). Den externa tjänsteleverantören måste även säkerställa att medlemsstaternas nationella dataskyddsmyndighet ges tillgång till bevis för att dataskyddsreglerna följs, bland annat rapporteringsskyldigheter, externrevision och regelbundna kontroller på plats. Slutligen är den externa tjänsteleverantören skyldig att till de berörda medlemsstaterna utan dröjsmål skriftligen rapportera eventuella säkerhetsproblem eller klagomål från sökande om missbruk av uppgifter eller obehörig åtkomst samt samordna sig
52
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
med den eller de berörda medlemsstaterna i syfte att finna en lösning och snabbt ge svar med förklaring till sökande som klagat.
Förteckningen avslutas med allmänna krav som den externa tjänsteleverantören ska iaktta. Den externa tjänsteleverantören ska handla enligt instruktionerna från den eller de medlemsstater som är behöriga att behandla ansökan och vidta lämpliga åtgärder mot korruption (till exempel tillräcklig ersättning till personal och samarbete vid val av personal som används för uppgiften). Slutligen är den externa tjänsteleverantören skyldig att fullt ut följa bestämmelserna i samarbetsavtalet, som ska innehålla en klausul om tillfälligt upphörande eller uppsägning, särskilt om de fastställda bestämmelserna överträds, samt en översynsklausul för att säkerställa att bästa praxis återspeglas i det rättsliga instrumentet.
Uppgifter som får utföras av en extern tjänsteleverantör
I artikel 43.4 i viseringskodexen betonas att det endast är konsulaten som kan pröva och besluta om viseringsansökningar samt genomföra intervjuer. Genom 2023 års ändringsförordning kommer även de centrala myndigheterna att ha denna behörighet. Dessa uppgifter
–pröva och besluta om ansökningar och hålla intervjuer – kan alltså aldrig utföras av en extern tjänsteleverantör.
Vidare får den externa tjänsteleverantören under inga omständigheter ha tillgång till VIS, tillgång till systemet är uteslutande reserverat för bemyndigad personal på konsulat eller centrala myndigheter (artikel 43.5). Genom 2023 års ändringsförordning införs emellertid ett undantag till detta då bemyndigad personal hos den externa tjänsteleverantören kommer att ha åtkomst till EU- VAP genom en särskild nätsluss. Åtkomsten till EU-VAP får emellertid endast användas för att verifiera de uppgifter som sökanden har laddat upp, ladda upp biometriska kännetecken, ladda upp kopior av de styrkande handlingarna samt använda tidsbokningsverktyget för att ange lediga tider.
Enligt artikel 43.6 får den externa tjänsteleverantören ges behörighet att utföra någon eller några av följande uppgifter
a)tillhandahållande av allmän information om viseringskrav samt ansökningsformulär,
53
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
b)information till den sökande om de styrkande handlingar som krävs, på grund av en checklista,
c)insamling av uppgifter och mottagande av ansökningar (inbegripet insamling av biometriska kännetecken) och överföring av ansökan till konsulatet eller den centrala myndigheten,
d)uppbörd av viseringsavgiften,
e)hantering av tidsbeställning för sökanden, i tillämpliga fall, vid konsulatet eller i den externa tjänsteleverantörens lokaler,
f)insamling av resehandlingarna, inbegripet i förekommande fall ett beslut om avslag, från konsulatet eller de centrala myndigheterna och återlämnande av dessa till sökandena.
Punkten c kommer få en ny lydelse genom 2023 års förordning. Vad gäller uppgiften att samla in biometriska kännetecken görs ingen ändring i sak mer än att det förtydligas att den externa tjänsteleverantören får föra över dessa uppgifter till konsulatet eller de centrala myndigheterna samt ladda upp dem till EU-VAP.
Ansvar och skyldigheter för medlemsstaten vid samarbetet
Om en medlemsstat väljer att samarbeta med en extern tjänsteleverantör uppkommer ansvar och skyldigheter för medlemsstaten, vilket regleras i artikel 43.7–13. I artikel 43.7 föreskrivs ett ansvar för medlemsstaterna att vid val av en extern tjänsteleverantör dels bedöma organisationens eller företagets tillförlitlighet och solvens, dels säkerställa att det inte föreligger några intressekonflikter. Vidare föreskrivs det i artikel 43.8 ett ansvar för medlemsstaterna att se till att den valda externa tjänsteleverantören uppfyller de villkor och bestämmelser som den omfattas av enligt samarbetsavtalet. Medlemsstaterna ska enligt artikel 43.9 ansvara för efterlevnaden av reglerna om skydd av personuppgifter och säkerställa att den externa tjänsteleverantören är föremål för dataskyddsmyndigheternas övervakning i enlighet med artikel 51.1 i dataskyddsförordningen. I artikel 43.10 stadgas en skyldighet för medlemsstaten att utbilda den externa tjänsteleverantören så att organisationen får de kunskaper som behövs för att erbjuda lämpliga tjänster och tillräcklig information till sökandena.
54
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
Medlemsstaterna ska noga övervaka genomförandet av det rättsliga instrumentet, det vill säga samarbetsavtalet, enligt punkten 11. I detta inbegrips
1.allmän information om kriterier, villkor och förfarande för ansökan om visering samt innehållet i de ansökningsformulär som den externa tjänsteleverantören tillhandahåller sökande,
2.alla de tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda personuppgifter mot oavsiktlig eller olaglig förstöring, förlust genom olyckshändelse, ändring, obehörigt röjande av eller obehörig åtkomst till uppgifter, särskilt om samarbetet innefattar överföring av akter och uppgifter till den eller de berörda medlemsstaternas konsulat eller centrala myndigheter, samt mot alla andra olagliga former av behandling av personuppgifter,
3.upptagning och överföring av biometriska kännetecken, och
4.åtgärder som vidtagits för att se till att bestämmelserna om uppgiftsskydd följs.
I syfte att uppfylla denna övervakningsskyldighet ska konsulaten eller medlemsstaternas centrala myndigheter regelbundet, och minst var nionde månad, genomföra stickprovskontroller på plats i den externa tjänsteleverantörens lokaler. Medlemsstaterna får komma överens om att dela ansvaret för denna regelbundna övervakning. Enligt punkt 11a ska medlemsstaterna varje år rapportera till kommissionen om sitt samarbete med och sin övervakning av externa tjänsteleverantörer. Enligt punkten 13 är medlemsstaterna även skyldiga att tillhandahålla kommissionen ett exemplar av samarbetsavtalet.
Slutligen är medlemsstaterna, enligt punkten 12, skyldiga att säkerställa att fullständig service upprätthålls för det fall samarbetet med den externa tjänsteleverantören skulle avbrytas.
55
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
4.4.7Kryptering och säker överföring av uppgifter vid samarbetet (artikel 44)
I viseringskodexens artikel 44 regleras frågor om kryptering och säker överföring av uppgifter. Den gäller inte bara vid samarbete med en extern tjänsteleverantör, utan även för samarbete mellan medlemsstaterna. Vid denna typ av samarbete ska medlemsstaterna säkerställa att uppgifterna är fullständigt krypterade, oavsett om överföringen sker elektroniskt eller fysiskt på ett elektroniskt lagringsmedium (art. 44.1). I samtliga fall ska säkerhetsnivån för överföringen anpassas till uppgifternas känslighet (art. 44.3). Genom 2023 års ändringsförordning införs även en bestämmelse som rör kryptering och den åtkomst som den externa tjänsteleverantören kommer ha till EU-VAP. Den nya punkten 1a kommer innebära att åtkomsten till EU-VAP måste skyddas av ett annat system för säker kryptering än det som används i punkten 1.
I tredjeländer som förbjuder kryptering av uppgifter som ska överföras elektroniskt, ska medlemsstaterna inte tillåta elektronisk överföring av uppgifter. I sådana fall ska medlemsstaterna säkerställa att de elektroniska uppgifterna överförs fysiskt i fullständigt krypterad form på ett elektroniskt lagringsmedium av en medlemsstats konsulära tjänsteman eller, om en sådan överföring skulle kräva oproportionerliga eller orimliga åtgärder, på något annat säkert sätt, till exempel med hjälp av etablerade aktörer med erfarenhet av att transportera känsliga handlingar och uppgifter i det berörda tredjelandet (art. 44.2).
4.4.8Behörigt organ att besluta om samarbetet
Viseringskodexen reglerar endast möjligheten för en medlemsstat att under vissa förutsättningar ingå överenskommelser om representation och överenskommelser om samarbete med externa tjänsteleverantörer eller kommersiella mellanhänder. Kodexen behandlar däremot inte vilket organ hos en medlemsstat som är behörigt att ingå sådana överenskommelser. Att fatta beslut i viseringsärenden utgör myndighetsutövning. Även de uppgifter som kan komma att utföras av externa tjänsteleverantörer (och kommersiella mellanhänder) kan innefatta myndighetsutövning. Ett exempel är att
56
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
externa tjänsteleverantörer kan komma att ta upp biometriska kännetecken. (Se prop. 2010/11:121 s. 42).
Före lagändringen 2011 genom vilken ett fjärde stycke fördes in i 3 kap. 6 § UtlL fanns det i svensk lag inte någon bestämmelse om samarbete med extern tjänsteleverantör eller kommersiell mellanhand. I propositionen EU:s Viseringskodex föreslogs därför att en bestämmelse som bemyndigar regeringen eller, efter regeringens bestämmande, Regeringskansliet att ingå överenskommelser med externa tjänsteleverantörer eller kommersiella mellanhänder skulle införas i utlänningslagen (se prop. 2010/11:121 s. 42). Lydelsen i lag blev i enlighet med förslaget att regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör eller med en kommersiell mellanhand i enlighet med viseringskodexen.
4.5Schengenviseringar i praktiken
I detta avsnitt redogörs för hur samarbetet med en extern tjänsteleverantör enligt viseringskodexen fungerar i praktiken. Utredningen har i denna del utgått från muntlig information som Migrationsverkets experter bistått utredningen med. Migrationsverket samarbetar i dagsläget enbart med en extern tjänsteleverantör inom ramen för Schengenviseringar. Denna tjänsteleverantör har sitt huvudkontor i Dubai i Förenade Arabemiraten, men har ansökningskontor på flera platser i flera länder runtom i världen. På de platser som den externa tjänsteleverantören saknar ansökningskontor använder sig tjänsteleverantören av en underleverantör som måste godkännas av Migrationsverket.
Ett ärende om Schengenviseringar inleds vanligen genom att den sökande bokar en tid hos den externa tjänsteleverantören. Vid besöket hos den externa tjänsteleverantören fyller sökanden i viseringsansökan och lämnar in de bilagor som krävs. Tjänsteleverantören får inte ta ställning till ansökan, kontrollera dess innehåll eller neka att ta emot den. Tjänsteleverantören får emellertid ge allmänna råd om ansökan och delge sökanden information om vilka krav som gäller för denna. Den externa tjänsteleverantören tar sedan upp biometri och ett fotografi av sökanden. Den externa tjänsteleverantören använder då egen hårdvara, men en mjukvara som de
57
| Schengensamarbetet och viseringskodexen | Ds 2026:8 |
fått tillgång till genom Migrationsverket. Mjukvaran innehåller kvalitetskrav för tagandet av fingeravtryck och fotografi. Insamlandet av biometri och fotografi styrs av lokala arbetsmanualer som innehåller rutiner för hur upptagningen ska genomföras.
Den externa tjänsteleverantören skickar sedan ansökan tillsammans med upptagen biometri och fotografi till Migrationsverket via en server som är placerad i EU. När Migrationsverket meddelat den externa tjänsteleverantören att myndigheten tagit emot handlingarna ska den externa tjänsteleverantören radera ansökan, men spara sökandens namn och telefonnummer för att kunna kontakta denne när beslutet ska hämtas. Efter mottagande kontrollerar Migrationsverket att ansökan är komplett och skickar den därefter till utlandsmyndigheten i berört land som skapar ett ärende. Den externa tjänsteleverantören skickar de fysiska handlingarna till utlandsmyndigheten tillsammans med sökandens pass. Utlandsmyndigheten handlägger och fattar beslut i ärendet. Beslutet och passet skickas därefter förseglat till den externa tjänsteleverantören som lämnar ut det till sökanden. Om sökanden vill överklaga ett beslut görs det hos den myndighet som har fattat beslutet. Under hela denna process skickar Migrationsverket aldrig några uppgifter till den externa tjänsteleverantören som inte heller har tillgång till några digitala system.
Migrationsverket har kontinuerlig kontakt med den externa tjänsteleverantören genom dels en dataskyddsgrupp, dels en förvaltningsgrupp. Förvaltningsgruppen har möte varannan vecka med tjänsteleverantören vid vilka till exempel kvaliteten på fingeravtryck och fotografier följs upp och eventuella klagomål från sökanden hanteras. Dataskyddsgruppen har också en kontinuerlig kontakt med den externa tjänsteleverantören. Några gånger per år väljer gruppen även ut ett antal ansökningskontor på olika orter som de åker till och genomför inspektioner vid. Dessa granskningar är inriktade på dataskydd och hanteringen av personuppgifter. Migrationsverket är personuppgiftsansvarig och äger personuppgiftsbiträdesavtalet med den externa tjänsteleverantören som alltså är personuppgiftsbiträde. Härutöver genomför Utrikesdepartementet regelbundna inspektioner vid vilka även Migrationsverket deltar. Utlandsmyndigheterna har en daglig kontakt med den externa tjänsteleverantören och utför även den typ av inspektioner som anges i viseringskodexen. I denna del samarbetar de svenska utlands-
58
| Ds 2026:8 | Schengensamarbetet och viseringskodexen |
myndigheterna med de danska och norska motsvarigheterna – som anlitar samma externa tjänsteleverantör som Sverige – och delar på ansvaret för genomförandet av inspektionerna.
59
5Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör
5.1Inledning
Utredningens uppdrag är bland annat att utreda de rättsliga förutsättningarna för att överlämna vissa förvaltningsuppgifter i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör. I vår uppdragsbeskrivning definieras en extern tjänsteleverantör som ett upphandlat privat företag. Det är vid dessa överväganden rimligt att utgå från att den externa tjänsteleverantören kommer att vara ett utländskt rättssubjekt, många gånger ett privat bolag med säte och mottagningslokaler utanför Sverige.
Ärenden om visering och uppehållstillstånd är förvaltningsärenden hos statliga myndigheter. Utgångspunkten är därmed att handläggningen ska äga rum hos myndigheterna. Det är emellertid relativt vanligt att förvaltningsuppgifter utförs av andra än statliga myndigheter. I avsnitten nedan redogörs för de bestämmelser som reglerar förutsättningarna för att överlämna eller överlåta förvaltningsuppgifter åt andra.
5.2Gällande rätt
I regeringsformens 12:e kapitel finns bestämmelser som reglerar den statliga förvaltningen. Enligt 12 kap. 4 § första stycket RF kan förvaltningsuppgifter överlämnas åt kommuner. Enligt andra stycket i samma bestämmelse kan förvaltningsuppgifter även överlämnas åt andra juridiska personer och enskilda individer. Om upp-
61
Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör Ds 2026:8
giften innefattar myndighetsutövning, får ett överlämnade göras endast med stöd av lag.
I regeringsformens 10:e kapitel finns bestämmelser som reglerar internationella förhållanden. I 10 kap. 6–8 §§ RF regleras överlåtelse av beslutanderätt i internationella förhållanden. Bestämmelsen i 10 kap. 6 § RF behandlar överlåtelse av beslutanderätt inom EU- samarbetet medan 10 kap. 7–8 §§ RF behandlar överlåtelse av beslutanderätt utanför EU-samarbetet. I 10 kap. 7 § RF regleras möjligheten att överlåta beslutanderätt som direkt grundar sig på regeringsformen medan 10 kap. 8 § RF reglerar överlåtelse av rättsskipnings- eller förvaltningsuppgifter som inte direkt grundar sig på regeringsformen. Bestämmelsen i 10 kap. 7 § RF reglerar således överlåtelse av konstitutionella befogenheter medan 10 kap. 8 § RF rör andra rättsskipnings- och förvaltningsuppgifter.
Enligt 10 kap. 8 § RF kan rättsskipnings- eller förvaltningsuppgifter som inte direkt grundar sig på regeringsformen genom beslut av riksdagen överlåtas till en annan stat, till en mellanfolklig organisation eller en utländsk eller internationell inrättning eller samfällighet. Riksdagen får i lag bemyndiga regeringen eller någon annan myndighet att i särskilda fall besluta om en sådan överlåtelse. Om uppgiften innefattar myndighetsutövning krävs enligt 10 kap. 8 § andra stycket RF att riksdagen ska besluta om en överlåtelse eller ett bemyndigande i den ordning som anges i 10 kap. 6 § andra stycket RF. Enligt den senare bestämmelsen krävs då att minst tre fjärdedelar av de röstande och mer än hälften av riksdagens ledamöter röstar för förslaget eller att lagen antas i den ordning som gäller för stiftande av grundlag.
Ordalydelsen av bestämmelsen i 12 kap. 4 § RF ger ingen vägledning i fråga om den är begränsad till överlåtelser som sker nationellt. Regeringsformens föreskrifter om rättskipning och förvaltning vilar emellertid på förutsättningen att dessa funktioner ska fullgöras av svenska organ (se prop. 1984/85:61 s. 6). I förarbetena till 1974 års regeringsform uttalades att varken rättsskipning eller förvaltning kan överlåtas till utländska eller mellanfolkliga organ utan uttryckligt stöd i grundlag (se SOU 1972:15 s. 186).
I ett tidigare lagstiftningsarbete har Lagrådet gjort bedömningen att ett överlämnande av förvaltningsuppgifter till personer i Sverige som inte är svenska medborgare kan ske med stöd av 12 kap. 4 § RF utan att beakta 10 kap. 8 § RF (se prop. 1987/88:26 s. 14). Däremot
62
Ds 2026:8 Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör
har Lagrådet i ett annat lagstiftningsarbete gjort bedömningen att ett överlämnande av en förvaltningsuppgift att utföras utanför Sverige inte kan ske till ett utländskt rättssubjekt utan att beakta 10 kap. 8 § RF (se prop. 1987/88:3 s. 198).
I 3 kap. 6 § fjärde stycket UtlL bemyndigas regeringen eller, efter regeringens bestämmande, Regeringskansliet att besluta om samarbete med en extern tjänsteleverantör eller med en kommersiell mellanhand i enlighet med viseringskodexen. I förarbetena till bestämmelsen konstaterades att den innebar att myndighetsutövning kan överlämnas till bland annat utländska inrättningar varför riksdagens beslut skulle fattas efter iakttagande av 10 kap. 8 § RF (se prop. 2010/11:121 s. 42). Samma bedömning gjordes i betänkandet Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (se SOU 2016:36 s. 124–126).
5.2.1Myndighetsutövning
Begreppet myndighetsutövning används i regeringsformen men också i annan lagstiftning, till exempel i brottsbalken. Någon legaldefinition av begreppet finns inte. Beträffande innebörden av begreppet myndighetsutövning hänvisas i förarbetena till regeringsformen till de uttalanden som gjordes i denna fråga vid tillkomsten av den äldre förvaltningslagen (se prop. 1973:90 s. 397 och prop. 1975/76:209 s. 165).
Enligt förarbetena till 1971 års förvaltningslag avsågs med myndighetsutövning en befogenhet att för enskild bestämma om förmån, rättighet, skyldighet, disciplinär bestraffning eller annat jämförbart förhållande (se prop. 1971:30 s. 3). Utmärkande för all myndighetsutövning är att det rör sig om beslut eller andra åtgärder som ytterst är ett uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Det innebär att det ska röra sig om ärenden som ensidigt avgörs av en myndighet. Det ska vidare vara fråga om bindande beslut. Ärenden som enbart avser lämnande av råd eller andra icke-bindande besked innefattar inte myndighetsutövning. Inte heller är det fråga om myndighetsutövning när en myndighet avger ett yttrande till en annan myndighet.
För att myndighetsutövning ska föreligga krävs även att myndigheten grundar sin befogenhet på offentligrättslig lagstiftning eller ett
63
Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör Ds 2026:8
beslut av regering eller riksdag. Befogenheten som grundar sig på civilrättsliga regler omfattas inte av begreppet myndighetsutövning. Det innebär till exempel att myndigheters beslut om uppsägning och avskedande i regel faller utanför begreppet.
5.3Sammanfattande bedömning
Utredningens bedömning
Ett överlämnande av förvaltningsuppgifter till ett utländskt organ utanför Sverige kräver lagstöd enligt 10 kap. 8 § första stycket RF.
Upptagning av biometri i ärenden om uppehållstillstånd och nationell visering utgör myndighetsutövning. En lag som möjliggör ett överlämnande av denna uppgift till ett utländskt organ utanför Sverige måste därför antas med stöd av 10 kap. 8 § andra stycket RF, det vill säga med kvalificerad majoritet eller i den ordning som gäller för stiftande av grundlag.
Utredningens uppdrag är att utreda de rättsliga förutsättningarna för att överlämna vissa förvaltningsuppgifter i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör. Som konstaterats ovan är utgångspunkten att den externa tjänsteleverantören kommer vara ett utländskt rättssubjekt, ofta ett privat bolag med säte utanför Sverige. Att 10 kap. 8 § RF ska beaktas i en situation då förvaltningsuppgifter förs utomlands följer redan av regeringsformens disposition där 10:e kapitlet i regeringsformen reglerar just internationella förhållanden. Detta är vidare i linje med den bedömning som har gjorts av Lagrådet i fråga om att överlämna uppdraget att verkställa en tillsynsförrättning utanför Sverige i samband med antagandet av en ny fartygssäkerhetslag (se prop. 1987/88:3 s. 198). Det är också i linje med de förarbetsuttalanden som konstaterat att regeringsformens föreskrifter om rättsskipning och förvaltning vilar på förutsättningen att dess funktioner ska fullgöras av svenska organ. Det nu nämnda innebär enligt utredningens bedömning att 10 kap. 8 § RF ska beaktas vid överlämnanden av förvaltningsuppgifter till ett utländskt organ utanför
64
Ds 2026:8 Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör
Sverige. Det i sin tur innebär att överlämnandet måste göras med stöd av lag oavsett om de uppgifter som överlämnas utgör myndighetsutövning eller inte.
Nästa fråga är då om upptagning av biometri i ärenden om uppehållstillstånd och nationell visering utgör myndighetsutövning. Om så bedöms vara fallet måste lagen antas med kvalificerad majoritet eller i den ordning som gäller för stiftande av grundlag. Ett beslut i ett ärende om uppehållstillstånd och nationell visering är bindande för sökanden och utgör ett uttryck för en maktbefogenhet som har sin grund i lag. Att fatta beslut i ärenden om uppehållstillstånd och visering utgör därför givetvis myndighetsutövning. Om upptagning av biometri i dessa ärenden ska anses utgöra myndighetsutövning är beroende av bedömningen om huruvida myndighetsutövning är avgränsat till beslutet eller om handläggningen i ett ärende också utgör myndighetsutövning. Den frågan besvaras inte i förarbetena till regeringsformen eller av juridisk doktrin.
I två beslut har dock JO tagit ställning i frågan. Det ena beslutet är meddelat den 4 april 2001 och rör anlitande av privata rättssubjekt som utredare inom socialtjänsten. JO anförde i beslutet att det vid bedömningen av vad som utgör myndighetsutövning ska beaktas att beredning och beslut i ett ärende i princip anses utgöra oskiljaktiga delar av en och samma förvaltningsuppgift. (Se JO 2001/02 s. 250).
Det andra beslutet är meddelat den 6 november 2009 och rör en ambassad som hade låtit ett privat serviceföretag motta, kontrollera och vidarebefordra viseringsansökningar. JO konstaterade att beslut i viseringsärenden är myndighetsutövning. Den handläggning som utförts av serviceföretaget hade föregått ambassadens viseringsbeslut och bland annat syftat till att få fram komplett beslutsunderlag. Handläggningen hade inneburit att ingivna handlingar granskades och att kompletteringar hade begärts från enskilda. Den handläggning som skett hos serviceföretaget hade alltså inte inskränkt sig till att besvara allmänna frågor, lämna upplysningar per telefon eller tillhandahålla blanketter. JO gjorde bedömningen att serviceföretagets åtgärder därmed innefattat myndighetsutövning. I det aktuella beslutet konstaterar JO att myndigheter som lägger ut myndighetsutövning på privata företag äventyrar rättssäkerheten. I det aktuella fallet ansågs den enskildes rättssäkerhetsförlust som påtaglig eftersom den enskilde vid anlitande av serviceföretaget inte hade något pågående ärende hos ambassaden, utan att ett sådant
65
Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör Ds 2026:8
uppkom först när serviceföretaget vidarebefordrat ansökningshandlingarna till ambassaden. I det aktuella fallet hade serviceföretaget vägrat att vidarebefordra ansökningshandlingarna eftersom det felaktigt hade bedömt att handlingarna var bristfälliga. (Se JO 2010/11 s. 288).
Själva upptagningen av biometri är inte sådan att den som utför uppgiften kan påverka resultatet av den eller utgången i ärendet, förutsatt att upptagningen sker på ett korrekt sätt. Upptagning av biometri i ärenden om uppehållstillstånd och nationell visering syftar emellertid till att få fram ett fullständigt beslutsunderlag i ärendet. De uppgifter som samlas in vid upptagning av biometri används bland annat för att kontrollera om den som lämnat biometrin förekommer i något register som kan få betydelse för frågan om att bevilja uppehållstillstånd eller nationell visering. Den insamlade biometrin utgör alltså en del av det underlag som ligger till grund för det slutliga beslutet i ärendet och kan därmed komma att få betydelse för beslutet. Mot bakgrund av det sagda och bland annat utifrån de resonemang som förs i de två redovisade JO- besluten är det utredningens bedömning att upptagning av biometri i ärenden om uppehållstillstånd och nationell visering utgör en sådan del i handläggningen av ärendet att det innefattar myndighetsutövning. Detta gäller även om hanteringen hos tjänsteleverantören organiseras på ett sådant sätt att risken för enskildas rättssäkerhetsförlust minimeras. Denna bedömning ligger vidare i linje med regeringens uttalande i tidigare lagstiftningsarbete om viseringskodexen. Där uttalade nämligen regeringen att vissa av de förvaltningsuppgifter som den externa tjänsteleverantören skulle komma att utföra innefattade myndighetsutövning, till exempel genom att den externa tjänsteleverantören skulle ta upp biometriska kännetecken (se prop. 2010/11:121 s. 42). Det sagda innebär att det är utredningens bedömning att ett överlämnande av upptagning av biometri till ett utländskt organ utanför Sverige måste ske efter beaktande av 10 kap. 8 § andra stycket RF, det vill säga med kvalificerad majoritet eller i den ordning som gäller för stiftande av grundlag.
Myndighetsutövning innebär beslut som har stor betydelse för enskilda. Därför omgärdas offentliga förvaltningsuppgifter generellt och myndighetsutövning specifikt av en mängd bestämmelser i syfte att säkerställa en rättssäker behandling. Effekten av att överlämna
66
Ds 2026:8 Rättsliga förutsättningar att överlämna förvaltningsuppgifter till en extern tjänsteleverantör
förvaltningsuppgifter till ett privaträttsligt subjekt är att sådana bestämmelser sätts ur spel. För att ett överlämnande av förvaltningsuppgifter ska vara lämpligt krävs därför att det omgärdas av nödvändiga garantier för enskildas rättssäkerhet liksom att hanteringen är förenlig med regelverken om personuppgiftsbehandling, sekretess och säkerhetsskydd, vilket också konstateras i utredningens uppdragsbeskrivning. I nästföljande kapitel redogörs för sådana aspekter.
67
6 Rättssäkerhetsaspekter
6.1Inledning
När svenska myndigheter utför en förvaltningsuppgift sker detta inom ramverket för svensk offentlig rätt. Under remissförfarandet av Tjänsteleverantörsutredningens betänkande framfördes kritik som grundades i att utredningen inte i tillräcklig grad hade beaktat att en överlåtelse med stöd av 10 kap. RF innebär att en förvaltningsuppgift helt lyfts ur den svenska rättsordningen och att alla rättssäkerhetsgarantier därmed försvinner, förutom de som har att göra med att de slutliga besluten fattas av svensk myndighet. Detta medför även att missbruk och korruption inte kan beivras enligt svensk rätt, även om avtalet med tjänsteleverantören går att bryta och skadestånd krävas.
Trots att rättssäkerhetsgarantier äventyras finns likväl möjligheten att överlåta förvaltningsuppgifter till annan. När så sker finns det inte någon uttrycklig allmän bestämmelse som klargör vad som gäller för uppgifter som överlåtits, för att till exempel garantera rättssäkerheten på annat sätt. I vissa fall finns det emellertid uttrycklig specialreglering, ett exempel på detta är den omfattande reglering som finns om hur EU:s verksamhet ska bedrivas (se Wilhelm Persson, Reglering av överlåtna förvaltningsuppgifter, Förvaltningsrättslig tidskrift 2010, s. 411–426). När det gäller upptagning av biometri med hjälp av en extern tjänsteleverantör finns det beträffande Schengenviseringar uttryckliga och utförliga bestämmelser i viseringskodexen och dess bilaga X som reglerar hur förfarandet ska gå till. Denna reglering gäller som bekant inte i ärenden om uppehållstillstånd och nationella viseringar, i dessa ärenden saknas det alltså specialreglering. I detta kapitel följer därför en redogörelse för de allmänna svenska regleringar som syftar till att
69
| Rättssäkerhetsaspekter | Ds 2026:8 |
garantera rättssäkerheten och som kan komma att äventyras vid en överlåtelse av upptagning av biometri till en extern tjänsteleverantör.
6.2Rättssäkerhetsgarantier i svensk rätt
6.2.1Regeringsformen
I regeringsformen stadgas vissa grundläggande principer som svenska myndigheter måste följa. För det fall förvaltningsuppgifter överlåts till ett utländskt organ med stöd av 10 kap. 8 § RF gäller de svenska grundlagarna som utgångspunkt inte längre för den överlåtna uppgiften. De rättssäkerhetsgarantier som finns i regeringsformen och som alltså behöver beaktas vid ett ställningstagande om att överlämna en förvaltningsuppgift till en extern tjänsteleverantör i utlandet redovisas i det följande.
I regeringsformens portalparagraf, 1 kap. 1 § RF, stadgas legalitetsprincipen (även kallad lagbundenhetens princip), det vill säga principen om att den offentliga makten utövas under lagarna. I samband med tillkomsten av regeringsformen anförde konstitutionsutskottet att stadgandet innebär ”att samtliga samhällsorgan är underkastade rättsordningens regler, dvs. inte bara lagarna i rent teknisk bemärkelse och andra författningar utan även till exempel sedvanerätt” och att stadgandet gav ”uttryck åt principen att Sverige är en rättsstat” (se KU 1973:26 s. 59). Legalitetsprincipen gäller för all offentlig verksamhet. Stadgandet riktar sig alltså till riksdag och regering, domstolarna, förvaltningsmyndigheterna samt de kommunala beslutande organen och gäller såväl normgivande beslut som beslutsfattande i enskilda ärenden, oavsett om det rör sig om missgynnande eller gynnande beslut. (Se Johan Hirschfeldt, Regeringsformen (1974:152) 1 kap. 1 §, avsnitt 4 Legalitetsprincipen, Lexino 2025-07-01 (JUNO)).
Innebörden av legalitetsprincipen är inte närmare definierad i portalparagrafen. Det finns emellertid ytterligare bestämmelser i regeringsformen som ger en närmare innebörd och innehåll till principen. I 1 kap. 2 § RF stadgas att den offentliga makten ska utövas med respekt för allas lika värde och för den enskilda människans frihet och värdighet. Av detta målsättningsstadgande följer även att det allmänna dels ska verka för att barns rätt tas till vara, dels ska motverka diskriminering av människor på grund av
70
| Ds 2026:8 | Rättssäkerhetsaspekter |
kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person. Det allmänna ska också värna om den enskildes privatliv.
Av 1 kap. 9 § RF följer en skyldighet för domstolar, förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter att i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Av första kapitlets sista paragraf, 1 kap. 10 § RF, framgår att Sverige är medlem i Europeiska unionen samt även deltar inom ramen för Förenta nationerna, Europarådet och i andra sammanhang i internationellt samarbete. Dessa internationella åtaganden för också med sig skyldigheter av betydelse för innehållet i vår rättsordning. Legalitetsprincipens innebörd och innehåll kompletteras även av andra bestämmelser i övriga kapitel i regeringsformen, bland annat av rättighetskapitlet i 2 kap. RF. (Se Hirschfeldt, a.a.).
6.2.2Rättighetskapitlet i RF och internationella rättsliga åtaganden
De svenska grundlagsfästa reglerna om fri- och rättigheter finns i 2 kap. RF och delvis i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. De fri- och rättigheter som anges i 2 kap. RF har i många fall motsvarigheter i Europakonventionen och EU:s stadga. Europakonventionen gäller som svensk lag. Kontroll av att staterna uppfyller sina förpliktelser enligt konventionen sker huvudsakligen genom Europadomstolen som enskilda individer kan klaga vid om en medlemsstat inte har respekterat de fri- och rättigheter som anges i konventionen. När Lissabonfördraget trädde i kraft år 2009 blev även EU:s stadga rättsligt bindande för Sverige. Lissabonfördraget innebär bland annat att på de områden där medlemsstaterna har överlåtit sin beslutanderätt till EU:s organ får Europakonventionen och EU:s stadga företräde framför nationell rätt.
Svenska myndigheter måste alltså respektera dels de fri- och rättigheter som anges i regeringsformen, dels de som följer av Europakonventionen och EU:s stadga. Att förvaltningsuppgifter överlämnas till enskilda eller andra organ ändrar inte Sveriges ansvar för att rättigheterna i dessa rättsakter respekteras när uppgifterna utförs. Det är staten Sverige som hålls ansvarig för att rättigheterna
71
| Rättssäkerhetsaspekter | Ds 2026:8 |
respekteras, inte enskilda som utför uppgifterna. Av denna anledning är det upp till staten att försäkra sig om att rättigheterna respekteras. Staten kan i princip inte heller överlåta ansvaret för rättigheterna i Europakonventionen till internationella organisationer eller främmande stater (se Persson, a.a., s. 418). När det gäller upptagning av biometri är det framför allt skyddet mot påtvingade kroppsliga ingrepp och intrång i den personliga integriteten (2 kap. 6 § RF) samt rätten till privat- och familjeliv (artikel 8 Europakonventionen och artikel 7 i EU:s stadga) som gör sig gällande. I EU:s stadga finns det även en rätt till skydd av personuppgifter (artikel 8). I den externa tjänsteleverantörens verksamhet kan även rättigheter såsom förbudet mot diskriminering aktualiseras.
Barns rättigheter
Vid upptagning av biometri från barn finns det särskilda regleringar avseende barns rättigheter som måste tas i beaktan, där det centrala rättsliga instrumentet utgörs av barnkonventionen. Barnkonventionen inkorporerades i svensk rätt den 1 januari 2020 genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter och gäller därmed som lag i Sverige. Av konventionen följer bland annat att barnets bästa är det som i första hand ska beaktas vid alla åtgärder som rör barn och att barn ska skyddas från godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv (artiklarna 3 och 16). Åtgärder som rör barn ska alltså vidtas med barnets bästa i åtanke och genomföras på ett barnvänligt och barnanpassat sätt. Ordet ”åtgärd” avser inte bara beslut, utan också alla andra handlingar, uppföranden, förslag, tjänster, förfaranden och andra åtgärder (se FN:s Barnrättskommittés allmänna kommentar nr 14 punkten 17). Detta innebär att även åtgärder som vidtas under handläggningen inför ett beslut, till exempel upptagning av biometri, ska genomföras med barnets bästa i åtanke och på ett barnvänligt och barnanpassat sätt. Ett exempel på reglering som har till syfte att garantera barnets bästa i samband med biometriupptagning finns i systemet för Schengenviseringar. Genom den reviderade VIS- förordningen kommer det att införas nya bestämmelser i viseringskodexen som reglerar upptagningen av biometri för ett barn. Bestämmelsen innebär bland annat att personalen (till exempel hos
72
| Ds 2026:8 | Rättssäkerhetsaspekter |
den externa tjänsteleverantören) som tar upp biometri för en underårig ska ha en särskild utbildning, utföra uppgiften på ett barnvänligt och barnanpassat sätt samt respektera barnets bästa och beakta barnkonventionen. Även när det gäller barnkonventionen är det Sveriges ansvar att försäkra sig om att barnets rättigheter respekteras vid ett överlämnande av förvaltningsuppgifter och vid utförandet av dessa.
Upptagning av biometri och skydden mot påtvingat kroppsligt ingrepp samt intrång i den personliga integriteten
I 2 kap. 6 § första stycket RF stadgas att var och en är gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp. Med uttrycket kroppsligt ingrepp avses till exempel tagande av fingeravtryck. Fotografering anses däremot inte utgöra ett kroppsligt ingrepp. Upptagning av fingeravtryck har i tidigare lagstiftningsarbete ansetts innebära ett påtvingat ingrepp och således ett intrång i den personliga
| och kroppsliga | integriteten enligt 2 kap. | 6 § | RF. (Se bl.a. |
| SOU 1978:34 | s. 204, prop. 2010/11:123 | s. 12, | SOU 2024:80 |
s. 123–124 och prop. 2024/25:176 s. 22 och 38). Av bestämmelsens andra stycke framgår att var och en gentemot det allmänna även är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. En åtgärd som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden kan i flera fall anses innebära kartläggning av enskildas förhållanden (se prop. 2009/10:80 s. 180).
Ett skydd mot integritetsintrång av olika slag följer även av internationell rätt. Skydden i 2 kap. 6 § RF har sin grund i och motsvarighet i bland annat artikel 8 i Europakonventionen, enligt vilken var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Det inbegriper en rätt till skydd mot att bli fotograferad. Likaså får det antas att fingeravtryckstagning omfattas av skyddet (se prop. 2014/15:32 s. 26 och prop. 2024/25:176 s. 23). Även i EU:s stadga återfinns rätten till privat- och familjeliv och skyddet för personuppgifter i artiklarna 7 och 8. I barnkonventionen finns det likt ovannämnt ett skydd mot integritetsintrång som innebär att inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv. Ett
73
| Rättssäkerhetsaspekter | Ds 2026:8 |
ingripande i ett barns privatliv kan till exempel handla om hantering av personuppgifter. I sammanhanget bör även nämnas funktionsrättskonventionen, i vilken det stadgas ett skydd för den personliga integriteten (artikel 17) och respekt för privatlivet (artikel 22).
Det grundlagsstadgade skyddet i 2 kap. 6 § RF får begränsas genom lag i den utsträckning som framgår av 2 kap. 20–23 §§ och 25 § RF. Enligt sistnämnda paragraf får för andra än svenska medborgare här i landet särskilda begränsningar göras genom lag i fråga om skyddet mot kroppsligt ingrepp. En sådan begränsning finns i 9 kap. 8 a § UtlL enligt vilken en utlänning som ansöker om uppehållstillstånd är skyldig att låta sina fingeravtryck upptas. En liknande bestämmelse kommer att införas beträffande nationella viseringar (se prop. 2024/25:176). Även rättigheterna i Europakonventionen och EU:s stadga får inskränkas med stöd av lag under vissa givna förutsättningar och ändamål.
Det faktum att biometri ska tas upp i ärenden om uppehållstillstånd och nationell visering har redan behandlats i tidigare lagstiftningsprocesser, inte bara i Sverige utan även inom EU. I skäl 58 i den reviderade VIS-förordningen anges att förordningen bedöms förenlig med de grundläggande rättigheter och principer som erkänns i EU:s stadga. I det svenska lagstiftningsarbetet om den reviderade VIS-förordningen har regeringen ansett att de lagändringar som föreslås i nationell rätt, bland annat upptagning av fingeravtryck och fotografi i ärenden om nationell visering, inte innebär mer långtgående intrång i den kroppsliga och personliga integriteten än vad som är nödvändigt och proportionerligt med hänsyn till ändamålen. Regeringen ansåg vidare att lagförslagen är förenliga med regeringsformen, EU:s stadga och Europakonventionen, liksom barnkonventionen och funktionsrättskonventionen. (Se prop. 2024/25:176 s. 23).
Denna utredning har inte till syfte att bedöma förutsättningarna för att faktiskt ta upp biometri, utan endast att överlämna denna förvaltningsuppgift till en extern tjänsteleverantör. Att fingeravtryck och fotografi ska tas upp i ärenden om uppehållstillstånd och nationell visering har redan bedömts vara förenligt med de rättigheter som aktualiseras i 2 kap. 6 § RF och dess motsvarigheter i internationell rätt. Att överlämna denna uppgift till en extern tjänsteleverantör torde egentligen inte innebära annat än att Sverige är skyldigt att försäkra sig om att detta skydd respekteras av
74
| Ds 2026:8 | Rättssäkerhetsaspekter |
utföraren vid upptagningen av biometrin samt den efterkommande hanteringen av uppgifterna och att intrånget inte går utöver vad som är tillåtet och nödvändigt.
6.2.3Förvaltningslagen och förvaltningsrättsliga principer
Ärenden om uppehållstillstånd och viseringar utgör förvaltningsärenden hos statliga svenska myndigheter, bland annat Migrationsverket. Dessa myndigheter ska utföra sina uppgifter i enlighet med bestämmelserna i förvaltningslagen om inte annat har föreskrivits. Grunderna för en god förvaltning anges i förvaltningslagen och gäller för myndigheter vid handläggningen av ärenden, beslutsfattande i enskilda ärenden och i den faktiska verksamheten (se 1 § FL). I förvaltningslagen stadgas även allmänna krav på handläggningen av förvaltningsärenden. Lagen gäller emellertid primärt för just myndigheter (se 1 § FL). Ett privaträttsligt subjekt i utlandet som fått förvaltningsuppgifter överlämnade till sig torde därför inte vara bunden av de bestämmelser som stadgas i förvaltningslagen. I kommande avsnitt följer därför en redogörelse för de förvaltningsrättsliga principer och andra allmänna krav på handläggningen som alltså riskerar att sättas ur spel vid ett överlämnande till en extern tjänsteleverantör i utlandet.
6.2.4Grunderna för god förvaltning
Grunderna för god förvaltning återges i 5–8 §§ FL och utgörs av vissa förvaltningsrättsliga principer som ska upprätthållas i förvaltningsmyndigheternas verksamhet. I följande underrubriker kommer de förvaltningsrättsliga principer som främst gör sig gällande vid upptagning av biometri att behandlas. Principerna om proportionalitet och samverkansskyldighet – som också utgör grunder för god förvaltning – kommer därför inte att närmare redogöras för.
Legalitetsprincipen
Av 5 § FL framgår till att börja med att en myndighet endast får vidta åtgärder som har stöd i rättsordningen (första stycket). Det som
75
| Rättssäkerhetsaspekter | Ds 2026:8 |
anges här ger uttryck för legalitetsprincipen vilket vanligtvis uppfattas som ett krav på att ingripanden gentemot enskilda ska ha ett klart författningsstöd. Avsikten är att hindra myndigheter från att agera helt vid sidan av sina författningsreglerade uppgifter, såväl i sitt faktiska handlande som vid handläggning och beslutsfattande (se prop. 2016/17:180 s. 57–59).
Objektivitetsprincipen
Av andra stycket i 5 § FL framgår det vidare att myndigheten i sin verksamhet ska vara saklig och opartisk (jfr 1 kap. 9 § RF). Detta inbegriper även ett krav på respekt för allas likhet inför lagen. Genom denna bestämmelse uttrycks objektivitetsprincipen som inom förvaltningsrätten innebär ett förbud för myndigheterna att låta sig vägledas av andra intressen än dem som de är satta att tillgodose eller att grunda sina avgöranden på andra omständigheter än sådana som enligt lag får beaktas vid prövningen av ett ärende. Bestämmelsen syftar alltså till att garantera saklighet och opartiskhet inom den offentliga förvaltningen. Ett exempel på reglering för att säkerställa myndigheters opartiskhet är till exempel regler om jäv i 16–18 §§ FL. Andra exempel är bestämmelser om straffansvar för tjänstefel och mutbrott. Det finns även processuella regler som ska förhindra att ovidkommande material läggs till grund för ett beslut. Diskriminering och andra former av obefogad särbehandling får inte heller förekomma eftersom sådana åtgärder uppenbart strider mot objektivitetsprincipen. (Se prop. 2016/17:180 s. 59–60).
Serviceskyldighet
Bestämmelsen om myndigheternas serviceskyldighet finns i 6 § FL. Enligt denna paragraf är myndigheter skyldiga att se till att kontakterna med enskilda blir smidiga och enkla. I detta ligger att myndigheten ska ha ett positivt bemötande och att den enskilde inte ska behöva ha några särskilda sakkunskaper. Myndigheter ska vidare lämna den enskilde sådan hjälp att denne kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Hjälpen ska också ges utan onödigt
76
| Ds 2026:8 | Rättssäkerhetsaspekter |
dröjsmål. En myndighet ska alltså vara serviceinriktad och på ett smidigt och enkelt sätt hjälpa enskilda så att de kan ta till vara sina intressen (se prop. 2016/17:180 s. 64). Serviceskyldigheten kompletteras av principen om samverkansskyldighet i 8 § FL, som innebär att myndigheter ska samverka med varandra på ett sätt som underlättar enskildas kontakter med dem (se prop. 2016/17:180 s. 70–72).
Tillgänglighet
Slutligen regleras principen om myndigheters tillgänglighet i 7 § FL. Enligt denna bestämmelse ska en myndighet vara tillgänglig för kontakter med enskilda och informera allmänheten om hur och när sådana kan tas. Myndigheten ska också vidta de åtgärder i fråga om tillgänglighet som behövs för att den ska kunna uppfylla sina skyldigheter gentemot allmänheten enligt 2 kap. tryckfrihetsförordningen om rätten att ta del av allmänna handlingar (offentlighetsprincipen). En myndighet avgör emellertid själv i vilken utsträckning som tillgänglighet är lämplig och till nytta för myndighetens verksamhet ur ett medborgarperspektiv (se prop. 2016/17:180 s. 68).
6.2.5Allmänna krav på handläggningen av förvaltningsärenden
Utöver de genomgångna grunderna för god förvaltning finns det även andra bestämmelser i förvaltningslagen som är av betydelse för en rättssäker prövning. Dessa avser till exempel rätten till partsinsyn, myndigheternas kommuniceringsskyldighet och jäv. Därutöver finns det andra allmänna krav på handläggningen som är av intresse i rättssäkerhetshänseende, till exempel bestämmelsen om kostnadseffektivitet.
Partsinsyn och kommuniceringsskyldighet
I 10 § FL stadgas att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet (partsinsyn). Enligt 25 § FL ska en myndighet som huvudregel innan beslut fattas underrätta den som är part om allt material av betydelse för beslutet och ge parten
77
| Rättssäkerhetsaspekter | Ds 2026:8 |
tillfälle att inom en bestämd tid yttra sig över materialet (kommuniceringsskyldighet). Sistnämnda skyldighet begränsas av 13 kap. 9 § UtlL av vilken det följer att i ärenden om visering, tidsbegränsat uppehållstillstånd, arbetstillstånd och återkallelse av permanent uppehållstillstånd, ställning som varaktigt bosatt i Sverige eller främlingspass tillämpas bestämmelserna i 25 § FL endast om utlänningen är bosatt eller annars vistas i Sverige. I ärenden om permanent uppehållstillstånd gäller emellertid kommuniceringsskyldigheten i 25 § FL oavsett var utlänningen befinner sig.
Jäv
Iförvaltningslagens 16–18 §§ finns det bestämmelser om jäv. Av 17 § FL följer att den som är jävig – enligt någon av de jävsgrunder som anges i 16 § FL – inte får ta del i handläggningen av ärendet och inte heller närvara när ärendet avgörs. Jävsreglerna syftar till att garantera att objektivitetsprincipen får genomslag i den offentliga förvaltningen. Frågor om jäv bör kunna aktualiseras enbart i de fall som en handläggare har en åtminstone teoretisk möjlighet att handla subjektivt och partiskt. En myndighet kan därför i vissa uppenbara fall bortse från risken för jäv (se 16 § andra stycket FL). Exempel på sådana situationer har tagits upp i förarbetena och utgörs av när en handläggare tar befattning med rena serviceärenden och sådana registreringsärenden och ärenden om löneutbetalning som är helt rutinartade och inte kräver några överväganden av den arten att fråga kan uppkomma om partiskhet eller opartiskhet (se prop. 1971:30 del 2 s. 343 ff samt prop. 2016/17:180 s. 98).
Kostnadseffektivitet
En utgångspunkt för handläggningen av förvaltningsärenden är, enligt 9 § FL, att ett ärende ska handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts. Detta krav på ett billigt förfarande avser inte bara kostnaderna för det allmänna, utan även för den enskilde. Kravet på kostnadseffektivitet syftar alltså också till att stärka den enskildes ställning vid ärendehandläggningen. Kostnadseffektiviteten får emellertid inte dominera handläggningen i sådan grad att myndigheten åsido-
78
| Ds 2026:8 | Rättssäkerhetsaspekter |
sätter andra regler för förfarandet som ställer krav på rättssäkerheten och att beslutet till följd av detta kan komma att fattas på bristfälligt eller felaktigt underlag. En effektiv handläggning måste därför alltid balanseras mot den enskildes möjligheter att ta till vara sina intressen i ett rättsligt förfarande, dvs. i samband med handläggningen av ärenden. (Se prop. 2016/17:180 s. 74–75).
6.3Kontrollmedel för efterlevnad av rättssäkerhetsgarantier
En viktig del av den allmänna reglering som styr svensk förvaltning är de bestämmelser som syftar till kontroll över utförarna av förvaltningsuppgifter. Denna kontroll sker i olika former. Ett medel för kontroll är den insyn som möjliggörs av offentlighetsprincipen. Ett annat medel för kontroll är det straffrättsliga ansvaret för tjänstefel. Även JO och JK utgör ett medel för kontroll i sitt utövande av tillsyn över svenska myndigheter. Domstolsprövning är ytterligare ett medel av kontroll, som dock avser prövning av myndigheters beslut. (Se Persson, a.a., s. 420). För uppgiften upptagning av biometri är således kontrollmedlet domstolsprövning inte relevant.
6.3.1Offentlighetsprincipen
I 2 kap. 1 § TF stadgas offentlighetsprincipen som innebär ett grundläggande krav på öppenhet i, i princip, all statlig verksamhet. Enligt denna grundsats har varje medborgare rätt att ta del av allmänna handlingar till främjande av ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar har till syfte att vara en garanti för rättssäkerhet och för effektiviteten i förvaltningen och i folkstyret. Enligt förvaltningslagen är myndigheter skyldiga att vidta åtgärder för att upprätthålla offentlighetsprincipen, till exempel i fråga om att lämna ut handlingar till allmänheten.
Offentlighetsprincipen gäller som huvudregel inte för enskilda rättssubjekt, det vill säga enskilda individer och privaträttsliga organ. Det har emellertid särskilt föreskrivits att handlingsoffentlighet ska gälla även hos kommunala bolag och vissa andra enskilda subjekt (se
79
| Rättssäkerhetsaspekter | Ds 2026:8 |
2 kap. 3–5 §§ OSL). När det inte finns någon särskild föreskrift innebär dock ett överlämnande av förvaltningsuppgift med stöd av 12 kap. 4 § RF att offentlighetsprincipen sätts ur spel. Principen om offentlighet gäller då knappast heller vid en överlåtelse med stöd av 10 kap. 8 § RF. (Se Persson, a.a., s. 419–420). Vid ett överlämnande av upptagning av biometri till en extern tjänsteleverantör i utlandet blir offentlighetsprincipen alltså inte tillämplig hos tjänsteleverantören. Utgångspunkten blir då att den externa tjänsteleverantören själv hanterar frågor från enskilda och allmänheten om att få ut handlingar.
6.3.2Straffrättsligt ansvar
I fråga om straffrättsligt ansvar som ett medel för kontroll finns det huvudsakligen tre straffbud – tjänstefel, brott mot tystnadsplikten och mutbrott – som behöver belysas vid ett övervägande om överlämnande av förvaltningsuppgifter till en extern tjänsteleverantör. Utöver det straffrättsliga ansvaret bör det även nämnas att det finns arbetsrättsliga och skadeståndsrättsliga sanktioner för personer i offentlig tjänst.
Tjänstefel
Enligt 20 kap. 1 § BrB ska den som vid myndighetsutövning genom handling eller underlåtenhet uppsåtligen eller av oaktsamhet åsidosätter vad som gäller för uppgiften dömas för tjänstefel. Bestämmelserna om tjänstefelsbrott är tillämpliga även efter det att uppgifter har överlämnats enligt 12 kap. 4 § RF (se Persson, a.a., s. 420). Att all felaktig myndighetsutövning i hela världen inte straffsanktioneras genom 20 kap. 1 § BrB är emellertid självklart. Bestämmelsen tar som utgångspunkt sikte på svensk myndighetsutövning – av svenska tjänstemän – och torde därmed i regel ha begåtts inom riket. Om en åtgärd som avser svensk myndighetsutövning rent faktiskt vidtagits utomlands, till exempel om ett besked lämnats per telefon från utlandet, omfattas även den. I några fall kan även utländsk myndighetsutövning omfattas av tjänstefelsansvaret, till exempel är utländska tjänstemän som utövar myndighet enligt lagen (2000:1219) om internationellt tullsamarbete i Sverige, enligt 3 kap.
80
| Ds 2026:8 | Rättssäkerhetsaspekter |
7 § den lagen, ansvariga för tjänstefel på motsvarande sätt som om det varit fråga om svensk myndighetsutövning. Detsamma gäller utländska tjänstemän som utövar myndighet i Sverige enligt lagen om internationellt polisiärt samarbete (se 5 kap. 2 §). Dessa regleringar innebär alltså att tjänstefelsansvaret är tillämpligt också i vissa fall när det inte är fråga om svensk myndighetsutövning, dock krävs territoriell anknytning till Sverige. (Se Mari-Ann Roos, Brottsbalk (1962:700) 20 kap. 1 §, avsnitt 2.11 Nationella begränsningar, Lexino 2025-01-01 (JUNO)).
Vid överlämnande av upptagning av biometri till en extern tjänsteleverantör kommer det vara fråga om myndighetsutövning som utövas av ett utländskt rättssubjekt i utlandet. Det rör sig alltså inte längre om svensk myndighetsutövning som utövas av svenska tjänstemän. Det saknas dessutom en territoriell anknytning till Sverige, varför det inte torde vara möjligt att införa en liknande lagbestämmelse som de ovan för en extern tjänsteleverantör i utlandet.
Brott mot tystnadsplikten
Utöver ansvar för tjänstefel finns även en straffbestämmelse om brott mot tystnadsplikten i 20 kap. 3 § BrB. I paragrafen straffbeläggs uppsåtliga och oaktsamma åsidosättanden av tystnadsplikt – liksom utnyttjande av hemlig uppgift – som följer av författning eller enligt förordnande eller förbehåll som har meddelats med stöd av författning. Skyldigheten att hemlighålla uppgiften måste ha sin grund i svensk lag. Det krävs alltså ett uttryckligt svenskt författningsstöd för tystnadsplikten. Därmed omfattas inte heller åsidosättanden av tystnadsplikter som avtalats mellan två parter, vilka däremot kan sanktioneras genom till exempel skadeståndsskyldighet. (se Roos, Brottsbalk (1962:700) 20 kap. 3 §, avsnitt 2.3 Tystnadsplikt, Lexino 2025-01-01 (JUNO)).
Tystnadsplikter som regleras av svensk författning är inte utan vidare tillämpliga i förhållande till anställda hos en extern tjänsteleverantör. Offentlighets- och sekretesslagen (2009:400) gäller inte för ett utländskt privaträttsligt subjekt. Försummelser av anställda hos den externa tjänsteleverantören i fråga om hemlighållande av uppgifter får i stället regleras genom avtal, vilket innebär att
81
| Rättssäkerhetsaspekter | Ds 2026:8 |
brottsbalkens straffbud om brott mot tystnadsplikten inte blir tillämplig i förhållande till de anställda hos den externa tjänsteleverantören.
Tagande och givande av muta
I syfte att garantera myndigheters saklighet och opartiskhet finns även straffbestämmelser om mutbrott. Enligt 10 kap. 5 a § BrB döms den som är arbetstagare eller utövar uppdrag och tar emot, godtar ett löfte om eller begär en otillbörlig förmån för utövningen av anställningen eller uppdraget för tagande av muta. Är det i stället så att personen i fråga lämnar, utlovar eller erbjuder en otillbörlig förmån i fall som avses i 5 a § döms denne för givande av muta enligt 10 kap. 5 b § BrB. Tillämpningsområdet för mutbrott är inte begränsat till svenska anställnings- eller uppdragsförhållanden. Det är således straffbelagt i Sverige för en utländsk arbets- eller uppdragstagare att låta sig mutas och detta oavsett om han eller hon är i offentlig eller privat tjänst. Det uppställs vidare inte några krav på att huvudmannen ska utöva någon skyddsvärd verksamhet eller att arbetstagaren eller den som utövar uppdraget för sin del ska ha uppgifter som kan anses samhällsviktiga eller beroende av allmänhetens tillit. (Se prop. 2011/12:79 s. 43).
Har gärningen begåtts utomlands kan svensk domstol vara behörig att döma för mutbrott om kravet på dubbel straffbarhet är uppfyllt enligt 2 kap. 5 § första stycket BrB och något av de anknytningsfaktum som anges i 2 kap. 3 § BrB föreligger. I fråga om mutbrott handlar det i huvudsak om att kraven på gärningsmannens nationalitet enligt 2 kap. 3 § punkten 2 a)–c) BrB är uppfyllda. Det måste alltså röra sig om brott som begåtts av en person som antingen vid gärningstillfället eller när åtal väcks är svensk medborgare eller har hemvist i Sverige, eller om så inte är fallet, en person som finns i Sverige om det på brottet enligt svensk rätt kan följa fängelse i mer än sex månader. Har brottet begåtts i utövningen av ett svenskt företags näringsverksamhet och det är fråga om givande av muta kan det också bli aktuellt att döma för mutbrott som begåtts utanför Sverige.
Det är alltså endast vid tämligen specifika förutsättningar som det kan bli aktuellt att döma för ett mutbrott som begåtts utanför
82
| Ds 2026:8 | Rättssäkerhetsaspekter |
Sverige. Eftersom det kan antas att den externa tjänsteleverantören inte är en svensk näringsverksamhet och att de personer som är anställda av densamma varken är svenska medborgare eller har hemvist i Sverige torde den svenska regleringen för mutbrott mycket sällan bli tillämplig i fall då förvaltningsuppgifter lämnats över till en extern tjänsteleverantör i utlandet.
Förslag till lagändringar beträffande straffrättsliga åtgärder mot korruption och tjänstefel
I utredningen Straffrättsliga åtgärder mot korruption och tjänstefel (SOU 2025:87) föreslås lagändringar i straffbestämmelserna om mutbrott och tjänstefel som ska träda i kraft den 1 januari 2027. Ett centralt ändringsförslag är att samla alla korruptionsbrott i en ny lag som benämns lag om straff för vissa korruptionsbrott. I denna lag ska bland annat givande och tagande av muta sammanföras i en gemensam bestämmelse som benämns mutbrott. Det föreslås även att mutbrott som begåtts utomlands ska undantas från kravet på dubbel straffbarhet. I samma lag ska det vidare föras in en ny straffbestämmelse som benämns missbruk av offentlig ställning. Detta görs bland annat i syfte att leva upp till Sveriges internationella åtaganden vad gäller det svenska straffansvaret för tjänstefel som är begränsat till åtgärder vid myndighetsutövning. Den nya straffbestämmelsen utvidgar ansvaret för missbruk av det offentliga uppdraget till att omfatta även annat än åtgärder som vidtas vid myndighetsutövning.
Bestämmelsen om missbruk av offentlig ställning är utformad med förebild i artikel 19 i FN:s konvention mot korruption. Straffansvaret ska träffa den som vid utövandet av offentlig tjänst eller offentligt uppdrag uppsåtligen vidtar eller underlåter att vidta en åtgärd i strid med lag eller annan författning. Begreppen offentlig tjänst och offentligt uppdrag ska tolkas brett och omfattar alla som utför arbete i offentlig verksamhet eller utövar ett offentligt uppdrag. Det saknar betydelse om den offentliga verksamheten bedrivs eller utövas i offentligrättslig eller privaträttslig form. Det innebär att en person som är anställd i ett privat företag kan omfattas när denne utövar offentliga funktioner. Bestämmelsen omfattar även personer som utövar offentlig tjänst eller offentligt uppdrag i andra länder samt i internationella organisationer eller internationella
83
| Rättssäkerhetsaspekter | Ds 2026:8 |
domstolar. Det innefattar utländska parlamentariker, ledamöter i utländska regionala och lokala beslutande församlingar samt utländska ministrar, borgmästare och domare. För frågan om straffbarhet saknar det betydelse om gärningen har begåtts i Sverige eller i utlandet. (Se SOU 2025:87 s. 428). I betänkandet föreslås emellertid inga ändringar när det gäller svensk domstols behörighet att döma för ett brott begånget utanför Sverige.
Betänkandet har remitterats och regeringen har i slutet av januari 2026 lämnat över lagrådsremissen Ett utökat straffrättsligt tjänstemannaansvar till Lagrådet. I lagrådsremissen föreslår regeringen att ett nytt gradindelat brott med beteckningen missbruk av offentlig ställning förs in i brottsbalken.
6.3.3Tillsyn
Allmän kontroll över svenska myndigheter kan utövas av JO och JK. Det främsta syftet med JO:s verksamhet är att främja rättssäkerheten. JO ska särskilt se till att myndigheter och domstolar följer regeringsformens bestämmelser om opartiskhet och saklighet och att den offentliga verksamheten inte gör intrång i medborgarnas grundläggande fri- och rättigheter. Bestämmelser för JO:s verksamhet finns i 13 kap. 6 § RF och lagen (2023:499) med instruktion för Riksdagens ombudsmän (JO). JK har å sin sida till uppgift att granska att de som utövar offentlig verksamhet efterlever lagar och andra författningar och att de även i övrigt fullgör sina uppgifter. Bestämmelser för JK:s verksamhet finns i lagen (1975:1339) om Justitiekanslerns tillsyn samt förordningen
(1975:1345) med instruktion för Justitiekanslern. JO:s och JK:s tillsyn omfattar även utlandsmyndigheterna och dess verksamhet, det vill säga svenska ambassader, representationer, delegationer och konsulat.
JO och JK kan även utöva tillsyn över enskilda som fått uppgifter överlämnade till sig med stöd av 12 kap. 4 § RF. Såväl JO som JK har emellertid gjort uttalanden som tyder på att de inte anser sig behöriga att utöva tillsyn över förvaltningsuppgifter som överlåtits med stöd av 10 kap. 8 § RF (se Persson, a.a., s. 421). JK har anfört att dess tillsynsverksamhet – även om det inte uttryckligen anges i lagen – inskränker sig till svenska myndigheter och befattnings-
84
| Ds 2026:8 | Rättssäkerhetsaspekter |
havare vid dessa myndigheter (se JK:s remissyttrande angående SOU 2002:84, dnr 3659-02-80 s. 1 och Persson, a.a., s. 421). Något som också talar för detta är att svensk tillsyn inte heller förefaller utövas över till exempel utländska myndigheter som med stöd av Schengensamarbetet utfärdar visum till Sverige (se Persson, a.a., s. 422).
Utöver den allmänna kontroll som JO och JK utövar kan offentlig tillsyn även utövas av andra organ, till exempel Integritetsskyddsmyndigheten när det gäller personuppgiftsbehandling. Ett annat exempel är att Regeringskansliet, enligt 4 kap. 1 § förordningen (2014:115) med instruktion för utrikesrepresentation, ska utöva tillsyn över utlandsmyndigheterna. Enligt denna bestämmelse har den som genomför en tillsyn rätt att ta del av alla handlingar vid myndigheten och personalen ska lämna de upplysningar och det bistånd som behövs. Inte heller detta tillsynsansvar gäller för verksamheten hos en extern tjänsteleverantör.
Kontroll över en extern tjänsteleverantörs verksamhet sker redan inom ramen för samarbetet kring Schengenviseringar. I viseringskodexens bilaga X föreskrivs det att samarbetsavtalet ska innehålla bestämmelser om tillsyn i form av till exempel regelbundna inspektioner. I dagsläget genomför Utrikesdepartementet, utlandsmyndigheterna och Migrationsverket regelbundna inspektioner och utövar tillsyn över den externa tjänsteleverantörens verksamhet.
6.4Statens skadeståndsansvar för fel och försummelser vid myndighetsutövning
Som tidigare redogjorts för gör utredningen bedömningen att upptagning av biometri i ärenden om uppehållstillstånd och nationell visering utgör myndighetsutövning. Fel och försummelse i samband med myndighetsutövning kan grunda en skadeståndsskyldighet för staten.
Av 3 kap. 2 § skadeståndslagen (1972:207) följer att staten ska ersätta personskada, sakskada eller ren förmögenhetsskada, som vållas genom fel eller försummelse vid myndighetsutövning i verksamhet för vars fullgörande staten svarar, till exempel utlandsmyndigheternas verksamhet. Så blev utfallet i två beslut meddelade av JK den 19 december 2014 (dnr 7550-14-40) och den 18 februari
85
| Rättssäkerhetsaspekter | Ds 2026:8 |
2015 (dnr 5079-14-40). I båda fallen var det fråga om enskilda som begärde ersättning för kostnader de orsakats av att det blivit fel i fråga om antalet inresor i deras viseringar. I båda fallen hade en extern tjänsteleverantör använts och registrerat ansökan med felaktig uppgift om antalet inresor, fel som ambassaden i båda fallen inte uppmärksammade och således utfärdade viseringar med fel antal inresor i förhållande till det som den enskilde hade ansökt om. JK konstaterade i båda fallen att ambassadens åtgärd – att besluta om fel antal inresor i förhållande till ansökan – utgjorde ett sådant fel i myndighetsutövningen som medför skadeståndsskyldighet för staten.
Av de redovisade besluten från JK går det att dra slutsatsen att fel och försummelser i handläggningen hos en extern tjänsteleverantör kan komma att påverka det beslut som den svenska myndigheten fattar och i slutändan föranleda en skadeståndsskyldighet för staten. Mycket talar även för att fel och försummelse i samband med upptagning av biometri – som utgör myndighetsutövning – hos den externa tjänsteleverantören också bör kunna föranleda en skadeståndsskyldighet för staten. Vid ett överlämnande av förvaltningsuppgiften upptagning av biometri till en extern tjänsteleverantör får, enligt utredningens bedömning, myndighetsutövningen anses ske i en verksamhet för vars fullgörande staten svarar.
6.5Korruption och missbruk – ett hot mot rättssäkerheten
Korruption och missbruk utgör ett hot mot upprätthållandet av de rättssäkerhetsgarantier som redovisats i detta kapitel. I Sverige finns det inte någon vedertagen rättslig definition av begreppet korruption. Regeringen använder sig emellertid av en definition av begreppet som även riksdagen har ställt sig bakom. Den definitionen är ”att utnyttja en offentlig ställning för att uppnå otillbörlig vinning för sig själv eller andra". Detta inbegriper en rad oönskade ageranden. Det kan röra sig om till exempel kriminella handlingar såsom mutbrott och bedrägeri, men det kan också röra sig om ageranden som är olagliga utan att omfattas av straffrättens bestämmelser, till exempel ageranden som strider mot krav på objektivitet och andra rättssäkerhetsprinciper i regeringsformen och förvaltningslagen.
86
| Ds 2026:8 | Rättssäkerhetsaspekter |
Sverige har tillträtt FN:s konvention mot korruption och är därmed skyldigt att aktivt motverka och förebygga korruption. Ett medel för att motverka korruption är den svenska straffrättsliga lagstiftningen om mutbrott. Som ovannämnt blir dessa straffbestämmelser i princip aldrig tillämpliga när det handlar om ageranden av utländska personer utan anknytning till Sverige anställda i ett utländskt rättssubjekt – en extern tjänsteleverantör – i utlandet. Detsamma torde gälla den föreslagna nya straffbestämmelsen om missbruk av offentlig ställning.
När det gäller Schengenviseringar finns det i viseringskodexens bilaga X bland annat bestämmelser om den externa tjänsteleverantörens ansvar för att motverka korruption. Av bilagan framgår det att den externa tjänsteleverantören ska vidta lämpliga åtgärder mot korruption, till exempel genom tillräcklig ersättning till personal och samarbete med huvudmannen vid val av personal som används för uppgiften. I bilagan finns det också krav på att den externa tjänsteleverantören ska bereda tillgång till lokalerna vid inspektion och säkerställa att relevanta övervakningsmetoder fungerar och används. I bilagan finns vidare ett krav på att den externa tjänsteleverantören i samband med kontroll av verksamhetsutövandet bland annat ska rapportera klagomål från sökanden om missbruk av uppgifter till den eller de berörda medlemsstaterna.
87
7 Dataskyddsaspekter
7.1Inledning
Bestämmelser om dataskydd syftar bland annat till att skydda enskildas grundläggande fri- och rättigheter, särskilt enskildas rätt till skydd av personuppgifter. Som tidigare nämnts finns grundläggande bestämmelser till skydd för den personliga integriteten i regeringsformen. De bestämmelser som främst aktualiseras är målsättningsstadgandet i 1 kap. 2 § första stycket samt bestämmelsen i 2 kap. 6 § RF. Begränsningar av den senare får under vissa särskilt angivna förutsättningar göras i lag. I internationella konventioner, som till exempel Europakonventionen och EU:s stadga om de grundläggande rättigheterna, finns också bestämmelser till skydd för den personliga integriteten. Utöver detta regleras enskildas rätt till skydd av personuppgifter i flera dataskyddsrättsliga regelverk.
Som konstaterats i tidigare kapitel är en effekt av att vissa förvaltningsuppgifter utförs av en extern tjänsteleverantör i utlandet att uppgifterna lyfts ur den svenska rättsordningen och att svenska rättssäkerhetsgarantier därmed försvinner. På motsvarande sätt är utgångspunkten att bestämmelser till skydd för den personliga integriteten och bestämmelser om dataskydd inte är tillämpliga för den behandling av personuppgifter som sker hos en extern tjänsteleverantör i utlandet. Även om detta inte fullt ut stämmer för en extern tjänsteleverantör som är etablerad utanför Sverige men inom EU. Av utredningens uppdragsbeskrivning följer att ett överlämnande av förvaltningsuppgifter förutsätter att hanteringen är förenlig med bland annat regelverket om personuppgiftsbehandling. Nedan följer därför en redogörelse för de bestämmelser som är tillämpliga när svenska myndigheter hanterar personuppgifter i form av biometri enligt utlännings- och medborgarskapslagstiftningen.
89
| Dataskyddsaspekter | Ds 2026:8 |
7.2Det allmänna dataskyddsrättsliga regelverket
Dataskyddsförordningen utgör den generella regleringen för behandling av personuppgifter inom EU. Dataskyddsförordningen kompletteras på generell nivå av dataskyddslagen (2018:218).
Dataskyddsförordningen är inte tillämplig på den behandling av personuppgifter som myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. För personuppgiftsbehandling inom detta område gäller i stället dataskyddsdirektivet, vilket har genomförts i svensk rätt genom brottsdatalagen (2018:1177).
Utöver dataskyddslagen finns sektorspecifika registerlagar som också utgör kompletterande regleringar till dataskyddsförordningen. Utlänningsdatalagen (2016:27) är en sådan sektorspecifik registerlag som gäller vid behandling av personuppgifter i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen.
7.2.1Dataskyddsförordningen
Det materiella tillämpningsområdet
Dataskyddsförordningen är tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår eller kommer att ingå i ett register (se artikel 2.1). Definitionen av personuppgifter återfinns i artikel 4.1 och är mycket vid. Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikation eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Klart är att fingeravtryck och fotografier med identifierbara personer på utgör personuppgifter. Den fysiska personen vars personuppgifter behandlas kallas den registrerade.
Uttrycket behandling definieras som en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av
90
| Ds 2026:8 | Dataskyddsaspekter |
personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (se artikel 4.2). Ett register avser en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (se artikel 4.6).
Utgångspunkten är att dataskyddsförordningen är tillämplig på all behandling av personuppgifter som utgör ett led i en verksamhet som omfattas av unionsrätten, med vissa undantag. Undantagen följer av artikel 2.2–4 och innefattar, som konstaterats i avsnittet ovan, bland annat den behandling av personuppgifter som myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
Det territoriella tillämpningsområdet
Dataskyddsförordningen ska tillämpas på behandling av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte (se artikel 3.1). Dataskyddsförordningen ska också tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerat i unionen i två situationer, nämligen om behandlingen har anknytning till varor eller tjänster som utbjuds till sådana registrerade i unionen eller om behandlingen har anknytning till övervakning av sådana registrerades beteende så länge beteendet sker inom unionen (se artikel 3.2). Dataskyddsförordningen ska slutligen också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (se artikel 3.3). Ett exempel på en sådan plats är en medlemsstats diplomatiska beskickning eller konsulat (se skäl 25).
91
| Dataskyddsaspekter | Ds 2026:8 |
Grunddrag i de materiella bestämmelserna
För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen måste minst ett av de villkor som anges i artikel
6.1a-f i förordningen vara uppfyllt. Dessa villkor utgör den rättsliga grunden för behandlingen. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. De rättsliga grunderna ska vara fastställda i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för personuppgiftsbehandlingen (artikel 6.3 första stycket). Vidare ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.3 andra stycket). I artikel 5.1 listas ett antal principer som alltid måste iakttas när personuppgifter behandlas, bland annat principen om uppgiftsminimering och lagringsminimering.
I artiklarna 12–23 finns bestämmelser om den registrerades rättigheter. Den registrerade har till exempel rätt att få viss information (artikel 13–14), rätt till rättelse av felaktiga personuppgifter (artikel 16), rätt att i vissa situationer få sina personuppgifter raderade (artikel 17) eller rätt till att behandlingen av personuppgifterna begränsas (artikel 18).
I artiklarna 51–99 finns bestämmelser om bland annat tillsynsmyndigheter och sanktioner för dem som inte följer bestämmelserna i förordningen. I varje medlemsstat ska finnas en eller flera offentliga myndigheter som ansvarar för att övervaka tillämpningen av förordningen, dvs. en eller flera tillsynsmyndigheter. Tillsynsmyndigheten ska bidra till en enhetlig tillämpning av förordningen (se artikel 51.1–2). Tillsynsmyndigheten har en rad uppgifter och befogenheter som anges särskilt i förordningen, till exempel att genomföra dataskyddstillsyn och utfärda varningar eller reprimander till en personuppgiftsansvarig eller personuppgiftsbiträden om en behandling av personuppgifter bryter mot bestämmelser i förordningen (se till exempel artikel 57–58).
92
| Ds 2026:8 | Dataskyddsaspekter |
Känsliga personuppgifter
Dataskyddsförordningen innehåller ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar dels uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, dels bland annat genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Med biometriska uppgifter avses i dataskyddsförordningen personuppgifter som erhållits genom särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. I svensk rätt betecknas sådana personuppgifter som känsliga personuppgifter (se 3 kap. 1 § dataskyddslagen). Ur ett dataskyddsperspektiv utgör alltså fingeravtryck och fotografier med identifierbara fysiska personer känsliga personuppgifter. Det gäller dock endast sådana fotografier som behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person, exempelvis genom ansiktsigenkänningsprogram (se skäl 51 och till exempel prop. 2020/21:159 s. 22).
Förbudet i dataskyddsförordningen mot behandling av känsliga personuppgifter kompletteras av ett antal undantag som gör det möjligt att behandla sådana personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).
Personuppgiftsansvarig och personuppgiftsbiträden
De aktörer som behandlar personuppgifter enligt dataskyddsförordningen är personuppgiftsansvariga och personuppgiftsbiträden. Personuppgiftsansvarig definieras som en fysisk eller juridisk person, offent-
93
| Dataskyddsaspekter | Ds 2026:8 |
lig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (se artikel 4.7). Det innebär att den personuppgiftsansvarige fastställer varför och hur en behandling av personuppgifter ska utföras. Vem som har bestämmanderätten över en personuppgiftsbehandling kan följa av lagstiftning eller härledas från de faktiska omständigheterna i ett enskilt fall (se European Data Protection Boards, EDPB, riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR version 2.0).
Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning (se artikel 4.8). Ett personuppgiftsbiträde är således en separat enhet i förhållande till den personuppgiftsansvarige och behandlar personuppgifterna för den personuppgiftsansvariges räkning (se EDPB:s riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR version 2.0). Det som skiljer en personuppgiftsansvarig från ett personuppgiftsbiträde är alltså att personuppgiftsbiträdet saknar bestämmanderätt över personuppgiftsbehandlingen.
Den personuppgiftsansvarige är ansvarig för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med dataskyddsförordningen (se artikel 24.1). Om en personuppgiftsansvarig avser att anlita personuppgiftsbiträden ska endast personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas anlitas. Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges (se artikel 28).
94
| Ds 2026:8 | Dataskyddsaspekter |
I det avtal eller den rättsakt som reglerar förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet ska vissa i förordningen särskilt angivna skyldigheter föreskrivas. Det rör sig bland annat om att säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt (se artikel 28.3 a-h).
Överföring till tredjeland
Bestämmelser om under vilka förutsättningar personuppgifter får överföras till tredjeland, det vill säga länder utanför EU och EES, finns i kapitel V i dataskyddsförordningen. I dataskyddsförordningen saknas en definition av begreppet överföra. I riktlinjer från EDPB har tre kumulativa kriterier fastställts för att en behandling ska räknas som en överföring. Kriterierna är följande:
1.En personuppgiftsansvarig eller ett personuppgiftsbiträde (uppgiftsutföraren) omfattas av dataskyddsförordningen för behandlingen i fråga.
2.Uppgiftsutföraren lämnar ut personuppgifter som omfattas av behandlingen genom översändande eller på annat sätt gör dem tillgängliga för en annan personuppgiftsansvarig, en gemensamt personuppgiftsansvarig eller ett personuppgiftsbiträde (uppgiftsinförare).
3.Uppgiftsinföraren är i tredjeland, oavsett om uppgiftsinföraren omfattas av dataskyddsförordningen för behandlingen i fråga i enlighet med artikel 3, eller är en internationell organisation.
Om de tre kriterierna är uppfyllda sker en sådan överföring av personuppgifter som innebär att bestämmelserna i kapitel V är tillämpliga. Det innebär att en överföring endast får ske om de villkor som anges i kapitlet är uppfyllda. Om däremot kriterierna inte är uppfyllda sker ingen överföring och kapitel V är inte tillämpligt.
En överföring av personuppgifter får göras om kommissionen har beslutat att tredjelandet säkerställer en adekvat skyddsnivå. I en sådan situation ska överföringen inte kräva något särskilt tillstånd
95
| Dataskyddsaspekter | Ds 2026:8 |
(se artikel 45.1). I avsaknad på beslut från kommissionen får en överföring ske efter att en personuppgiftsansvarig eller ett personuppgiftsbiträde vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga (se artikel 46.1). Om det varken finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får personuppgifter endast föras över till ett tredjeland om vissa närmare angivna villkor i artikel 49 är uppfyllda. Ett sådant villkor är om det är nödvändigt av viktiga skäl som rör allmänintresset. Detta allmänintresse ska vara erkänt i unionsrätten eller i den nationella rätten (se artikel 49.1 d och 49.4).
7.2.2Utlänningsdatalagen
Utlänningsdatalagen innehåller bestämmelser om Migrationsverkets, Polismyndighetens och utlandsmyndigheternas behandling av personuppgifter i deras verksamhet enligt utlännings- och medborgarskapslagstiftningen. Lagen kompletteras genom bestämmelser i utlänningsdataförordningen (2016:30). Syftet med utlänningsdatalagen är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (se 1 § utlänningsdatalagen). Lagen gäller bland annat behandling av personuppgifter i myndigheternas verksamhet som rör utlänningars inresa och vistelse i Sverige, det vill säga myndigheternas verksamhet som rör bland annat visering och uppehållstillstånd (se 2 § 1 och 2 p utlänningsdatalagen). Utlänningsdatalagen gäller dock inte för all personuppgiftsbehandling inom migrationsområdet, bland annat så undantas den personuppgiftsbehandling som sker enligt flera EU-rättsakter så som viseringskodexen och VIS-förordningen (se 5 och 6 §§ utlänningsdatalagen).
Migrationsverket, Polismyndigheten och en utlandsmyndighet är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Migrationsverket är dock personuppgiftsansvarig för utlandsmyndigheternas automatiserade behandling av personuppgifter (se 9 § utlänningsdatalagen). Migrationsverket, Polismyndigheten och utlandsmyndigheterna får behandla personuppgifter enligt de ändamål som följer av 11 och
96
| Ds 2026:8 | Dataskyddsaspekter |
13 §§ utlänningsdatalagen. Migrationsverket får också behandla personuppgifter enligt de ändamål som följer av 12 § utlänningsdatalagen. De ändamål som anges är bland annat om behandlingen behövs för handläggning av ärenden, kontroll av en utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige samt för fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift (se 11 § 1, 2 och 6 p utlänningsdatalagen).
Personuppgifter som avses i artikel 9.1 i dataskyddsförordningen, det vill säga känsliga personuppgifter, får endast behandlas för de ändamål som anges i 11 och 13 §§ utlänningsdatalagen om uppgifterna är absolut nödvändiga för syftet med behandlingen. Av 14 § andra stycket utlänningsdatalagen följer emellertid att känsliga personuppgifter i form av fingeravtryck och fotografier som förekommer i Migrationsverkets register även får behandlas enligt de begränsningar som anges i 15 § utlänningsdatalagen. Av 15 § följer att Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 och 8 h §§ UtlL och att de uppgifterna bland annat får användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopas och om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket.
Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se 16 § första stycket utlänningsdatalagen). Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (se 17 § första stycket utlänningsdatalagen).
Personuppgifter får föras över till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 p samt 12 § 1 p utlänningsdatalagen, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland (se 21 § utlänningsdatalagen).
97
| Dataskyddsaspekter | Ds 2026:8 |
7.3Särskilt om regleringen av biometriska uppgifter i migrationsverksamhet
Som konstaterats i kapitel 3 är en utlänning som ansöker om uppehållstillstånd skyldig att låta Migrationsverket, en utlandsmyndighet eller Regeringskansliet fotografera honom eller henne och ta hans eller hennes fingeravtryck (se 9 kap. 8 a § UtlL). En rätt för Migrationsverket eller Polismyndigheten att fotografera en utlänning och ta hans eller hennes fingeravtryck om utlänningen ansöker om uppehållstillstånd som flykting eller alternativt skyddsbehövande följer i stället av 9 kap. 8 § 2 p UtlL. I ärenden om nationell visering finns ännu ingen möjlighet att ta upp vare sig fingeravtryck eller fotografi, men ett lagförslag som ger sådan möjlighet har antagits av riksdagen. Något datum för lagens ikraftträdande har ännu inte meddelats (se SFS 2025:944).
Rätten för myndigheterna att fotografera och ta fingeravtryck från utlänningar har i regel införts i syfte att kunna fastställa en persons identitet och kontrollera tillstånds- och resehandlingar (se prop. 2020/21:159 s. 14). Hur fingeravtryck och fotografier därefter får behandlas regleras i utlänningsdatalagen. I tidigare lagstiftningsarbeten har bedömningen gjorts att den behandling av känsliga personuppgifter som möjliggörs genom utlänningsdatalagen är nödvändig av hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen (se prop. 2017/18:254 s. 33).
Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § och 8 h §§ UtlL, det vill säga för att en person som kommit till Sverige inte har kunnat styrka sin identitet, har sökt asyl eller har varit föremål för inre utlänningskontroll där varken identiteten eller rätten att vistas i Sverige har kunnat klarläggas eller om det finns grund för att besluta om förvar (se 15 § första stycket utlänningsdatalagen). Enligt det lagförslag som antagits av riksdagen får Migrationsverkets register också innehålla fingeravtryck och fotografier som tas i ett ärende om nationell visering (se SFS 2025:945). Förutom fingeravtryck och fotografier får registret innehålla uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift (se 2 § utlänningsdataförordningen).
98
| Ds 2026:8 | Dataskyddsaspekter |
Med begräsning av de ändamål som annars gäller enligt 11 och
13 §§ utlänningsdatalagen får uppgifter om fingeravtryck eller fotografier i registren användas endast under vissa i 15 § andra stycket särskilt angivna ändamål. Som exempel kan nämnas prövning av ansökningar om uppehållstillstånd där grund som anges i 4 kap. 1–2 a §§ UtlL, det vill säga flykting eller alternativt skyddsbehövande, åberopas, och i ärenden om avvisning eller utvisning, om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket och om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot biometriregister som förs enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.
En uppgift i Migrationsverkets register över fingeravtryck och fotografier ska gallras när den registrerade blir svensk medborgare. I andra fall, för utredningens vidkommande, ska uppgiften gallras senast tio år efter det att den registrerades (se 3 § utlänningsdataförordningen).
Det saknas grund att föra register över fingeravtryck och fotografier som tagits upp med stöd av 9 kap. 8 a § UtlL, det vill säga inom ramen för ansökningar om uppehållstillstånd på annan grund än flykting eller alternativt skyddsbehövande. Ett fotografi och två fingeravtrycksbilder ska emellertid med stöd av en EU-förordning sparas i ett lagringsmedium i det uppehållstillståndskort som ett beviljat uppehållstillstånd ska generera (se Rådets förordning (EG) 380/2008 av den 18 april 2008 om ändring av förordning
(EG) nr 1030/2002 om en enhetlig utformning av uppehållstillstånd för medborgare i tredjeland och 9 kap. 8 a § tredje stycket UtlL). Fingeravtryck som inte sparats i ett sådant medium och de biometriska data som tas fram ur fingeravtrycken och ur fotografier ska omedelbart förstöras när uppehållstillståndskortet har lämnats ut eller ärendet om uppehållstillstånd har avgjorts utan att utlänningen har beviljats uppehållstillstånd. Av tidigare lagstiftningsarbeten framgår att bestämmelsen inte innebär ett krav på att fotografiet i sig ska förstöras och att bestämmelsen därmed inte hindrar att fotografier sparas i Migrationsverkets register (se prop. 2010/11:123 s. 25). Genom en lagändring som trädde i kraft den 12 oktober 2025 får det fotografi och de fingeravtryck som tagits med stöd av bestämmelsens första stycke användas för kontroll i enlighet med vissa särskilt angivna bestämmelser i EU:s in- och
99
| Dataskyddsaspekter | Ds 2026:8 |
utreseförordning i ett ärende om uppehållstillstånd. Bestämmelsen innebär att Migrationsverket ska kunna söka i in- och utresesystemet och under vissa förutsättningar i VIS med hjälp av fotografi och fingeravtryck i syfte att kunna verifiera om villkoren för inresa till eller vistelse på medlemsstaternas territorium är uppfyllda. I vissa fall ska myndigheten också kunna göra en sådan sökning i syfte att identifiera en person, till exempel om verifiering misslyckats eller om det råder oklarhet om tredjelandsmedborgarens identitet (se prop. 2021/22:81 s. 38–40).
7.3.1Föreslagna förändringar avseende hanteringen av biometri i migrationsverksamhet
Som konstaterats i avsnitt 3.4.2 har utredningen om stärkt återvändandeverksamhet haft i uppdrag att se över förutsättningarna för behandling av biometriska uppgifter i utlänningsärenden. I uppdraget har bland annat ingått att ta ställning till om Migrationsverket ska få möjlighet att lagra och använda fotografier och fingeravtryck i samband med alla typer av ansökningar om uppehållstillstånd (se dir 2022:91). I betänkandet Vissa åtgärder för stärkt återvändandeverksamhet och utlänningskontroll (SOU 2024:80) föreslår utredningen att fingeravtryck och fotografier som tas upp i samband med en ansökan om uppehållstillstånd – oavsett grund – ska få sparas i Migrationsverkets register över fingeravtryck och fotografier. Syftet med förslaget är att minska risken för identitetsbedrägerier.
I betänkandet föreslås också en utökad användning av Migrationsverkets register över fingeravtryck och fotografier. Utredningen föreslår att det ska införas en möjlighet att ta upp fingeravtryck och fotografi från den som har uppehållstillstånd i Sverige i vissa ärenden om svenskt medborgarskap i syfte att verifiera hans eller hennes identitet. Det föreslås att Migrationsverkets register över fingeravtryck och fotografier i sista hand får användas för sådan verifiering. Det föreslås också att uppgifterna får användas för att kontrollera om den som ska beviljas svenskt medborgarskap uppfyller kravet på ett hederligt levnadssätt eller en frånvaro av brottslighet, genom att sådana uppgifter får jämföras med uppgifter som finns lagrade i Polismyndighetens register med fingeravtrycksuppgifter.
100
| Ds 2026:8 | Dataskyddsaspekter |
Utredningen föreslår vidare att det ska införas en möjlighet att ta upp en utlännings fotografi och fingeravtryck för verifiering av hans eller hennes identitet i samband med att myndigheten lämnar ut biometriförsedda handlingar. Uppgifterna ska i första hand få användas för kontroll mot uppgifterna i ett tidigare utfärdat kort eller bevis. Om en sådan kontroll inte är möjlig att genomföra får uppgifterna i stället kontrolleras mot uppgifterna i Migrationsverkets register över fingeravtryck och fotografier. Det föreslås också införas en möjlighet att få använda fotografier och fingeravtryck för verifiering av en utlännings identitet i samband med en muntlig utredning som ligger till grund för en bedömning av rätten till uppehållstillstånd, under förutsättning att identiteten inte kan klarläggas på annat sätt. Sådana uppgifter föreslås få jämföras med uppgifterna i Migrationsverkets register över fingeravtryck och fotografier. Uppgifter som inte överensstämmer med de lagrade uppgifterna ska enligt förslaget få sparas i Migrationsverkets register. Annars ska uppgifterna omedelbart förstöras.
Utredningen föreslår också nya regler om gallring av uppgifter i Migrationsverkets register över fingeravtryck och fotografier. Utredningen bedömer att deras förslag innebär att det finns behov av att spara uppgifterna i registret under en längre tid än nu gällande ordning. Hur lång tid som uppgifterna behöver lagras bedöms variera mellan olika ärenden varför gallringsfristen i större utsträckning än i dag föreslås utgå från omständigheterna i det enskilda ärendet enligt följande. Fingeravtryck och fotografier som finns i Migrationsverkets register ska enligt utredningens förslag som utgångspunkt gallras senast tio år från det att uppgiften registrerades, förutom i vissa situationer. Om den registrerade har beviljats ett uppehållstillstånd ska uppgifterna gallras när den registrerade blir svensk medborgare, om inte uppehållstillståndet löper ut utan att ett nytt tillstånd beviljas. I sådant fall ska uppgifterna gallras tio år från det att tillståndet löper ut. Om den registrerade har ett gällande beslut om avvisning eller utvisning eller ett gällande återreseförbud ska uppgifterna gallras senast tio år från det att beslutet om avvisning eller utvisning upphör att gälla eller återreseförbudet löper ut. Under alla omständigheter ska uppgifterna i Migrationsverkets register över fingeravtryck och fotografier gallras senast vid den tidpunkt då den registrerade blir svensk medborgare. Dessutom föreslås att Säkerhetspolisen ges rätt att ta
101
| Dataskyddsaspekter | Ds 2026:8 |
del av personuppgifter i Migrationsverket register över fingeravtryck och fotografier via direktåtkomst.
Betänkandet bereds för närvarande inom Regeringskansliet.
102
8 Sekretessaspekter
8.1Inledning
I Sverige gäller som tidigare nämnts den grundlagsfästa offentlighetsprincipen. Den innebär att allmänheten har en rätt att få insyn i statlig och kommunal verksamhet, bland annat genom att ta del av uppgifter som finns i allmänna handlingar hos myndigheter. I offentlighets- och sekretesslagen finns emellertid bestämmelser om sekretess som begränsar rätten att ta del av allmänna handlingar. Lagen gäller för myndigheter och vissa personer som är verksamma i det allmännas tjänst. För dessa organ och personer gäller enligt 2 kap. 1 § OSL ett förbud att röja eller utnyttja sekretessbelagda uppgifter, det vill säga en tystnadsplikt. Bestämmelserna i OSL gäller alltså för Migrationsverket vid handläggningen av ärenden om uppehållstillstånd och visering. En extern tjänsteleverantör är emellertid inte att betrakta som en myndighet, även om den har fått en uppgift som innefattar myndighetsutövning överlämnad till sig (jfr prop. 1973:90 s. 232–233 och prop. 1975/76:160 s. 134–135). Det kan dessutom antas att den externa tjänsteleverantören kommer att vara ett utländskt rättssubjekt som offentlighets- och sekretesslagen inte gäller för. Det behöver därför belysas om biometriska uppgifter i ärenden om uppehållstillstånd och nationell visering omfattas av sekretessbestämmelser samt under vilka förutsättningar Migrationsverket kan lämna ut sekretessbelagda uppgifter till en extern tjänsteleverantör.
103
| Sekretessaspekter | Ds 2026:8 |
8.2Upptagningar av biometri utgör allmänna handlingar
Var och en har alltså rätt att hos myndigheter ta del av allmänna handlingar förutsatt att uppgifterna i dessa inte omfattas av sekretess. En första fråga är alltså om upptagning av biometri utgör en allmän handling. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (se 2 kap. 3 § TF). Ordet handling betyder alltså inte bara ett papper med skrift eller en bild på utan också till exempel ett digitalt fotografi eller en elektronisk handling. En handling kännetecknas av att den innehåller information av något slag. En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen dit eller upprättad där (se 2 kap. 4 § TF).
Ett fotografi, fysiskt eller digitalt, är alltså en handling. Fingeravtryck som tas upp, antingen digitalt eller fysiskt, kan uppfattas visuellt och innehåller biometrisk information om en person som kan uppfattas med tekniska hjälpmedel. En upptagning av fingeravtryck är alltså också en handling (jfr Högsta förvaltningsdomstolens dom 2021-06-03 i mål nr 2377-21).
När Migrationsverket i dagsläget tar upp fingeravtryck och fotografi får det under vissa förutsättningar föra in dessa i ett register (jfr 15 § utlänningsdatalagen och 2 § utlänningsdataförordningen). Samma möjlighet kommer att införas i ärenden om nationell visering. Upptagningarna kan inte anses vara inkomna till myndigheten i tryckfrihetsförordningens mening, eftersom det är myndigheten själv som har tagit fram det biometriska underlaget. I och med lagringen i registret får de däremot anses ha upprättats enligt 2 kap. 10 § andra stycket första punkten TF. Enligt nämnda bestämmelse är diarier, journaler samt sådana register eller andra förteckningar som förs fortlöpande upprättade när de har färdigställts för anteckning eller införing. Information som förs in i en sådan förteckning blir omedelbart en allmän handling (jfr Högsta förvaltningsdomstolens avgörande HFD 2013 ref. 33). De upptagningar av fingeravtryck och fotografi som förs in i ett register är alltså allmänna handlingar hos Migrationsverket, som allmänheten har rätt att ta del av om uppgifterna inte omfattas av sekretess.
104
| Ds 2026:8 | Sekretessaspekter |
8.3Sekretessbestämmelser som reglerar hanteringen av biometriska uppgifter
I offentlighets- och sekretesslagen finns det särskilda bestämmelser om sekretess som endast gäller i utlänningsärenden. Dessa bestämmelser finns i 21 kap. 5 § och 37 kap. 1 § OSL och är tillämpliga på uppgifterna i Migrationsverkets register över fingeravtryck och fotografier. I kommande underrubriker följer en genomgång av de sekretessbestämmelser som gäller i Migrationsverkets handläggning av utlänningsärenden.
8.3.1Sekretess för uppgift som rör en utlänning
Enligt 21 kap. 5 § första stycket OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Det är således en relativt vid sekretessbestämmelse som kan träffa flera olika typer av uppgifter, till exempel kan enbart uppgiften att en person befinner sig i landet leda till en risk för övergrepp eller liknande om det är fråga om en person som flytt sitt hemland undan förtryck och gömmer sig i Sverige. Sekretessen gäller med rakt skaderekvisit – presumtionen är alltså att uppgifterna är offentliga. Den gäller oavsett i vilket sammanhang uppgiften förekommer. Bestämmelsen om utlänningssekretess i 21 kap. 5 § OSL gäller hos alla myndigheter för uppgifter som rör utlänningar, således även hos svenska mottagande myndigheter.
8.3.2Sekretess för uppgift i verksamhet för kontroll över utlänningar
Enligt 37 kap. 1 § första stycket OSL gäller sekretess, utöver vad som följer av 21 kap. 5 § OSL, för uppgifter i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller i detta fall med ett
105
| Sekretessaspekter | Ds 2026:8 |
omvänt skaderekvisit – presumtionen är att uppgifterna inte är offentliga. Sekretessen enligt denna bestämmelse är alltså mer omfattande än enligt 21 kap. 5 § OSL. Som exempel på uppgifter som skyddas kan nämnas uppgifter om hälsotillstånd, religiös eller politisk uppfattning. En uppgift om att en person sökt asyl eller uppehållstillstånd på annan grund skyddas också (se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen (1 maj 2025, version 31, JUNO), kommentaren till 37 kap. 1 § OSL).
Enligt bestämmelsens andra stycke gäller sekretess i verksamhet för kontroll över utlänningar också för uppgift i en anmälan eller utsaga av en enskild, om det kan antas att fara uppkommer för att den som lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Sekretessen gäller här med rakt skaderekvisit.
Med ”verksamhet för kontroll över utlänningar” avses ärenden om visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning, men också kontroll- och verkställighetsåtgärder (se prop. 1979/80:2 del A s. 210). Andra myndigheter som torde omfattas av denna sekretess är Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna.
8.3.3Särskilda bestämmelser om uppgifter i SIS samt i ärenden om arbetstillstånd
För vissa uppgifter som förekommer i SIS finns särskilda sekretessbestämmelser i 37 kap. 6 § OSL. Av denna bestämmelse följer att sekretess gäller hos bland annat Migrationsverket för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan lämnas ut utan att den enskilde eller någon närstående till honom eller henne lider men och uppgiften förekommer i en angelägenhet som avser en registrering i SIS om till exempel omhändertagande av en person som har efterlysts, kontroller av olika slag eller nekad inresa och vistelse, eller återvändande. Motsvarande sekretess kan enligt andra stycket gälla hos Migrationsverket när verket prövar ansökningar om medborgarskap, visering och uppehållstillstånd. Migrationsverket har nämligen direktåtkomst till den spärrlista som finns i SIS, till vilken stater kan rapportera att en viss individ ska nekas tillträde till eller uppehållstillstånd inom Schengenområdet.
106
| Ds 2026:8 | Sekretessaspekter |
I ärenden om arbetstillstånd för utlänningar finns det en särskild sekretessbestämmelse enligt vilken sekretess kan gälla för uppgift om en enskilds affärs- eller driftförhållanden om det kan antas att den enskilde lider skada om uppgiften röjs (se 28 kap. 15 § första stycket OSL).
8.3.4Biometriska uppgifter kan omfattas av sekretess
Utredningens bedömning
Upptagningar av fingeravtryck och fotografi i ärenden om uppehållstillstånd och nationell visering kan omfattas av sekretess.
Vad gäller upptagningar av fingeravtryck har det i tidigare lagstiftningsarbeten ansetts att sådana i regel omfattas av sekretess med stöd av i vart fall 37 kap. 1 § OSL (se SOU 2015:73 s. 286 och prop. 2015/16:65 s. 76). I Utredningen för stärkt återvändandeverksamhet har det ansetts att uppgifterna i Migrationsverkets register över fingeravtryck och fotografier i sin helhet omfattas av sekretess enligt 21 kap. 5 § OSL och 37 kap. 1 § OSL (se SOU 2024:80 s. 541). Sekretesskyddet i 37 kap. 1 § OSL omfattar som ovannämnt bland annat en uppgift om att en person sökt asyl eller uppehållstillstånd på annan grund. Fingeravtryck och fotografi som förekommer i ett ärende om uppehållstillstånd kan indirekt ge uppgift om att en enskild ansökt om sådant tillstånd, och borde därför som huvudregel omfattas av det starkare sekretesskyddet i 37 kap. 1 § OSL. Sekretesskyddet i 37 kap. 1 § OSL omfattar även ärenden om nationell visering. Det är således möjligt att det råder en presumtion för att biometriska uppgifter i sådana ärende inte heller är offentliga.
107
| Sekretessaspekter | Ds 2026:8 |
8.4Allmänna sekretessbestämmelser
För det fall Migrationsverket skulle behöva lämna ut uppgifter till den externa tjänsteleverantören torde det huvudsakligen röra sig om personuppgifter och kontaktuppgifter till de sökanden som ska använda sig av den externa tjänsteleverantörens tjänster. Utöver de nyss genomgångna särskilda bestämmelserna om sekretess i utlänningsärenden – 21 kap. 5 § OSL och 37 kap. 1 § OSL – finns det vissa generella sekretessbestämmelser som också kan bli tillämpliga på denna typ av uppgifter i Migrationsverkets hantering av ärenden om uppehållstillstånd och nationella viseringar. Nedan följer en redogörelse för dessa sekretessbestämmelser.
8.4.1Sekretess för förföljda personer
I 21 kap. 3 § OSL finns en generell sekretessbestämmelse för bland annat uppgift om en enskilds bostadsadress, e-postadress och telefonnummer, oavsett i vilket sammanhang de förekommer. Paragrafen gäller hos alla myndigheter och syftar till att ge ett utökat sekretesskydd till förföljda personer.
För att bestämmelsen ska bli tillämplig och sekretess ska gälla för en uppgift måste tre förutsättningar vara uppfyllda. För det första krävs det att uppgiften rör en enskild. För det andra krävs det att uppgiften avser den enskildes bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga. Slutligen krävs det att det finns särskild anledning att anta att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Det är fråga om ett rakt kvalificerat skaderekvisit och det råder således en stark presumtion för att uppgifterna är offentliga. En skadebedömning bör dock göras om myndigheten fått en varningssignal i form av till exempel en av Skatteverket aviserad sekretessmarkering eller en uppgift om behov av sekretess från den enskilde själv.
Sekretessbestämmelsen omfattar inte namn och personnummer. Om en person har så stort skyddsbehov att även dennes namn och personnummer regelmässigt behöver hemlighållas finns det möjlig-
108
| Ds 2026:8 | Sekretessaspekter |
het att låta denne få fingerade personuppgifter. Av 21 kap. 3 § tredje stycket OSL följer att sekretess gäller för uppgift om koppling mellan fingerade personuppgifter som en enskild har medgivande att använda enligt lagen (1991:483) om fingerade personuppgifter och den enskildes verkliga personuppgifter, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I denna situation råder ett omvänt skaderekvisit, vilket innebär att det finns en presumtion för sekretess.
8.4.2Sekretess för skyddad folkbokföring
I 21 kap. 3 a § OSL stadgas en sekretessbestämmelse för skyddad folkbokföring. Enligt paragrafen gäller sekretess i mål eller ärende vid domstol eller annan myndighet där en part har skyddad folkbokföring enligt 16 § folkbokföringslagen (1991:481) för uppgift som lämnar upplysning om var den parten bor stadigvarande eller tillfälligt, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men. Detsamma gäller om uppgiften tillsammans med annan uppgift i målet eller ärendet bidrar till sådan upplysning. Som exempel kan uppgifter som lämnar upplysning om var en part med skyddad folkbokföring bor, arbetar eller går i skola hemlighållas med stöd av bestämmelsen. Uppgift om enskilds personnummer omfattas däremot inte av bestämmelsen. (Se prop. 2017/18:145 s. 89 – 92.). Bestämmelsen gäller för alla myndigheter och har ett omvänt skaderekvisit, vilket innebär att det råder en presumtion för sekretess. Denna bestämmelse torde emellertid sällan bli aktuell i ärenden där en person ansöker om uppehållstillstånd eller visering i Sverige, eftersom den sökande i de flesta fall inte lär vara folkbokförd i Sverige.
8.5Förutsättningar för Migrationsverket att lämna ut sekretessbelagda uppgifter till en extern tjänsteleverantör
Mot ovan bakgrund står det klart att det finns en rad sekretessbestämmelser som kan bli tillämpliga på uppgifter som förekommer i Migrationsverkets handläggning av ärenden om uppehållstillstånd
109
| Sekretessaspekter | Ds 2026:8 |
och nationell visering. Eventuell sekretess gäller som huvudregel i förhållande till bland annat enskilda, såsom ett företag som den externa tjänsteleverantören kommer att vara (se 8 kap. 1 och 2 §§ OSL). En uppgift för vilken sekretess gäller får enligt 8 kap. 1 § OSL inte röjas för enskilda om inte annat anges i offentlighets- och sekretesslagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till. För det fall Migrationsverket behöver lämna ut uppgifter som är sekretessbelagda hos myndigheten i syfte att den externa tjänsteleverantören ska kunna ta upp biometri, innebär det att uppgifterna röjs för den externa tjänsteleverantören. Ett utlämnande måste då – för att vara förenlig med offentlighets- och sekretesslagen – föregås av en av myndigheten utförd skadebedömning som resulterat i slutsatsen att uppgifterna kan lämnas ut, eller med stöd av en sekretessbrytande bestämmelse. I fråga om absolut sekretess måste det finnas en sekretessbrytande bestämmelse, men någon sådan sekretess torde inte förekomma i samarbetet mellan Migrationsverket och en extern tjänsteleverantör.
8.5.1Sekretessbrytande bestämmelser
Utredningens bedömning
Det saknas rättsligt stöd för svenska myndigheter att lämna ut sekretessbelagda uppgifter till en extern tjänsteleverantör som har i uppdrag att ta upp biometriska uppgifter.
En sekretessbrytande bestämmelse definieras som en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa angivna förutsättningar (se 1 kap. 3 § OSL) och återfinns bland annat i offentlighets- och sekretesslagen. I 10 kap. OSL finns den huvudsakliga regleringen om sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess. Utöver detta huvudkapitel finns det även sekretessbrytande bestämmelser i andra kapitel, i anslutning till berörda sekretessbestämmelser, som endast bryter sekretessen enligt den sekretessbestämmelsen. Utöver de sekretessbrytande bestämmelserna i offentlighets- och sekretesslagen kan det även föreskrivas en uppgiftsskyldighet som följer av
110
| Ds 2026:8 | Sekretessaspekter |
annan lag eller förordning och som innebär att sekretess inte hindrar att en uppgift lämnas över till en annan myndighet (se 10 kap. 28 § OSL). Det finns även bestämmelser om överföring av sekretess, som dock endast gäller mellan myndigheter.
Det finns inte några direkt tillämpliga sekretessbrytande bestämmelser i förhållandet mellan Migrationsverket och en extern tjänsteleverantör för det fall myndigheten behöver lämna ut sekretessbelagda uppgifter till tjänsteleverantören. I 10 kap. 2 § OSL finns en sekretessbrytande bestämmelse om nödvändigt utlämnande som innebär att sekretess inte hindrar att en uppgift lämnas till en enskild, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Denna bestämmelse ska tillämpas med viss restriktivitet och kan inte användas för att komma till rätta med arbetsanhopningar hos en myndighet (jfr JO 2015/16 s. 606) eller för att någon annan ska kunna fullgöra ett uppdrag. I sistnämnda situation hade det i stället kunnat bli aktuellt att tillämpa generalklausulen i 10 kap. 27 § OSL, men den gäller endast i förhållande till en annan myndighet. Bestämmelserna i 10 kap. 2 § och 27 § OSL lär alltså inte kunna användas som sekretessbrytande bestämmelser i samarbetet mellan Migrationsverket och den externa tjänsteleverantören. Därtill finns det inte heller några särskilda sekretessbrytande bestämmelser i anslutning till de berörda sekretessbestämmelserna som blir tillämpliga i förhållande till en extern tjänsteleverantör.
När det gäller utlämnande av uppgifter till en extern tjänsteleverantör finns det en särskild sekretessbrytande bestämmelse i 10 kap. 2 a § OSL. Denna bestämmelse gäller emellertid endast en tjänsteleverantör som har i uppdrag att tekniskt bearbeta eller tekniskt lagra en uppgift. Bestämmelsen skulle alltså inte vara tillämplig på en extern tjänsteleverantör som tar upp biometri.
8.5.2Tystnadsplikt genom förbehåll, lag eller avtal
Om det finns en tystnadsplikt som gäller för en enskild kan detta få betydelse vid skadebedömningen inför ett utlämnande av en sekretessreglerad uppgift. Offentlighets- och sekretesslagen innehåller emellertid ingen allmän bestämmelse om tystnadsplikt för en utomstående fysisk eller juridisk person som har tagit del av en
111
| Sekretessaspekter | Ds 2026:8 |
sekretessbelagd uppgift. I enskilda fall kan dock tystnadsplikt enligt lagen ändå gälla, nämligen då uppgiften lämnats ut med förbehåll enligt 10 kap. 14 § OSL som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den. Det kan en myndighet välja att göra om myndigheten finner att det finns risk för skada, men eller annan olägenhet om en uppgift röjs. Förbehåll torde emellertid sällan vara användbara rutinmässigt i samarbetet mellan Migrationsverket och den externa tjänsteleverantören. Detta eftersom förbehåll dels inte kan meddelas i förväg för en viss typ av information utan ska föregås av en prövning i varje särskilt fall (se JO 1992/93 s. 197 och 1994/95 s. 574), dels inte kan meddelas generellt utan ska ange vem inom till exempel en organisation det riktar sig till för att det straffansvar som bär upp regeln om förbehåll ska kunna aktualiseras (se JO 1992/93 s. 197 och 1994/95 s. 574). Angående det sistnämnda har emellertid Högsta domstolen i två beslut på senare tid ansett att uppgifter som omfattades av sekretess (21 kap. 7 § OSL) kunde lämnas ut till ett bolag med ett förbehåll enligt 10 kap. 14 § OSL (”GDPR och brottmålsdomarna”, NJA 2025 s. 123 I och II).
En tystnadsplikt kan vidare föreskrivas särskilt i annan lag. Som exempel finns lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter. Tystnadspliktslagen ska tillämpas när en myndighet uppdrar åt ett företag eller en annan enskild (tjänsteleverantör) att endast tekniskt bearbeta eller tekniskt lagra uppgifter (se 1 § tystnadspliktslagen). Den som på grund av anställning eller på något annat sätt har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter (se 4 § tystnadspliktslagen). I 10 kap. 2 a § OSL finns som sagt en sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att en uppgift lämnas ut till en tjänsteleverantör i just dessa fall. En extern tjänsteleverantör som tar upp biometri omfattas dock inte av tystnadspliktslagen och den sekretessbrytande bestämmelsen i 10 kap. 2 a § OSL.
Slutligen kan det också finnas en avtalsreglerad tystnadsplikt. En sådan avtalsreglerad tystnadsplikt (professional confidentiality) finns till exempel med i det ramavtal som Sverige (Justitiedepartementet) har med en extern tjänsteleverantör inom ramen för samarbetet i ärenden om Schengenviseringar. Ett avtal som förpliktar den externa tjänsteleverantören att inte sprida de uppgifter
112
| Ds 2026:8 | Sekretessaspekter |
som lämnats över till denne har emellertid ingen inverkan på det förhållandet att myndigheten lämnar ut och därmed röjer uppgifterna för tjänsteleverantören. En sådan tystnadsplikt kan dock som tidigare nämnts ges betydelse vid skadebedömningen.
113
9 Säkerhetsskydd
9.1Inledning
Av uppdragsbeskrivningen följer att en förutsättning för att ett överlämnande av biometri i ärenden om uppehållstillstånd och nationell visering ska anses lämpligt är att hanteringen är förenlig med regelverket om säkerhetsskydd. Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2021:955). Flera myndigheter, bland annat Säkerhetspolisen och Försvarsmakten, har meddelat föreskrifter avseende säkerhetsskydd som kompletterar bestämmelserna i lag och förordning.
9.2Säkerhetsskyddslagen
9.2.1Lagens tillämpningsområde
Säkerhetsskyddslagen gäller för den som bedriver säkerhetskänslig verksamhet, det vill säga verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (se 1 kap. 1 § säkerhetsskyddslagen). Lagen är tillämplig vid verksamhet hos staten, kommuner, landsting och enskilda oberoende av verksamhetsform. I 1 kap. 3 § säkerhetsskyddslagen bemyndigas regeringen att i fråga om Regeringskansliet, utlandsmyndigheterna och kommitté- väsendet meddela föreskrifter om undantag från bestämmelser i säkerhetsskyddslagen. I 1 kap. 2 § säkerhetsskyddsförordningen framgår vilka bestämmelser som gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.
För lagens tillämplighet krävs inte att hela verksamheten kan anses utgöra säkerhetskänslig verksamhet, utan endast att
115
| Säkerhetsskydd | Ds 2026:8 |
verksamheten till någon del utgör det (se prop. 2017/18:89 s. 133). Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grundläggande betydelse för Sverige. Det innebär att lagens krav på säkerhetsskydd gäller för såväl militär som civil verksamhet. Vilka verksamheter som är av betydelse för att upprätthålla Sveriges säkerhet ska bedömas i ljuset av samhällsutvecklingen och kan således förändras över tid (se prop. 2017/18:89 s. 133).
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter (se 1 kap. 2 § andra stycket säkerhetsskyddslagen). Säkerhetsskyddsklassificerade uppgifter avser uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig (se 1 kap. 2 § andra stycket säkerhetsskyddslagen). I lagens förarbeten anges att bestämmelserna om försvarssekretess i 15 kap. 2 § OSL och bestämmelserna om sekretess i underrättelseverksamhet i 18 kap. 2 § OSL är särskilt relevanta för vägledning i fråga om vilka uppgifter som till sin natur medför krav på säkerhetsskydd. Även andra bestämmelser kan dock vara tillämpliga, till exempel den så kallade utrikessekretessen i 15 kap. 1 § OSL, bestämmelsen om sekretess i det internationella samarbetet i 15 kap. 1 a § OSL och, i vissa fall, bestämmelsen om förundersökningssekretess i 18 kap. 1 § OSL (se prop. 2017/18:89 s. 135).
9.2.2Säkerhetsskyddsanalys
Den som till någon del bedriver säkerhetskänslig verksamhet är skyldig att göra en säkerhetsskyddsanalys, det vill säga utreda behovet av säkerhetsskydd. Säkerhetsskyddsanalysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomsten av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter (se 2 kap. 1 § första och andra stycket säkerhetsskyddslagen). Säkerhetsskyddsanalysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i
116
| Ds 2026:8 | Säkerhetsskydd |
övrigt som finns i verksamheten samt vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska uppdateras vid behov åtminstone vartannat år (se 2 kap. 1 § säkerhetsskyddsförordningen).
Säkerhetsskyddsåtgärder kan delas upp i informationssäkerhet, fysisk säkerhet och personalsäkerhet (se 2 kap. 2–4 §§ säkerhetsskyddslagen). Säkerhetsskyddsklassificerade uppgifter ska enligt 2 kap. 5 § säkerhetsskyddslagen delas in i säkerhetsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
1.kvalificerat hemlig vid en synnerligen allvarlig skada,
2.hemlig vid en allvarlig skada,
3.konfidentiell vid en inte obetydlig skada, eller
4.begränsat hemlig vid endast ringa skada.
I Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) finns mer detaljerade bestämmelser om innehållet i säkerhetsskyddsanalysen. Verksamhetsutövaren ska göra en verksamhetsbeskrivning och i den specificera vilka delar av verksamheten som är av betydelse för Sveriges säkerhet utifrån kategorierna Sveriges yttre säkerhet, Sveriges inre säkerhet, nationellt samhällsviktig verksamhet, verksamhet av betydelse för Sveriges ekonomi och verksamhet som kan generera skada på annan säkerhetskänslig verksamhet. Verksamhetsutövaren ska identifiera vilka skyddsvärden som finns i den säkerhetskänsliga verksamheten, det vill säga bland annat säkerhetsskyddsklassificerade uppgifter och anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet.
9.2.3Säkerhetsskyddsavtal
En verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ska ingå ett säkerhetsskyddsavtal med aktören om aktören genom förfarandet kan få tillgång till säkerhetsskydds-
117
| Säkerhetsskydd | Ds 2026:8 |
klassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Verksamhetsutövaren ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till sådan säkerhetskänslig verksamhet. Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten (se 4 kap. 1 § säkerhetsskyddslagen).
Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 2 kap. 1 § säkerhetsskyddslagen ska kunna tillgodoses. Ett säkerhetsskyddsavtal ska även reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden (se 4 kap. 3 § säkerhetsskyddslagen). En verksamhetsutövare som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning (se 4 kap. 7 § säkerhetsskyddslagen).
Verksamhetsutövaren ska genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetssynpunkt. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras. Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddsynpunkt, får det inte inledas (se 4 kap. 8 § säkerhetsskyddslagen). Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren innan den inleder förfarandet samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sverige. Tillsynsmyndigheten får besluta att förelägga verksamhetsutövaren
118
| Ds 2026:8 | Säkerhetsskydd |
att vidta åtgärder enligt säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen (se 4 kap. 9 § säkerhetsskyddslagen). Vilken myndighet som är tillsynsmyndighet följer av 8 kap. 1 § säkerhetsskyddsförordningen. För de flesta statliga myndigheter är Säkerhetspolisen tillsynsmyndighet.
9.3Migrationsverkets bedömning av samarbetet med en extern tjänsteleverantör ur säkerhetsskyddssynpunkt
Migrationsverket har genomfört en rapport i syfte att utreda förutsättningarna för användande av externa tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd i Sverige (se Rapport efter GD-uppdrag 013/2023(3B) Möjliggörande av extern tjänsteleverantör
iärenden om uppehålls- och arbetstillstånd). I rapporten gör Migrationsverket bedömningen att de uppgifter som berörs i huvudsak är personuppgifter och att dessa, med vissa undantag, inte utgör säkerhetsskyddsklassificerade uppgifter. Migrationsverket bedömer vidare att en verksamhet med användande av en extern tjänsteleverantör i några steg av handläggningen av ärenden om uppehålls- och arbetstillstånd på samma sätt som sker inom andra EU-stater inte omfattas av krav på säkerhetsskydd då det inte bedöms vara säkerhetskänslig verksamhet. Migrationsverket konstaterar dock i rapporten att det över tid med en mängd hanterade ansökningar kan uppkomma tillgångar med sekretessvärde och att det finns ärenden där säkerhetsindikatorer uppmärksammas som kan vara skyddsvärda och föranleda ett remissförfarande till Säkerhetspolisen. I Migrationsverkets bedömning förutsätts att de ärendena liksom idag kan hanteras i en särskild ordning av Migrationsverket och utlandsmyndigheterna vid sidan av det möjliga flödet via en extern tjänsteleverantör. Migrationsverket har också gjort bedömningen att det pågående samarbetet med en extern tjänsteleverantör inom ramen för Schengenviseringar inte faller inom ramen för säkerhetsskyddslagstiftningen.
119
10 Det föreslagna regelverket
10.1Inledning
Utredningens mest centrala uppdrag är att lämna förslag på en ordning som innebär att upptagning av biometri i ärenden om uppehållstillstånd och nationell visering kan överlämnas till en extern tjänsteleverantör. Vi har i kapitel 5 gjort bedömningen att upptagning av biometri i ärenden om uppehållstillstånd och nationell visering utgör myndighetsutövning. En effekt av att överlämna uppgiften till ett privaträttsligt subjekt är att bestämmelser som syftar till att säkerställa en rättssäker behandling sätts ur spel. Dessa bestämmelser har redovisats i föregående kapitel 6–8. Denna effekt måste givetvis beaktas vid utformningen av förslaget. Vidare måste utredningen beakta de regelverk som reglerar under vilka förutsättningar svenska myndigheter kan anlita andra rättssubjekt för att utföra vissa uppgifter, till exempel regelverken om upphandling och personuppgiftsbehandling. För att ett överlämnande ska vara lämpligt krävs därför en ordning som innebär att såväl de handläggande myndigheterna som den externa tjänsteleverantören är skyldiga att iaktta grundläggande bestämmelser avseende till exempel enskildas rättssäkerhet och regelverken om personuppgiftsbehandling och sekretess.
Det ligger dock i utredningens uppdrag att oavsett ställningstagande avseende lämpligheten i ett överlämnande lämna förslag på hur ett överlämnande kan möjliggöras. Det är också utredningens bedömning att ett nödvändigt första steg i våra överväganden är att utforma ett förslag för hur ett överlämnande kan ordnas, för att därefter med avstamp i förslaget ta ställning till frågan om ett överlämnande enligt den ordningen är lämpligt. Bedömningen av förslagets lämplighet redovisas i kapitel 11.
121
| Det föreslagna regelverket | Ds 2026:8 |
Av uppdragsbeskrivningen följer att regelverket för och erfarenheterna från samarbetet för Schengenviseringar ska användas som utgångspunkt för utredningen och att vi bör överväga om en motsvarande reglering bör införas för ärenden om uppehållstillstånd och nationell visering. Ett första steg i våra överväganden är alltså att ta ställning till frågan om utredningens förslag ska gå ut på att ett motsvarande system ska införas.
10.2En jämförelse med samarbetet för Schengenviseringar
Utredningens förslag
Regelverket för samarbetet med en extern tjänsteleverantör i ärenden om Schengenviseringar ska utgöra förlaga för utredningens förslag. Ett motsvarande system ska alltså införas i ärenden om uppehållstillstånd och nationell visering.
Samarbetet med en extern tjänsteleverantör för Schengenviseringar regleras dels genom bestämmelser i viseringskodexen, dels genom ett ramavtal mellan Justitiedepartementet och den externa tjänsteleverantören. Med stöd av bestämmelserna i viseringskodexen får EU:s medlemsstater samarbeta med en extern tjänsteleverantör vid handläggningen av ansökningar om Schengenvisering. Inom ramen för Schengensamarbetet får den externa tjänsteleverantören ges behörighet att utföra någon eller flera uppgifter i handläggningen, bland annat insamling av uppgifter och mottagande av ansökningar (inbegripet upptagning av biometriska kännetecken) och överföring av ansökan till konsulatet (se artikel 43). I kapitel 4 redogör vi för viseringskodexens bestämmelser och struktur. De bestämmelser som främst är av relevans när det gäller samarbete med en extern tjänsteleverantör för upptagning av biometri är artikel 13 och 43 samt bilaga X. Det ramavtal som Justitiedepartementet har ingått med den externa tjänsteleverantören består av 47 klausuler samt tre bilagor varav en av bilagorna innehåller nio underbilagor. En av bilagorna utgör ett personuppgiftsbiträdesavtal mellan Migrationsverket och tjänsteleverantören. Utlandsmyndigheterna har möjlig-
122
| Ds 2026:8 | Det föreslagna regelverket |
het att avropa från ramavtalet och ingå lokala avtal med den externa tjänsteleverantören. Enligt definitionen i ramavtalet utgör bilagorna en integrerad del av avtalet. Klausulerna i ramavtalet ska således läsas som en helhet tillsammans med innehållet i bilagorna. När vi i det följande använder oss av benämningen Schengenavtalet är det ett samlingsbegrepp för ramavtalet och dess bilagor.
Bestämmelserna i viseringskodexen är bindande och direkt tillämpliga i alla EU:s medlemsstater (se artikel 288 FEUF). Bestämmelserna är alltså tillämpliga och bindande för svenska myndigheter vid ett överlämnande av sådana uppgifter som omfattas av förordningen. Därutöver är svenska myndigheter bundna av nationella bestämmelser som reglerar förutsättningar för att överlämna förvaltningsuppgifter till andra rättssubjekt, till exempel regelverken om upphandling. Dessa regelverk kompletteras av bestämmelserna i viseringskodexen genom att peka ut medlemsstaten som ansvarig för den verksamhet som bedrivs av tjänsteleverantören efter att ett överlämnande har skett. Genom bestämmelser i viseringskodexen klarläggs till exempel att medlemsstaten ansvarar för att dataskyddsförordningens bestämmelser efterlevs även vid den hantering av personuppgifter som utförs av tjänsteleverantören och att lämpliga åtgärder vidtas för att motverka korruption hos tjänsteleverantören. Bestämmelserna i viseringskodexen anger också att medlemsstaten är ansvarig för att återkommande och regelbundet utöva tillsyn av tjänsteleverantörens verksamhet. Genom bestämmelserna i viseringskodexen utsträcks alltså medlemsstatens ansvar till att omfatta hanteringen hos tjänsteleverantören av de överlämnade uppgifterna.
Som angetts tidigare är det troligt att den externa tjänsteleverantören kommer att vara ett utländskt rättssubjekt, många gånger ett privat bolag med säte och mottagningslokaler utanför Sverige. I det samarbete som sker inom ramen för Schengenviseringar är den externa tjänsteleverantören ett privat bolag med säte i Förenade Arabemiraten. I en sådan situation omfattas som utgångspunkt inte den externa tjänsteleverantören av vare sig svenska eller EU-rättsliga bestämmelser. Genom det avtal som ingåtts mellan Justitiedepartementet och tjänsteleverantören är emellertid tjänsteleverantören avtalsrättsligt bunden att följa samtliga krav i tillämpliga svenska lagar och förordningar. Genom avtalet följer också sanktioner för det fall den externa tjänste-
123
| Det föreslagna regelverket | Ds 2026:8 |
leverantören inte lever upp till de krav som anges i avtalet eller levererar tjänsten i enlighet med vad som utlovats.
Att på rättslig väg binda ett utländskt privaträttsligt subjekt med säte och verksamhet utanför EU på annat sätt än genom avtal är svårt att föreställa sig. Endast genom ett frivilligt åtagande torde en skyldighet för en sådan extern tjänsteleverantör att följa svenska lagar och förordningar kunna uppkomma. Enligt utredningens bedömning framstår det därför som en ändamålsenlig lösning att den svenska myndighetens ansvar regleras genom nationell lag eller förordning och att tjänsteleverantörens ansvar regleras genom avtal. Genom denna lösning är det möjligt att säkerställa att samtliga de aspekter som behöver beaktas hanteras på ett tillfredsställande sätt.
En annan fördel med att införa ett system motsvarande det för ärenden om Schengenviseringar är att det på så sätt skapas ett enhetligt system i migrationsverksamheten för all den upptagning av biometri som en extern tjänsteleverantör utför. Det är vidare rimligt att anta att samma externa tjänsteleverantör och med fördel samma ramavtal kan användas i samtliga ärendetyper, varför ett likartat och enhetligt system är av stor betydelse. Samarbetet med en extern tjänsteleverantör för Schengenviseringar har pågått sedan år 2014 och tillämpas av flera andra EU-länder. Det är vidare flera av de nordiska grannländerna som har utsträckt samarbetet med den externa tjänsteleverantören till att omfatta även andra ärendetyper, till exempel ärenden om uppehållstillstånd. Utifrån vad utredningen erfarit har Schengensamarbetet varit välfungerande och inte inneburit någon påvisbar negativ effekt för enskildas rättssäkerhet. Utredningens bedömning är alltså att förslaget bör ta sin utgångspunkt i och i relevanta delar motsvara den reglering som finns för Schengenviseringar.
10.2.1Utgångspunkter för hanteringen i praktiken
Hur den praktiska hanteringen inom samarbetet på Schengenområdet är organiserat har översiktligt redogjorts för i avsnitt 4.5. Samarbetet på Schengenområdet är organiserat på sådant sätt att det inte överförs personuppgifter från svenska myndigheter till tjänsteleverantören i samband med biometriupptagningen. Inom ramen för det pågående Schengensamarbetet har Migrationsverket
124
| Ds 2026:8 | Det föreslagna regelverket |
vidare gjort bedömningen att bestämmelser i dataskyddsförordningen om överföring av personuppgifter till tredjeland inte aktualiseras. Eftersom utredningens förslag innebär att ett motsvarande system som det för ärenden om Schengenviseringar ska införas i ärenden om uppehållstillstånd och nationell visering är det, för att systemet ska bli enhetligt, nödvändigt att vårt förslag utgår från samma faktiska förutsättningar. Migrationsverket har under utredningens gång bekräftat att en sådan lösning är praktiskt möjlig. Utifrån vad utredningen erfarit har också andra nordiska länder organiserat samarbetet med en extern tjänsteleverantör på liknande sätt även i andra ärendetyper än Schengenviseringar. En utgångspunkt för utredningen är därför att upptagning av biometri i ärenden om uppehållstillstånd och nationell visering ska organiseras på ett sådant sätt att svenska myndigheter inte behöver överföra personuppgifter i enskilda ärenden till den externa tjänsteleverantören.
Denna utgångspunkt till trots finns det anledning att kort beröra frågan om det är lämpligt att organisera samarbetet med den externa tjänsteleverantören på annat sätt. Som redogjorts för i kapitel 8 är det utredningens bedömning att det finns en rad sekretessbestämmelser som kan bli tillämpliga på uppgifter som förekommer i Migrationsverkets handläggning av ärenden om uppehållstillstånd och nationell visering samt att det saknas en sekretessbrytande bestämmelse som är tillämplig i förhållande till en extern tjänsteleverantör i förevarande fall. Det är därför utredningens bedömning att det i dag saknas rättsligt stöd för svenska myndigheter att lämna sekretessbelagda uppgifter till tjänsteleverantören. En ordning som innebär att myndigheten regelmässigt delar personuppgifter med den externa tjänsteleverantören är således svårförenlig med nuvarande sekretesslagstiftning.
Det går inte att utesluta att förekomsten av sekretessreglerade uppgifter i ärenden om uppehållstillstånd och nationell visering är betydande. Utlämnande myndighet skulle då tvingas att i varje enskilt fall bedöma frågan om sekretess innan uppgifterna lämnades över. Det skulle innebära en påtaglig arbetsbelastning för myndigheten och troligtvis leda till bedömningen att det i många ärenden saknas förutsättningar att dela uppgifter med tjänsteleverantören. Ett alternativ för att komma runt den problematiken är att föreslå en sekretessbrytande bestämmelse. En principiell viktig skillnad mellan
125
| Det föreslagna regelverket | Ds 2026:8 |
åena sidan Migrationsverket och utlandsmyndigheternas personal och å andra sidan tjänsteleverantörens personal är emellertid att de första omfattas av en straffsanktionerad tystnadsplikt. Om personal på en svensk myndighet röjer sekretesskyddade personuppgifter kan alltså han eller hon ställas till ansvar straffrättsligt och dömas för brott mot tystnadsplikten. Det kan inte tjänsteleverantörens personal i en motsvarande situation. Det kan således ifrågasättas om det skulle vara lämpligt att införa rättsligt stöd för svenska myndigheter att regelmässigt dela sekretessbelagda uppgifter med tjänsteleverantören när det inte finns något behov av detta.
En ordning där Migrationsverket och utlandsmyndigheterna regelmässigt överför personuppgifter till tjänsteleverantören skulle också innebär att bestämmelserna i dataskyddsförordningen om överföring till tredjeland aktualiseras. Särskilda överväganden skulle behöva göras för varje land där tjänsteleverantören skulle verka. Det är för utredningen inte överblickbart hur många och vilka länder sådana överföringar skulle ske till. Under arbetets gång har utredningen samrått med Integritetsskyddsmyndigheten som också har ifrågasatt lämpligheten av en ordning som aktualiserar bestämmelserna om överföring till tredjeland.
En sådan ordning skulle innebära att svenska myndigheter i än större utsträckning förlorar kontrollen över personuppgifter och sekretessreglerade uppgifter och i förlängningen den enskildes rättssäkerhet. Mot denna bakgrund framstår en ordning som bygger på att svenska myndigheter regelmässigt för över uppgifter till den externa tjänsteleverantören inte som lämplig. Även detta talar alltså för att samarbetet med en extern tjänsteleverantör i ärenden om uppehållstillstånd och nationell visering ska organiseras på samma sätt som i ärenden om Schengenvisering. I det följande redogör vi för hur en sådan reglering bör utformas.
10.3Utredningens förslag: ett regelverk bestående av lag, förordning och avtal
För att förvaltningsuppgiften upptagning av biometri ska kunna överlämnas till en extern tjänsteleverantör krävs det som konstaterats i kapitel 5 bestämmelser i lag som ger regeringen, eller efter regeringens bestämmande Regeringskansliet, rätt att besluta
126
| Ds 2026:8 | Det föreslagna regelverket |
om att förvaltningsuppgiften får överlämnas till en extern tjänsteleverantör i ärenden om uppehållstillstånd och nationell visering. För att en reglering avseende ärenden om uppehållstillstånd och nationell visering ska motsvara den för Schengenviseringar bör dessutom bestämmelser införas som binder både svenska myndigheter och tjänsteleverantören. Det bör därför dels införas föreskrifter, dels upprättas ett civilrättsligt avtal. De bestämmelser som bör införas i föreskrift ska vara av den karaktär som finns i viseringskodexen och huvudsakligen reglera svenska myndigheters ansvar efter överlämnandet i förhållande till utförandet av tjänsten. Avtalet ska i huvudsak reglera den externa tjänsteleverantörens skyldigheter samt avtalsparternas inbördes ansvarsfördelning. I föreskrifterna ska det anges minimikrav för den avtalsrättsliga regleringen.
10.3.1Portalparagraf för överlämnandet
Utredningens förslag
Det ska införas bestämmelser i utlänningslagen som möjliggör ett överlämnande av upptagning av biometriska uppgifter i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör.
Regeringskansliet ska vara den myndighet som ges rätt att besluta om samarbete med tjänsteleverantören.
Som framgår i kapitel 5 har utredningen bedömt att upptagning av biometri i ärenden om uppehållstillstånd och nationell visering utgör myndighetsutövning. Ett överlämnande av de uppgifterna till ett utländskt organ utanför Sverige kräver därför lagstöd på sätt som angetts i kapitlet. En första fråga är vem eller vilka myndigheter som ska ansvara för de uppgifter som följer av ett överlämnande.
I nuläget är det Regeringskansliet som är avtalspart i förhållande till den externa tjänsteleverantör som används inom samarbetet för Schengenviseringar. Regeringskansliet är i denna egenskap ansvarigt för att de krav som ställs på tjänsteleverantören efterlevs. Den utlandsmyndighet som avropar tjänster från ramavtalet tecknar
127
| Det föreslagna regelverket | Ds 2026:8 |
lokala avtal, ansvarar för lokalt anpassade krav och operativt samarbete och tillsyn av verksamheten. Migrationsverket ansvarar i sin tur för krav på IT-stöd, gemensamma rutiner och informationssäkerhet. Migrationsverket är dessutom personuppgiftsansvarig för verksamheten.
Att utgå från samma ansvarsfördelning även i ärenden om uppehållstillstånd och nationell visering är fördelaktigt inte bara i syfte att uppnå ett enhetligt system utan också för att en annan myndighet än de handläggande myndigheterna har det övergripande ansvaret. Ytterligare en fördel med en motsvarande ansvarsfördelning för ärenden om uppehållstillstånd och nationell visering är att upparbetad kunskap och erfarenhet som finns inom respektive myndighet bibehålls. Utredningens bedömning är således att samma ansvarsfördelning som i ärenden om Schengenviseringar ska tillämpas. Detta innebär att Regeringskansliet är den myndighet som ska ges rätt att besluta om samarbete med tjänsteleverantören och ingå centrala avtal.
Utredningen föreslår därför att bestämmelser införs i utlänningslagen som anger att regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometri i ärenden om uppehållstillstånd och nationell visering. Av pedagogiska skäl bör bestämmelserna införas i kapitel 3 och 5, det vill säga de kapitel som reglerar uppehållstillstånd respektive visering.
I utredningens uppdrag har ingått att i mån av tid överväga sådana närliggande frågor som har samband med frågan om överlämnande av uppgiften att ta upp biometri, till exempel andra förvaltningsuppgifter än sådana som har samband med biometriupptagningen. Som vi konstaterat i avsnitt 2.4. har Migrationsverket uttryckt ett behov av att kunna överlämna vissa sådana andra förvaltningsuppgifter. Utredningens bedömning är att en möjlighet att överlämna de uppgifterna troligtvis skulle innebära effektivitetsvinster och bidra till att attrahera internationell spetskompetens till Sverige. Det har emellertid inte rymts inom utredningens tidsram att fullt ut ta ställning till och analysera effekterna av ett sådant överlämnande, vilket medfört att lagförslaget begränsats till upptagning av biometri. För det fall lagstiftaren har för avsikt att möjliggöra för ett överlämnande av ytterligare förvaltningsuppgifter finns anledning att överväga en vidare utformning av den föreslagna
128
| Ds 2026:8 | Det föreslagna regelverket |
bestämmelsen i utlänningslagen. Eftersom våra överväganden enbart syftar till att möjliggöra ett överlämnande av upptagning av biometri finns emellertid inte anledning för oss att föreslå en lagbestämmelse som möjliggör ett överlämnande av ytterligare förvaltningsuppgifter. Det kan därtill ifrågasättas om det skulle vara lämpligt för oss att föreslå en vidare formulering av bestämmelsen eftersom konsekvenserna av att överlämna andra uppgifter än biometriupptagningen inte analyseras i utredningen.
10.3.2En ny förordning
Utredningens förslag
Det ska införas en ny förordning som reglerar svenska myndigheters ansvar för uppgiftens utförande efter överlämnande av upptagning av biometri i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör.
I förordningen ska det även införas minimikrav för den avtalsrättsliga regleringen samt en bestämmelse som ger Regeringskansliet rätt att besluta om ett överlämnande av uppgiften och ett klargörande av vilka moment som inbegrips i denna.
De grundläggande bestämmelserna i utlänningslagen bör kompletteras med bestämmelser av detaljkaraktär som i huvudsak reglerar svenska myndigheters ansvar för uppgiftens utförande efter överlämnande skett samt anger de minimikrav som ska gälla för den avtalsrättsliga regleringen med tjänsteleverantören. Därtill bör det införas en bestämmelse som ger Regeringskansliet rätt att besluta om ett överlämnande av upptagning av biometri till en extern tjänsteleverantör, samt ett förtydligande av vilka moment som får anses utgöra en naturlig del av och inbegripas i den uppgiften.
Bestämmelser avseende hanteringen av ärenden om uppehållstillstånd och nationell visering är föränderliga, vilket bland annat kan illustreras av den stora mängd lagstiftningsarbeten som för närvarande bereds på migrationsrättens område inom Regeringskansliet. Även tekniska förändringar i ärendehanteringen kan komma att påverka förutsättningarna för ett överlämnande av
129
| Det föreslagna regelverket | Ds 2026:8 |
uppgifter. Flera av de bestämmelser som utredningen föreslår är dessutom av detaljkaraktär. Det framstår mot den bakgrunden som ändamålsenligt att de närmare förutsättningarna för ett överlämnande av uppgiften att ta upp biometri bör regleras i förordning. Utredningen gör bedömningen att sådana bestämmelser faller utanför det obligatoriska lagområdet, det vill säga det område där föreskrifter måste meddelas i lag. Det är således både möjligt och lämpligt att bestämmelserna anges i förordning.
Bestämmelserna skulle kunna införas genom tillägg i utlänningsförordningen. Bestämmelser om uppehållstillstånd och visering regleras emellertid i två separata kapitel i utlänningsförordningen. Eftersom bestämmelserna avser att ge en sammanhållen reglering för samarbetet med en extern tjänsteleverantör i ärenden om både uppehållstillstånd och nationell visering bör bestämmelserna i stället införas i en ny förordning. Efter en inledande bestämmelse om vad förordningen innehåller för typ av föreskrifter följer ett antal bestämmelser med det innehåll som ovan pekats ut som nödvändigt att införa i förordning. Nedan redovisas övervägandena beträffande dessa bestämmelser i den ordning de anges i förordningen.
Bestämmelse om Regeringskansliets rätt att besluta om ett överlämnande samt vilka moment som inbegrips i uppgiften
Utredningens förslag
Det ska införas en bestämmelse i förordningen genom vilken Regeringskansliet ges rätt att besluta att uppgiften upptagning av biometriska uppgifter i ärenden om uppehållstillstånd och nationell visering ska överlämnas till en extern tjänsteleverantör. I samma bestämmelse ska det också förtydligas vilka moment som utgör nödvändiga delar av upptagningen av biometrin och som därför ingår i uppgiften.
I de föreslagna lagändringarna i utlänningslagen ges regeringen möjlighet att bestämma att Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometri. Ett sådant bestämmande kan med fördel komma till
130
| Ds 2026:8 | Det föreslagna regelverket |
uttryck i föreskrift. Det finns därför anledning att införa en bestämmelse med sådant innehåll i förordningen.
Utredningens uppdrag är att utreda förutsättningarna för att överlämna upptagning av biometri i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör men också att analysera om närliggande förvaltningsuppgifter behöver kunna överlåtas för att det ska vara möjligt eller ändamålsenligt för en extern tjänsteleverantör att ta upp biometri. För att tjänsteleverantörens uppgift ska vara praktiskt genomförbar och meningsfull för handläggningen av ärendena har utredningen identifierat sådana uppgifter. Enligt utredningens bedömning krävs att tjänsteleverantören ges rätt att
–hantera tidsbokning för upptagningen av de biometriska uppgifterna,
–tillhandahålla nödvändig information om upptagningen av de biometriska uppgifterna,
–kontrollera identiteten på den person som lämnar de biometriska uppgifterna och
–överföra insamlade uppgifter, inbegripet de biometriska uppgifterna, till berörd utlandsmyndighet eller Migrationsverket.
Dessa uppgifter utgör emellertid en naturlig del i upptagningen av biometri. Bestämmelsen ger endast tjänsteleverantören rätt att utföra momenten i samband med och i syfte att ta upp biometrin. De rättsliga förutsättningarna att överlämna dessa uppgifter följer därför av möjligheten att överlämna biometriupptagningen. I utredningens överväganden är därför utgångspunkten att de krav och villkor som gäller för biometriupptagningen även gäller för övriga delar av uppgiften. Till exempel gäller bestämmelser och avtalsvillkor om insamling, förvaring och radering av personuppgifter samt den avtalsreglerade tystnadsplikten även de uppgifter som anges vid tidsbokningen och som tjänsteleverantörens personal får tillgång till vid identitetskontrollen. Det som sagts såväl i det föregående som i det kommande gäller alltså även de integrerade delarna av biometriupptagningen. I syfte att undvika missförstånd och för att på ett tydligt sätt ange omfattningen av den uppgift som överlämnas bör uppgifterna specificeras i förordningen. Enligt vår
131
| Det föreslagna regelverket | Ds 2026:8 |
bedömning finns inget behov av att lämna över någon ytterligare närliggande förvaltningsuppgift för att det ska vara möjligt eller ändamålsenligt för tjänsteleverantören att ta upp biometri.
Bestämmelse som reglerar krav på Regeringskansliet vid upphandling och val av extern tjänsteleverantör
Utredningens förslag
Det ska införas en bestämmelse som innebär en skyldighet för Regeringskansliet att vid upphandling och val av extern tjänsteleverantör bedöma tjänsteleverantörens tillförlitlighet och solvens, säkerställa att det inte föreligger några intressekonflikter, att den externa tjänsteleverantören kan garantera nödvändig datasäkerhet samt säkerställa att tjänsteleverantören uppfyller de villkor och bestämmelser som omfattas av avtalet.
Utredningen har ovan bedömt att Regeringskansliet ska vara den myndighet som ges rätt att besluta om samarbete med en extern tjänsteleverantör och som ingår centrala avtal. I bestämmelsen anges vissa grundläggande aspekter som Regeringskansliet är skyldigt att beakta innan ett sådant centralt avtal tecknas. En liknande bestämmelse finns i viseringskodexen (se artikel 43.7).
Bestämmelsen syftar till att garantera vissa grundläggande principer vid val av tjänsteleverantör. Att Regeringskansliet vid val av tjänsteleverantör är skyldigt att säkerställa att tjänsteleverantören kan garantera nödvändig datasäkerhet är av särskild vikt eftersom utredningen nedan bedömer att Migrationsverket är personuppgiftsansvarig för den behandling som tjänsteleverantören kommer att utföra. Att tjänsteleverantören kan garantera tillräcklig datasäkerhet syftar till att säkerställa nödvändiga skyddsåtgärder. Det innebär till exempel ett krav på att tjänsteleverantören kan garantera alla de tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda personuppgifter mot olagliga former av behandling, som till exempel att personuppgifterna förstörs genom olyckshändelse eller otillåtet sprids. Det innebär också ett krav på att tjänsteleverantören kan garantera att överföring av uppgifterna kan ske i krypterad form
132
| Ds 2026:8 | Det föreslagna regelverket |
och utifrån en säkerhetsnivå som är anpassad efter uppgifternas känslighet. Det är vidare av särskild vikt att Regeringskansliet väljer en extern tjänsteleverantör som uppfyller kraven och villkoren i samarbetsavtalet, eftersom det annars inte finns ett tillfredsställande skydd för till exempel enskildas rättssäkerhet och barns rättigheter.
Bestämmelse om samarbetsavtalet
Utredningens förslag
Det ska införas en bestämmelse i förordningen som klargör att samarbetet med en extern tjänsteleverantör ska regleras genom avtal. Bestämmelsen ska vidare innehålla en förteckning över sådana villkor som minst måste omfattas av avtalet.
Samarbetsavtalet mellan den externa tjänsteleverantören och Regeringskansliet utgör en mycket viktig del av det regelverk som behöver finnas vid ett överlämnande av upptagning av biometri. Detta beror på att det endast är genom avtal som den externa tjänsteleverantören på rättslig väg kan bli ansvarig för utförandet av tjänsten och bunden att följa till exempel svenska lagar och förordningar. Det bör därför införas en bestämmelse som klargör att samarbetet med den externa tjänsteleverantören ska regleras genom avtal.
Det finns vidare anledning att, liksom i viseringskodexens bilaga X, införa en bestämmelse i förordning som innehåller en lägsta nivå i fråga om de krav och villkor som måste regleras i samarbetsavtalet. I fråga om sådana krav och villkor har utredningen identifierat några områden som det är av särskild vikt att avtalet reglerar. Dessa områden utgörs av tjänsteleverantörens skyldighet att fullt ut följa avtalet och givna instruktioner, skyddet för enskildas rättssäkerhet, skyddet för personuppgifter och efterlevnaden av regelverket om dataskydd, motverkande av missbruk och korruption, utförande av tillsyn och övervakning, användande av underleverantör samt sanktioner vid avtalsbrott. För att ett överlämnande ska kunna anses lämpligt är det alltså nödvändigt att avtalet i vart fall innehåller villkor och krav som syftar till att reglera
133
| Det föreslagna regelverket | Ds 2026:8 |
dessa områden. För att betona betydelsen av dessa minikrav bör det tydligt framgå av förordningen att avtalet måste reglera nämnda områden.
Utredningen har valt att inte utforma minimikraven med samma detaljrikedom som viseringskodexens bilaga X. Detta beror i huvudsak på att förordningen inte bör tyngas med detaljreglering som med fördel kan regleras närmare i avtal. Avtalets innehåll i fråga om de krav och villkor som kan relateras till ovannämnda områden kommer att belysas mer ingående nedan i avsnitt 10.3.3.
Bestämmelser om Regeringskansliets ansvar för enskildas rättssäkerhet och barns rättigheter
Utredningens förslag
Förordningen ska innehålla bestämmelser som innebär att Regeringskansliet bär ansvaret för att den externa tjänsteleverantören utför den överlämnade uppgiften med respekt för de grundläggande principer och rättigheter till skydd för enskildas rättssäkerhet och barns rättigheter som följer av svensk lag och internationella åtaganden.
I fråga om barns rättigheter ska det finnas en bestämmelse som särskilt reglerar hur upptagningen av biometri från ett barn ska utföras.
För att enskildas rättssäkerhet och barns rättigheter ska skyddas på ett tillfredsställande sätt vid ett överlämnande krävs det att Regeringskansliet pekas ut som ansvarigt för att den externa tjänsteleverantörens upptagning av biometri utförs i enlighet med tillämpliga svenska lagar och internationella åtaganden. I detta inbegrips inte bara grundlagsstadgade grundläggande principer, såsom legalitetsprincipen, allas likhet inför lagen och allas lika värde, utan även förvaltningsrättsliga regler som svenska myndigheter ska följa i verksamhetsutövandet, såsom objektivitetsprincipen (saklighet och opartiskhet) och serviceskyldigheten. Därutöver inbegrips fri- och rättigheter som finns i sådana internationella rättsakter som Sverige åtagit sig att följa, till exempel Europa-
134
| Ds 2026:8 | Det föreslagna regelverket |
konventionen, EU:s stadga, funktionsrättskonventionen och barnkonventionen. Även efter ett överlämnande är det svenska staten som bär ansvaret för att dessa fri- och rättigheter, däribland skydd för den personliga integriteten, förbud mot diskriminering och barns rättigheter, respekteras vid utförandet av tjänsten. I detta ligger också att Regeringskansliet bär ansvaret för att det integritetsintrång som upptagningen av biometri innebär görs med respekt för sökandens integritet och inte går utöver vad som är nödvändigt.
Inom ramen för samarbetet med en extern tjänsteleverantör i ärenden om Schengenviseringar framgår medlemsstaternas ansvar för enskildas och barns rättigheter på olika sätt av regelverket. Det finns bestämmelser som handlar om dels medlemsstatens egna ansvar i fråga om upptagning av biometri, dels medlemsstatens ansvar i samarbetet med en extern tjänsteleverantör. Dessa bestämmelser – som vi har vi redogjort för i avsnitt 4.4.5 och 4.4.6. – syftar till att skydda enskildas och barns rättigheter vid upptagningen av biometri och användandet av en extern tjänsteleverantör i Schengensamarbetet. I jämförelsesyfte är det framför allt bestämmelser om medlemsstaternas ansvar i dessa frågor som är av intresse för utredningen. För att skapa ett enhetligt system och ett motsvarande skydd i ärenden om uppehållstillstånd och nationell visering bör bestämmelser med likvärdigt innehåll införas i den nya förordningen. Bestämmelserna ska avse Regeringskansliets ansvar i dessa frågor. Med det sagt föreslår utredningen att det i förordningen införs dels en generell bestämmelse till skydd för enskildas rättssäkerhet, dels en särskild bestämmelse till skydd för barns rättigheter.
Av bestämmelsen som syftar till att upprätthålla skyddet för enskildas rättssäkerhet ska det framgå att Regeringskansliet är ansvarigt för att säkerställa att tjänsteleverantören utför uppgiften med respekt för de grundläggande principer och rättigheter till skydd för enskildas rättssäkerhet som följer av svensk lag och internationella åtaganden. Det handlar alltså om sådana regleringar som hade gällt om det var den svenska myndigheten som samlade in biometrin. Denna typ av bestämmelse är i själva verket ett förtydligande av att detta ansvar kvarstår även efter ett överlämnande, på samma sätt som svenska statens ansvar kvarstår i fråga om efterlevnaden av internationella åtaganden. Att i mer detalj
135
| Det föreslagna regelverket | Ds 2026:8 |
liksom i viseringskodexen reglera vilka åtgärder som Regeringskansliet är skyldigt att vidta i syfte att upprätthålla skyddet för enskildas rättssäkerhet skulle emellertid tynga förordningen på ett sätt som det inte finns skäl för. Bestämmelser som garanterar att Regeringskansliet uppfyller sin skyldighet att säkerställa att biometriupptagningen utförs av kvalificerad och behörig personal, utan diskriminering och med respekt för sökandens värdighet kan i stället föras in i och specificeras genom avtalet. Detsamma gäller bestämmelser om att Regeringskansliet ska säkerställa att tjänsteleverantören har lämpliga förfarandesätt när det uppstår svårigheter med biometriupptagningen. Sådana detaljregleringar i avtal omfattas av bestämmelsens vida lydelse och utgör exempel på vilka åtgärder Regeringskansliet kan behöva vidta för att leva upp till sitt ansvar i fråga om enskildas rättssäkerhet.
Regeringskansliets ansvar för att barns rättigheter respekteras vid upptagningen av biometri bör särskilt framgå av en egen bestämmelse i förordningen. En särskild bestämmelse för barn behövs dels för att synliggöra betydelsen av att barnets bästa alltid står i centrum, dels för att upptagningen av biometri från barn medför särskilda krav vid själva utförandet. Det framstår som rimligt att i svensk föreskrift införa motsvarande reglering för upptagning av biometri från barn som den som kommer att införas i viseringskodexen genom 2021 års ändringsförordning i samband med att den reviderade VIS- förordningen börjar tillämpas fullt ut. Samma rättigheter för barn ska gälla oavsett vilken typ av ärende som biometri tas upp i. Det finns därför ett behov av att i förordningen förtydliga att Regeringskansliet är ansvarigt för att säkerställa att upptagningen av biometri från ett barn görs i enlighet med lag och barnkonventionen med barnets bästa som utgångspunkt. När det gäller biometriupptagning från barn bör det därutöver införas mer detaljerad reglering om hur upptagningen ska gå till, eftersom barn är särskilt skyddslösa i situationen. Det ska alltså regleras att Regeringskansliet i detta syfte särskilt ska säkerställa att den externa tjänsteleverantörens personal har rätt utbildning för att ta upp biometri från ett barn på ett barnvänligt och barnanpassat sätt med respekt för barnets bästa, att barnet åtföljs av en vuxen familjemedlem eller förmyndare samt att tvång aldrig förekommer vid tagandet av biometri från ett barn.
136
| Ds 2026:8 | Det föreslagna regelverket |
Bestämmelse om Regeringskansliets ansvar för skydd av personuppgifter
Utredningens bedömning
Migrationsverket är personuppgiftsansvarig för den personuppgiftsbehandling som utförs av tjänsteleverantören.
Det saknas behov av särskilt författningsförslag som förtydligar ansvarsförhållandet.
Utredningens förslag
Förordningen ska innehålla en bestämmelse som anger att Regeringskansliet ska möjliggöra för den personuppgiftsansvarige att fullgöra sina skyldigheter i förhållande till den externa tjänsteleverantören. I samma bestämmelse ska det också anges att Regeringskansliet ska säkerställa att den externa tjänsteleverantören är föremål för Integritetsskyddsmyndighetens övervakning.
Idag kompletteras ärenden om uppehållstillstånd med sökandens biometriuppgifter genom att sökanden uppsöker en svensk utlandsmyndighet som tar upp biometrin och sänder den till Migrationsverket. I ärenden om nationell visering finns i dag inget krav på att biometriuppgifter lämnas av sökanden varför en ordning för upptagning av biometri i sådana ärenden saknas. Skyldigheten för enskilda att lämna biometri följer av bestämmelser i utlänningslagen. I utlänningsdatalagen finns bestämmelser som anger för vilka ändamål uppgifterna får behandlas. Uppgifterna får bland annat behandlas om det behövs för handläggningen av ärenden om utlänningars inresa i Sverige eller för fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
Av 9 § utlänningsdatalagen följer att Migrationsverket är personuppgiftsansvarig dels för den behandling av personuppgifter som myndigheten utför, dels för utlandsmyndigheternas automatiserade behandling av personuppgifter. Den personuppgiftsbehandling som sker i samband med att biometri tas upp och tillförs sökandens
137
| Det föreslagna regelverket | Ds 2026:8 |
ärende är automatiserad. Det innebär att Migrationsverket är personuppgiftsansvarig för den biometriupptagning som idag sker i ärenden om uppehållstillstånd. Utredningen utgår från att den biometriupptagning som kommer att ske i ärenden om nationell visering kommer att organiseras på motsvarande sätt. Migrationsverket kommer med utredningens utgångspunkt därmed också vara personuppgiftsansvarig för upptagning av biometri som kommer att ske i ärenden om nationell visering även om upptagningen utförs av utlandsmyndigheterna.
Syftet med utredningens förslag är att möjliggöra för svenska myndigheter att överlämna uppgiften att ta upp biometri i ärenden om uppehållstillstånd och nationell visering till en extern part. Genom förslaget tillskapas således ingen ny grund för behandling av personuppgifter. Skyldigheten för den enskilda att lämna biometri följer fortsatt av bestämmelser i utlänningslagen. Ändamålet med myndigheternas behandling av personuppgifterna är alltså fortsatt att det behövs för handläggningen av ärendena eller för fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift. Den rättsliga grunden för myndigheterna att behandla personuppgifterna är alltså att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse. Den föreslagna lagbestämmelsen som anger att regeringen, eller efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometri ger endast en rätt för dem att besluta om samarbetet med tjänsteleverantören och ingå centrala avtal och påverkar således inte personuppgiftsansvaret. Det sagda innebär enligt utredningens bedömning att Migrationsverket fortsatt har bestämmanderätten över personuppgiftsbehandlingen. Det innebär att Migrationsverket fortsatt är personuppgiftsansvarig för den behandling som utförs av tjänsteleverantören och att tjänsteleverantören enbart behandlar personuppgifterna för Migrationsverkets räkning.
Vem som har bestämmanderätten över en personuppgiftsbehandling, det vill säga vem som är personuppgiftsansvarig, kan följa av lagstiftning eller härledas från de faktiska omständigheterna i ett enskilt fall. Det är således möjligt att införa en bestämmelse som särskilt anger att Migrationsverket är personuppgiftsansvarig för den personuppgiftsbehandling som tjänsteleverantören utför. Det följer emellertid redan såväl av de faktiska omständigheterna som av 9 § i
138
| Ds 2026:8 | Det föreslagna regelverket |
utlänningsdatalagen. Att införa en särskild bestämmelse i den föreslagna förordningen riskerar att leda till förvirring och innebär en onödig dubbelreglering. Någon särskild bestämmelse är inte heller införd i viseringskodexen. Migrationsverkets personuppgiftsansvar i samarbetet inom Schengen är således också härlett ur bestämmelsen i utlänningsdatalagen. Utredningens bedömning är därför att det saknas behov av särskilt författningsförslag som förtydligar ansvarsförhållandet.
En första förutsättning för att tjänsteleverantörens hantering ska vara förenlig med regelverket om dataskydd är att Migrationsverket kan fullgöra sina skyldigheter i egenskap av personuppgiftsansvarig. En central skyldighet för den personuppgiftsansvarige är att ingå ett personuppgiftsbiträdesavtal med den externa tjänsteleverantören som upphandlas av Regeringskansliet. Att Migrationsverket har en sådan skyldighet följer av dataskyddsförordningens artikel 28.3. Av samma bestämmelse anges vidare de villkor som avtalet ska säkerställa, bland annat att personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet, beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter att tillhandahållandet av behandlingstjänster har avslutats. En bestämmelse i förordningen bör införas som anger att Regeringskansliet, i egenskap av avtalspart, är skyldigt att möjliggöra för den personuppgiftsansvarige att fullgöra sina skyldigheter enligt dataskyddsförordningen och nationell rätt. Det inbegriper en skyldighet för Regeringskansliet att tillse att personuppgiftsbiträdesavtalet utgör avtalsinnehåll även i de lokala avtal som sluts med stöd av ramavtalet.
En avgörande del i att säkerställa ett godtagbart skydd för personuppgifter är möjligheten att utöva tillsyn. Integritetsskyddsmyndigheten är nationell tillsynsmyndighet enligt dataskyddsförordningen (se 3 § förordning 2018:219, med kompletterande bestämmelser till EU:s dataskyddsförordning). Med stöd av dataskyddsförordningen ska den personuppgiftsansvarige såväl som personuppgiftsbiträden samt, i tillämpliga fall, deras företrädare, på begäran samarbeta med tillsynsmyndigheten vid utförande av dennes uppgift (se artikel 31). Eftersom den externa tjänsteleverantören i många fall kan vara ett privaträttsligt subjekt utanför EU finns risk för att den formellt sett inte är bunden av
139
| Det föreslagna regelverket | Ds 2026:8 |
bestämmelserna i dataskyddsförordningen. Att Regeringskansliet är skyldigt att genom avtal med tjänsteleverantören säkerställa att tjänsteleverantören utför uppgiften på ett sådant sätt att personuppgifter skyddas följer redan av den föreslagna bestämmelsen i 4 §. Utredningen anser dock att det särskilt bör framgå att Regeringskansliet har en skyldighet att tillse att effektiv tillsyn kan utövas även av Integritetsskyddsmyndigheten. En bestämmelse som anger att Regeringskansliet har en sådan skyldighet föreslås därför i förordningen.
Liknande bestämmelser som de föreslagna finns inom ramen för samarbetet med extern tjänsteleverantör för Schengenviseringar. Bland annat är medlemsstaten enligt viseringskodexen skyldig att ansvara för reglerna om skydd av personuppgifter och säkerställa att den externa tjänsteleverantören är föremål för dataskyddsmyndigheternas övervakning (se artikel 43.9). Medlemsstaten ska också noga övervaka genomförandet av det rättsliga instrumentet, det vill säga det avtal som ingås med tjänsteleverantören, och att avtalet reglerar alla de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifter mot ett antal uppräknade incidenter (se artikel 43.11 b).
Som konstaterats ovan bör det i förordningen också införas en bestämmelse som anger att det avtal som ingås med tjänsteleverantören ska reglera tjänsteleverantörens ansvar ur dataskyddshänseende. Avtalets innehåll kommer som angetts ovan att belysas mer ingående nedan i avsnitt 10.3.3.
140
| Ds 2026:8 | Det föreslagna regelverket |
Bestämmelse om Regeringskansliets ansvar i fråga om tillsyn och övervakning
Utredningens förslag
Regeringskansliet ska vara skyldigt att säkerställa att tjänsteleverantörens verksamhet omfattas av nödvändig tillsyn. I syfte att möjliggöra det ska en bestämmelse införas i utlänningslagen som ger regeringen möjlighet att meddela föreskrifter om tillsyn av den externa tjänsteleverantörens verksamhet.
Förordningen ska innehålla en bestämmelse som specificerar vad Regeringskansliet ska göra i fråga om tillsyn av den externa tjänsteleverantörens utförande av den överlämnade uppgiften. Av bestämmelsen ska det framgå att Regeringskansliet ska
1.kontrollera att tjänsteleverantören uppfyller kraven och villkoren i avtalet,
2.noga övervaka genomförandet av avtalet och särskilt upptagningen av biometri, samt
3.säkerställa att regelbundna kontroller genomförs i den externa tjänsteleverantörens verksamhet.
Vid ett överlämnande av upptagning av biometri till en tjänsteleverantör förlorar den svenska myndigheten kontrollen över hur uppgiften utförs. Som ovan nämnts är Regeringskansliet alltjämt ansvarigt för att skyddet för enskildas rättssäkerhet, barns rättigheter, personuppgifter och sekretessreglerade uppgifter upprätthålls och att uppgiften alltså utförs på ett sådant sätt att skyddet garanteras. I avsnitt 6.3 redovisade utredningen för olika typer av medel för kontroll såsom offentlighetsprincipen, straffrättsligt ansvar och tillsyn. Av dessa är det endast Regeringskansliets utövande av tillsyn som kan regleras i föreskrift. I syfte att uppfylla sitt ansvar enligt ovan är det alltså nödvändigt att det införs bestämmelser om kontrollmedel i form av regler om tillsyn och övervakning av tjänsteleverantörens verksamhet och i synnerhet av hur uppgiften utförs.
Enligt utredningens bedömning utgör en bestämmelse som avser tillsyn av en enskilds verksamhet en sådan föreskrift som enligt
141
| Det föreslagna regelverket | Ds 2026:8 |
8 kap. 2 § RF ska meddelas genom lag men där delegering enligt 8 kap. 3 § RF är möjlig. Utredningen föreslår därför att det i utlänningslagen införs bestämmelser som ger regeringen rätt att meddela föreskrifter om tillsyn av den externa tjänsteleverantörens verksamhet. De närmare villkoren för tillsynens utövande föreslås framgå av förordningen. Ytterligare medel för kontroll får regleras genom avtal.
I ärenden om Schengenviseringar regleras frågor om tillsyn och övervakning i viseringskodexen. Enligt artikel 43 ska de berörda medlemsstaterna noga övervaka genomförandet av samarbetsavtalet. I detta syfte ska utlandsmyndigheten eller medlemsstaternas centrala myndigheter regelbundet, och minst var nionde månad, genomföra stickprovskontroller på plats i den externa tjänsteleverantörens lokaler. I dagsläget utövas tillsynen bland annat genom samarbete med övriga nordiska länders tillsynsutövare. Denna möjlighet föreskrivs i viseringskodexens artikel 43 av vilken det framgår att medlemsstaterna får komma överens om att dela ansvaret för den regelbundna övervakningen.
En motsvarande reglering som den i viseringskodexen bör utformas på ett sätt som tydligt pekar ut vad det är Regeringskansliet ska utöva kontroll över. Den externa tjänsteleverantörens ansvar för utövandet av tjänsten finns uteslutande i avtalet. Det är således uppfyllandet av avtalet som Regeringskansliet behöver utöva kontroll över. Bestämmelsen i förordningen ska alltså utformas på sätt som förpliktigar Regeringskansliet att kontrollera att den externa tjänsteleverantören uppfyller de krav och villkor som framgår av avtalet samt noga övervaka genomförandet av detsamma. Det är nödvändigt att bestämmelsen om tillsyn är allmänt hållen för att omfatta tjänsteleverantörens verksamhet ur ett större perspektiv, till exempel även i fråga om korruption och missbruk. För att lyfta fram betydelsen av att biometriupptagningen går rätt till är det därför meningsfullt att det framgår av bestämmelsen att övervakningen särskilt ska avse tjänsteleverantörens utförande av uppgiften.
I syfte att skapa ett effektivt enhetligt system bör det finnas en möjlighet för Regeringskansliet att samarbeta med andra svenska myndigheter i fråga om kontroll av den externa tjänsteleverantörens verksamhet. Det bör även finnas en möjlighet för Regeringskansliet att samarbeta med övriga Schengenländers tillsynsutövare på sätt
142
| Ds 2026:8 | Det föreslagna regelverket |
som redan görs med stöd av viseringskodexen. Förordningens lydelse behöver därför utformas på ett sådant sätt att denna typ av samarbete möjliggörs. Av bestämmelsen ska det framgå att Regeringskansliet har en skyldighet att säkerställa att det genomförs regelbundna kontroller av den externa tjänsteleverantörens verksamhet. Lydelsen öppnar upp för att en annan aktör än Regeringskansliet kan utföra dessa kontroller. De svenska myndigheter som främst kan komma i fråga är Migrationsverket, berörda utlandsmyndigheter och Integritetsskyddsmyndigheten. I den mån tjänsteleverantörens verksamhet redan övervakas och kontrolleras i samarbete med andra medlemsstaters tillsynsorgan i ärenden om Schengenviseringar kan denna tillsyn även få avse de kontroller som ska utövas enligt denna bestämmelse. Detta omfattar även den kontroll som EU kommissionen genom eu-LISA idag gör av kvaliteten av den biometri som tjänsteleverantören tar upp. Inom det gemensamma tillsynssamarbete som sker i dag ska den som utövat tillsynen dela resultatet med övriga berörda myndigheter. Om Regeringskansliet använder denna möjlighet bör det därför krävas att Regeringskansliet får ta del av resultatet av den tillsyn som utövats inom Schengensamarbetet. Det system som redan används inom Schengensamarbetet ska alltså med fördel även kunna användas i ärenden om uppehållstillstånd och nationell visering.
10.3.3Samarbetsavtalet
Som vi redan berört i avsnitt 10.3.2 ska, enligt den föreslagna förordningens 4 §, avtalet mellan Regeringskansliet och den externa tjänsteleverantören innehålla en lägsta nivå i fråga om vissa avtalsvillkor och krav. I det följande redogörs för hur dessa områden närmare bör regleras i avtalet, som i detta avsnitt kommer att benämnas samarbetsavtalet. Utredningens förslag går ut på att ett motsvarande system som det som används i ärenden i Schengenviseringar ska införas i ärenden om uppehållstillstånd och nationell visering. Det avtal som för närvarande används inom det samarbetet kommer därför att utgöra jämförelsematerial. I den kommande redogörelsen kommer detta avtal att benämnas Schengenavtalet. Schengenavtalet är heltäckande och reglerar även andra områden än sådana som omfattas av utredningens uppdrag,
143
| Det föreslagna regelverket | Ds 2026:8 |
som till exempel avtalsparternas inbördes förhållande. Denna typ av avtalsvillkor redovisas inte närmare i kommande avsnitt. I stället berörs här de olika aspekter som samarbetsavtalet minst måste reglera för att garantera till exempel enskildas rättssäkerhet och skyddet för personuppgifter.
Avtalsvillkor om regelefterlevnad
Utredningens förslag
Samarbetsavtalet ska innehålla avtalsvillkor om regelefterlevnad. Genom sådana avtalsvillkor ska den externa tjänsteleverantören bli skyldig att följa de svenska lagar och förordningar som är tillämpliga vid utförandet av uppgiften, barnkonventionen och andra internationella rättsliga åtaganden.
Som tidigare nämnts är samarbetsavtalet en mycket viktig del i det regelverk som behöver finnas vid ett överlämnande av upptagning av biometri. Det är endast på detta sätt som den externa tjänsteleverantören kan bli rättsligt bunden att följa för uppgiften nödvändiga svenska och internationella regelverk. Schengenavtalet – framför allt ramavtalet och dess bilagor, i synnerhet bilagorna som benämns kravspecifikation och uppförandekod – innehåller flera klausuler som föreskriver att tjänsteleverantören ska följa och utföra tjänsten i enlighet med särskilt angivna regelverk. Detta är så kallade ”compliance”-klausuler som handlar om regelefterlevnad. En av dessa regelefterlevnadsklausuler innebär att den externa tjänsteleverantören (och i förekommande fall dess underleverantör) måste följa samtliga svenska lagar och förordningar som är tillämpliga vid utförandet av tjänsten. Detta omfattar alltså grundläggande principer och fri- och rättigheter som finns i regeringsformen samt sådana förvaltningsrättsliga principer och allmänna krav på handläggningen som myndigheter ska iaktta i sitt verksamhetsutövande. Även sekretessbestämmelser i offentlighets- och sekretesslagen omfattas. Denna regelefterlevnadsklausul innebär dock inte att den externa tjänsteleverantören likställs med en svensk myndighet eller att det finns ett straffrättsligt ansvar för tjänste-
144
| Ds 2026:8 | Det föreslagna regelverket |
leverantörens personal. På samma sätt finns det en regelefterlevnadsklausul som innebär att tjänsteleverantören måste följa regelverk till skydd för personuppgifter, till exempel dataskyddsförordningen och utlänningsdatalagen. I fråga om internationella åtaganden finns det regelefterlevnadsklausuler som omfattar till exempel barnkonventionen, FN:s konvention mot korruption och FN:s allmänna förklaring om de mänskliga rättigheterna. I Schengenavtalet finns det vidare villkor om att den externa tjänsteleverantörens personal är skyldig att följa tillämpliga lagar och förordningar som är relevanta för utförandet av uppgiften.
Det är av stor vikt att även samarbetsavtalet innehåller avtalsvillkor om regelefterlevnad. På detta sätt binds tjänsteleverantören att följa samma regler som hade gällt för en svensk myndighet vid utförandet av uppgiften. Samarbetsavtalet ska därför innehålla avtalsvillkor om regelefterlevnad som omfattar för uppgiften tillämpliga svenska lagar och förordningar, barnkonventionen och andra relevanta internationella åtaganden, till exempel funktionsrättskonventionen, samt regelverken till skydd för personuppgifter. Detta utgör en garanti för att till exempel enskildas rättssäkerhet och skyddet för personuppgifter upprätthålls vid ett överlämnande av uppgiften. Tanken är att uppgiften ska utföras på samma sätt och med respekt för samma grundläggande principer, fri- och rättigheter och bestämmelser som hade gällt om en svensk myndighet hade utfört uppgiften. Trots att villkor om regelefterlevnad inte innebär att tjänsteleverantören likställs med en myndighet ska uppgiften likväl utövas under lagarna. Detta medför ett visst skydd för legalitetsprincipen som hade gällt om en myndighet utförde uppgiften. Det bör vidare även finnas avtalsvillkor som innebär att tjänsteleverantörens personal är skyldig att följa samma regelverk som tjänsteleverantören.
Trots att villkor om regelefterlevnad ger ett övergripande skydd för de aspekter som måste garanteras vid ett överlämnande, finns det anledning att i vissa avseenden närmare detaljreglera de olika områdena. Hur detta ska göras redovisas i det följande.
145
| Det föreslagna regelverket | Ds 2026:8 |
Krav och villkor till skydd för enskildas rättssäkerhet
Utredningens förslag
Samarbetsavtalet ska innehålla specifika avtalsvillkor som syftar till att garantera enskildas rättssäkerhet. Avtalsvillkoren ska reglera ett skydd för grundläggande principer och fri- och rättigheter samt förvaltningsrättsliga principer.
Samarbetsavtalet mellan Regeringskansliet och den externa tjänsteleverantören behöver innehålla avtalsvillkor som syftar till att enskildas rättssäkerhet garanteras vid ett överlämnande. Detta kommer till uttryck i 4 § andra punkten i den föreslagna förordningen av vilken det följer att avtalet ska reglera Regeringskansliets och den externa tjänsteleverantörens ansvar för att uppgiften utförs på ett sådant sätt att enskildas rättssäkerhet och barns rättigheter garanteras. Dessa avtalsvillkor och krav tar sikte på att reglera ett skydd för grundläggande principer och fri- och rättigheter samt förvaltningsrättsliga principer och allmänna krav på handläggningen av ärenden. I det följande ges förslag på vilka avtalsvillkor som behöver finnas med i avtalet och hur dessa kan utformas.
Grundläggande principer och fri- och rättigheter
Samarbetsavtalet behöver inledningsvis innehålla villkor och krav som garanterar allas lika värde och respekt för den enskildes frihet och värdighet samt förbud och förfaranden mot diskriminering.
Denna typ av avtalsvillkor finns i Schengenavtalet. Enligt viseringskodexens bilaga X ska avtalet innehålla villkor om att den externa tjänsteleverantören är skyldig att säkerställa att personalen i samband med utförandet av sina uppgifter respekterar sökandens värdighet och integritet och inte diskriminerar människor på någon av de diskrimineringsgrunder som anges i bilagan. I Schengenavtalet finns det klausuler av denna sort. Den externa tjänsteleverantören ska bland annat leverera samtliga tjänster på ett rättvist och jämställt sätt i förhållande till sökanden, till exempel ska personalen hjälpa en sökande som inte är läs- eller skrivkunnig eller som på grund av en
146
| Ds 2026:8 | Det föreslagna regelverket |
funktionsvariation inte själv kan fylla i en ansökan. Lokalerna ska också vara tillgängliga för alla, oavsett fysiska förutsättningar. Det finns även ett avtalsvillkor om att all typ av diskriminering är förbjuden. Detta diskrimineringsförbud står emellertid under rubriken personal, varför den förefaller avse diskriminering av tjänsteleverantörens anställda snarare än sökanden.
Samarbetsavtalet bör innehålla villkor som medför ett ansvar för Regeringskansliet att säkerställa att tjänsteleverantörens upptagning av biometri sker utan diskriminering och med respekt för sökandens värdighet och integritet samt att tjänsteleverantören har lämpliga förfarandesätt om det skulle vara så att det uppstår svårigheter med att ta upp biometri. En sådan bestämmelse ska även omfatta personalens agerande. Det är vidare nödvändigt att samarbetsavtalet innehåller en tydlig och generell reglering om att all form av diskriminering av sökanden är förbjuden och att tjänsteleverantören ska utföra tjänsten på ett rättvist och jämställt sätt. Det bör i detta syfte även finnas avtalsvillkor om att tjänsteleverantörens tjänster och lokaler ska vara tillgängliga för alla, oavsett funktionsvariationer. För det fall tjänsteleverantörens personal inte lever upp till de krav som ställs på denna behöver det i avtalet föras in en möjlighet för den svenska avtalsparten att kunna bestämma över valet av personal. Sådan bestämmanderätt finns i Schengenavtalet. I fråga om personal behöver samarbetsavtalet vidare innehålla avtalsvillkor som innebär att såväl Regeringskansliet som tjänsteleverantören är skyldiga att säkerställa att upptagningen av fingeravtryck och fotografi utförs av kvalificerad och behörig personal i enlighet med lag och de krav och villkor som regleras i avtalet. Det behöver i detta syfte finnas villkor som innebär att Regeringskansliet ska säkerställa att den externa tjänsteleverantören och dess personal får nödvändig utbildning för att kunna utföra biometriupptagningen i enlighet med lag och uppställda krav samt ge tillräcklig information till sökandena. Liknande bestämmelser finns i viseringskodexen men ska i ärenden om uppehållstillstånd och nationell visering i stället regleras i samarbetsavtalet i avsikt att inte tynga förordningen med allt för mycket detaljreglering.
I fråga om skydd mot integritetsintrång innehåller Schengenavtalet flertalet bestämmelser och avtalsvillkor som reglerar hantering av personuppgifter, dataskydd och dataintrång. Dessa redogörs för närmare nedan. I fråga om det fysiska intrånget – själva
147
| Det föreslagna regelverket | Ds 2026:8 |
tagandet av fingeravtrycken och fotografiet – är medlemsstaterna skyldiga att säkerställa att detta görs i enlighet med de rättigheter och garantier som fastställs i bland annat Europakonventionen. En liknande bestämmelse för Regeringskansliet ansvar i denna fråga föreslås i 5 § i den nya förordningen. Att detta krav efterlevs i praktiken får emellertid hanteras genom olika medel för kontroll. Till exempel anges det i kravspecifikationen att användande av övervakningskamera är av särskild vikt vid upptagning av biometri. Detta görs inte bara för att kontrollera att rätt person lämnar biometri utan även för att garantera ett korrekt bemötande och genomförande. Liknande avtalsvillkor i form av övervakning av upptagningen av biometri i syfte att säkerställa att uppgiften utförs på rätt sätt bör finnas även samarbetsavtalet.
Förvaltningsrättsliga principer
Grunderna för god förvaltning återges i avsnitt 6.2.4. I fråga om användande av en extern tjänsteleverantör för upptagning av biometri är det i huvudsak legalitetsprincipen (som redan behandlats i det föregående), objektivitetsprincipen, serviceskyldighet och tillgänglighet som är av relevans. Därutöver aktualiseras även allmänna krav om partsinsyn och kommuniceringsskyldighet, jäv och kostnadseffektivitet.
Objektivitetsprincipen och legalitetsprincipen syftar båda till att garantera allas likhet inför lagen och att myndigheter iakttar saklighet och opartiskhet i sin handläggning av ärenden. Jäv i sin tur syftar till att garantera objektivitetsprincipen. I Schengenavtalet finns inte några direkta bestämmelser som anger att tjänsteleverantören ska iaktta saklighet och opartiskhet vid utförandet av uppgiften. Inte heller finns det någon tydlig reglering i fråga om jäv i förhållande till sökanden, till exempel att den som är jävig inte får delta i handläggningen av ett särskilt ärende. Det finns däremot villkor som ålägger tjänsteleverantören att informera Justitiedepartementet om omständigheter som kan resultera i intressekonflikter eller diskvalificering på grund av avsaknad av opartiskhet. Av denna klausul framgår det emellertid även att tjänsteleverantören vid utövandet av tjänsterna ska garantera och representera Justitiedepartementet och dess intressen. Avtalsvillkoret om intresse-
148
| Ds 2026:8 | Det föreslagna regelverket |
konflikter och jäv förefaller således utifrån skrivningen särskilt avse förhållandet mellan avtalsparterna.
Avsaknaden av tydlig reglering i fråga om saklighet, opartiskhet och jäv i förhållande till sökanden kan bero på att sådana frågor främst aktualiseras vid beslutsfattande, och det är en uppgift som tjänsteleverantören inte får lov att utföra. När det gäller jäv aktualiseras sådana frågor endast i de fall som en handläggare har en åtminstone teoretisk möjlighet att handla subjektivt och partiskt. En myndighet kan därför i vissa uppenbara fall bortse från risken för jäv (se 16 § andra stycket FL). Exempel på sådana situationer har tagits upp i förarbetena och utgörs av när en handläggare tar befattning med rena serviceärenden och sådana registreringsärenden som är helt rutinartade och inte kräver några överväganden av den arten att fråga kan uppkomma om partiskhet eller opartiskhet.
Även om upptagningen av biometri sker övervakat och enligt gällande rutiner kan det inte uteslutas att det kan förekomma subjektivt och partiskt, eller till och med korrupt, agerande vid utförandet av uppgiften. De uppgifter som tas fram ur det biometriska underlaget kan i slutändan påverka beslutet om uppehållstillstånd eller nationell visering. Det finns därför anledning att i samarbetsavtalet föra in avtalsvillkor om att tjänsteleverantören och dess personal är skyldiga att agera sakligt och opartiskt vid utförandet av uppgiften och att den som är jävig inte får delta i handläggningen av ett visst ärende. En annan fördel med en tydlig reglering är att det blir klart enklare för tjänsteleverantören att uppfylla sin skyldighet om regelefterlevnad om samarbetsavtalet är tydligt i fråga om vilka grundläggande principer som följer av svensk lag.
Andra typer av avtalsvillkor som ger uttryck för objektivitetsprincipen och som syftar till att tjänsteleverantörens handläggning sker sakligt och opartiskt är avtalsvillkor som handlar om att motverka missbruk och korruption. Exempel på ett sådant avtalsvillkor är att varken tjänsteleverantören eller personalen får ge eller ta emot mutor eller olämpliga förmåner eller erbjudanden om betalning. Liknande avtalsvillkor bör införas i samarbetsavtalet. Missbruk och korruption kommer att behandlas mer ingående i det kommande.
Samarbetsavtalet behöver vidare innehålla avtalsvillkor som reglerar tjänsteleverantörens ansvar i fråga om serviceskyldighet och
149
| Det föreslagna regelverket | Ds 2026:8 |
tillgänglighet. Ledning i dessa frågor kan med fördel tas i Schengenavtalet som i fråga om service är mycket utförligt. Att god service utgör en viktig del av samarbetet i ärenden om Schengenviseringar framgår tydligt av framför allt Schengenavtalet, även om det i viseringskodexens bilaga X också nämns att tjänsteleverantörens personal ska bemöta sökanden på ett artigt sätt. Av Schengenavtalet framgår det att tjänsteleverantörens personal ska ha rätt kompetens och utföra sina tjänster på ett professionellt sätt och korrekt vis. Vidare innehåller Schengenavtalet flera avtalsvillkor som syftar till att upprätthålla en hög nivå av service. Tjänsteleverantören ska bland annat se till att dess personal är kvalificerad, med fördel flerspråkig samt får utbildning i juridik, god kundservice och tillvägagångssättet för upptagning av biometri. Tjänsteleverantören ska även anställa tillräckligt med personal för att säkerställa god service och minimerad väntetid. Vidare ska tjänsteleverantören erbjuda flera betalningsmetoder och lämna ut kvitto som tydligt visar hur stor del av summan som avser viseringsavgift respektive serviceavgift. Det finns också tydliga villkor om öppettider, begränsad väntetid för tidsbokning och svar på e-post och telefonsamtal samt tillhandahållande av webbsida på olika språk med diverse nödvändig information. Klagomål från sökanden ska tas emot och besvaras samt vidarebefordras till utlandsmyndigheten eller Migrationsverket.
Flera av de avtalsvillkor som reglerar serviceskyldigheten ger också uttryck för krav på tillgänglighet. Som exempel på detta kan ges att relevant information ska finnas tillgänglig på tjänsteleverantörens webbsida, som i sin tur ska vara tillgänglig på det officiella språket i det land som tjänsten ges eller på engelska. Tillgänglighet garanteras även av minimikrav vad gäller öppettider – tjänsteleverantören ska enligt Schengenavtalet erbjuda sina tjänster till alla sökanden alla arbetsdagar under åtminstone sju timmar. Tjänsteleverantör ska alltså vara tillgänglig för sökanden via ansökningscentrum, hemsida samt via e-post och telefon. Tjänsteleverantören ska därtill ha kapacitet för tillgänglighet i många länder. Tjänsteleverantörens fysiska lokaler ska vara tillgänglighetsanpassade för alla människor med hänsyn till olika fysiska förutsättningar. Krav på tillgänglighet återkommer således i flera klausuler i avtalet.
150
| Ds 2026:8 | Det föreslagna regelverket |
Schengenavtalet reglerar alltså serviceskyldighet och tillgänglighet på ett detaljerat och tydligt sätt. Om liknande avtalsvillkor förs in i samarbetsavtalet kan kraven på serviceskyldighet och tillgänglighet regleras och garanteras på ett tillfredsställande sätt. Vi föreslår därför en sådan reglering.
Andra viktiga komponenter i de allmänna krav som gäller för myndigheters handläggning av ärenden är kommuniceringsskyldigheten och partsinsyn. Utredningens förslag går ut på att den externa tjänsteleverantören ska ta upp biometri. I detta ligger att tjänsteleverantören även ska erbjuda tidsbokning, lämna relevant information till sökanden, kontrollera identiteten samt lämna över insamlade uppgifter inklusive biometrin till berörd myndighet. Tjänsteleverantörens hantering av ärendet är således relativt begränsad. Schengenavtalet innehåller avtalsvillkor som innebär att tjänsteleverantören ska erbjuda sökanden möjlighet att spåra sin ansökan samt, efter Migrationsverkets godkännande, via sin hemsida ge sökanden tillgång till statusen angående sin egen ansökan. Denna typ av tjänst behöver inte tillhandahållas av tjänsteleverantören i ärenden om uppehållstillstånd och nationell visering. Det finns därför inte ett behov av att särskilt reglera kommuniceringsskyldighet och partsinsyn i samarbetsavtalet. Sökanden kan i stället få ta del av allt material i sitt ärende via Migrationsverket som handlägger ärendet fram till beslut.
Enligt förvaltningslagen ska ett ärende handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts. Bestämmelser som ger uttryck för kostnadseffektivitet kan regleras på olika sätt i avtalet, bland annat genom bestämmelser om en effektiv handläggning. I Schengenavtalet kommer det allmänna kravet om kostnadseffektivitet till uttryck på olika sätt – dels i förhållandet mellan avtalsparterna, dels i förhållandet mellan tjänsteleverantören och sökanden. Det finns avtalsvillkor som föreskriver att tjänsteleverantören har ett proaktivt ansvar för utförandet av tjänsten och att Migrationsverket och utlandsmyndigheten över tid har en välfungerande och kostnadseffektiv tjänst. Det finns även avtalsvillkor som mer tydligt pekar ut kostnadseffektivitet i den faktiska handläggningen. Till exempel ska tjänsteleverantören, för det fall det krävs fysisk säker transport av dokument till utlandsmyndigheten, säkerställa att det sker på ett kostnadseffektivt och lämpligt sätt. Vidare måste tjänste-
151
| Det föreslagna regelverket | Ds 2026:8 |
leverantören – för att tillåtas ta ut en serviceavgift av sökanden – erbjuda en hög nivå av service, vilket till exempel inbegriper en effektiv handläggning och begränsade väntetider. Denna typ av villkor syftar bland annat till att stärka den enskilde sökandens ställning i ärendehandläggningen. Vi föreslår att liknande bestämmelser, som syftar till att belysa vikten av kostnadseffektivitet, förs in i samarbetsavtalet. På så sätt säkerställs det allmänna kravet om kostnadseffektivitet.
Krav och villkor till skydd för personuppgifter
Utredningens förslag
Samarbetsavtalet ska innehålla avtalsvillkor till skydd för enskildas personuppgifter, vilket innefattar villkor som bland annat reglerar hur personuppgifter får hanteras, överföras och lagras. Det ska också innehålla avtalsvillkor som reglerar tjänsteleverantörens skyldigheter i egenskap av personuppgiftsbiträde.
Samarbetsavtalet ska innehålla villkor som syftar till att reglera Regeringskansliet och den externa tjänsteleverantörens ansvar för att uppgiften utförs på ett sådant sätt att enskildas personuppgifter skyddas.
I bilaga X till viseringskodexen räknas en rad detaljerade åtgärder upp som tjänsteleverantören är skyldig att iaktta i fråga om personuppgiftsskydd. Innehållet i bilagan har noga redogjorts för i avsnitt 4.4.6 och återupprepas inte här. De villkor som anges i bilaga X regleras främst genom det personuppgiftsbiträdesavtal som ingåtts mellan Migrationsverket och den externa tjänsteleverantören inom ramen för Schengensamarbetet. I personuppgiftsbiträdesavalet anges att tjänsteleverantören ska behandla personuppgifter i enlighet med personuppgiftsbiträdesavtalet och i överensstämmelse med bland annat viseringskodexen inklusive bilaga X. I avtalet finns en särskild klausul som reglerar hur överföring av personuppgifter ska ske, vilken är i enlighet med regleringen i bilaga X. Avtalet innehåller också ett generellt förbud för tjänsteleverantören att överföra personuppgifter till tredjeland samt en detaljerad beskrivning av hur
152
| Ds 2026:8 | Det föreslagna regelverket |
personuppgifter får lagras och tidsgränser för när personuppgifterna senast måste raderas. I personuppgiftsbiträdesavtalet anges också mer specifika säkerhetsåtgärder som tjänsteleverantören är skyldig att vidta, till exempel åtgärder som förhindrar obehörig personal från att få tillgång till personuppgifter samt åtgärder som möjliggör att i efterhand kontrollera om personuppgifter har lästs, kopierats, ändrats eller raderats och i så fall av vem.
I syfte att uppnå ett tillräckligt skydd för enskildas personuppgifter ska samarbetsavtalet med tjänsteleverantören innehålla avtalsvillkor som noga reglerar hur personuppgifter får hanteras, överföras och lagras. För att uppnå ett effektivt skydd bör de krav som följer av bilaga X användas som utgångspunkt. Det innebär till exempel att all elektronisk överföring av personuppgifter ska ske i krypterad form och att uppgifterna raderas senast sju dagar efter att de har överförts. Vidare ska avtalet innehålla säkerhetsåtgärder i syfte att skydda personuppgifter. Sådana säkerhetsåtgärder ska syfta till att skydda personuppgifter mot att förstöras genom olyckshändelse eller olagligt förfarande, eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna samt mot alla andra olagliga former av behandling av personuppgifter. De avtalsvillkor som finns i Schengenavtalet inklusive personuppgiftsbiträdesavtalet reglerar dessa aspekter på ett tillfredsställande sätt och kan alltså användas som utgångspunkt. För att det ska vara tydligt för tjänsteleverantören vad klausulerna om regelefterlevnad av dataskyddsförordningen innebär kan man med fördel i samarbetsavtalet föra in villkor som grundar sig i de krav som framgår av artikel 32 i samma förordning.
Utredningen har konstaterat att Migrationsverket enligt dataskyddsförordningen är skyldigt att ingå ett personuppgiftsbiträdesavtal med den externa tjänsteleverantören. Av dataskyddsförordningen följer en rad åligganden även för personuppgiftsbiträden, det vill säga den externa tjänsteleverantören. Eftersom det finns en risk för att den externa tjänsteleverantören inte kommer vara bunden av dataskyddsförordningen bör sådana åligganden som gäller för personuppgiftsbiträden regleras genom avtalet med den externa tjänsteleverantören. Det gäller till exempel den skyldighet som följer av artikel 28.2 för personuppgiftsbiträdet att inte utan särskilt eller allmänt skriftligt förhandstillstånd från den
153
| Det föreslagna regelverket | Ds 2026:8 |
personuppgiftsansvarige anlita ett annat personuppgiftsbiträde, det vill säga en underleverantör.
I Schengenavtalet är förutsättningarna för tjänsteleverantören att anlita en underleverantör noga reglerat. Utöver att ange samma förutsättningar för tjänsteleverantören att anlita en underleverantör som följer av dataskyddsförordningen anges bland annat också att Migrationsverket eller utlandsmyndigheten har rätt att utföra oanmälda kontroller av underleverantörer och att de ges rätt att motsätta sig användandet av en underleverantör om användandet bedöms olämpligt. En liknande avtalsklausul finns också i det personuppgiftsbiträdesavtal som ingåtts mellan Migrationsverket och den externa tjänsteleverantören inom Schengensamarbetet. Samarbetsavtalet bör innehålla en motsvarande avtalsreglering.
Av den föreslagna förordningen följer också att Regeringskansliet är skyldigt att möjliggöra för den personuppgiftsansvarige att fullgöra sina skyldigheter samt säkerställa att den externa tjänsteleverantören är föremål för Integritetsskyddsmyndigheten övervakning. Den typen av skyldigheter för Regeringskansliet kräver ytterligare avtalsreglering med tjänsteleverantören. För att uppfylla sina skyldigheter bör det av samarbetsavtalet till exempel framgå att tjänsteleverantören ska åta sig att ge svensk dataskyddsmyndighet tillgång till lokaler och övriga bevis i syfte att kontrollera att dataskyddsregler följs. Det ska också framgå att tjänsteleverantören genom samarbetsavtalet åtar sig att utan dröjsmål rapportera samtliga incidenter och klagomål från sökanden till överlämnande myndighet. På så sätt garanteras att bland annat invändningar från den registrerade hanteras i korrekt ordning.
Bestämmelser som syftar till att skydda personuppgifter sammanfaller i stor utsträckning med sådana som syftar till att skydda sekretessreglerade uppgifter. I avsnittet nedan kommenteras villkor till skydd för sekretessreglerade uppgifter särskilt. De villkoren, särskilt sådana som rör behörighet och hantering av uppgifterna, syftar givetvis också till att skydda personuppgifter.
154
| Ds 2026:8 | Det föreslagna regelverket |
Krav och villkor till skydd för sekretessreglerade uppgifter
Utredningens förslag
Samarbetsavtalet ska innehålla villkor om en avtalsreglerad tystnadsplikt för den externa tjänsteleverantören och dess anställda. Det ska vidare finnas bestämmelser som reglerar utlämnande av information till tredje part, hantering av insamlade och åtkomna uppgifter, åtkomstbegräsning till information, hindrande av obehörigas tillgång till information samt säker överföring och förvaring av uppgifter.
Som konstaterats i avsnitt 8.3.4 kan uppgifter om biometri i ärenden om uppehållstillstånd och nationell visering omfattas av sekretess. Villkor om regelefterlevnad innebär att tjänsteleverantören i sin verksamhet är skyldig att följa det svenska sekretessregelverket offentlighets- och sekretesslagen. Trots detta bör det i samarbetsavtalet införas bestämmelser om tystnadsplikt samt säker förvaring och överföring. Det behöver vidare införas avtalsvillkor som innebär att tjänsteleverantören ska iaktta att dess anställda respekterar sekretessbestämmelser, såväl under som efter sin anställning.
Utredningens förslag innebär alltså att en avtalsreglerad tystnadsplikt ska finnas med i samarbetsavtalet. Att utredningen inte föreslår en lagreglerad tystnadsplikt i svensk författning, likt den som finns i tystnadspliktslagen, beror på att en sådan inte utan vidare är tillämplig på en tjänsteleverantörs anställda i utlandet. Skillnaden mellan en avtalsreglerad och en lagreglerad tystnadsplikt är att straffrättsligt ansvar inte kan aktualiseras för den avtalsreglerade tystnadsplikten. Möjligheten att döma för brott mot tystnadsplikten som skett i tjänsteleverantörens verksamhet är emellertid avsevärt begränsat på grund av regelverket i 2 kap. brottsbalken om svensk domstols behörighet. Regleringen i fråga medför att det endast är under mycket specifika förutsättningar som svensk domstol har behörighet att döma för ett brott begånget utanför Sverige. Denna problematik lyfts också i förarbetena till tystnadspliktslagen. En lagreglerad tystnadsplikt skulle alltså enligt vår bedömning ha en betydligt begränsad effekt och under alla omständigheter behöva
155
| Det föreslagna regelverket | Ds 2026:8 |
kompletteras med en avtalsreglerad tystnadsplikt. Mot denna bakgrund finner vi inte anledning att i svensk författning föreslå en lagreglerad tystnadsplikt. Vår bedömning är att det är både effektivare och tydligare att civilrättsligt binda tjänsteleverantören och dess anställda till en tystnadsplikt. Det är också på detta sätt tystnadsplikten regleras i Schengensystemet.
I Schengenavtalet finns det en relativt utförlig reglering i fråga om sekretess. Det främsta skyddet för sekretessreglerade biometriska uppgifter finns i ramavtalets och personuppgiftsbiträdesavtalets bestämmelser om avtalsreglerad tystnadsplikt. Denna tystnadsplikt gäller både för tjänsteleverantören och dess anställda. Utlämnande av information till tredje part får endast ske efter medgivande från den avropande myndigheten. Därtill finns det tydliga bestämmelser om hur åtkomna och insamlade uppgifter får hanteras. Tjänsteleverantören ska inom sin organisation begränsa åtkomsten till information som erhålls från den avropande myndigheten samt personuppgifter, i syfte att så få personer som möjligt tar del av dessa. I personuppgiftsbiträdesavtalet finns det utförliga bestämmelser om till exempel hindrande av obehörigas tillgång till personuppgifter, begränsad åtkomst för behöriga personer samt att personuppgifter inte ska kunna läsas eller kopieras i samband med överföring eller transport. Det finns vidare uttrycklig reglering om hur överföring av biometriska uppgifter ska gå till i fråga om säkerhet, kryptering och placering av servrar. För det fall uppgifter inte kan överföras säkert elektroniskt måste tjänsteleverantören, enligt kravspecifikationen, ordna med en säker fysisk transport. I fråga om förvaring eller lagring av uppgifter finns det tydlig reglering om hur länge så får ske och när uppgifter ska raderas i tjänsteleverantörens system.
I samarbetsavtalet bör det alltså införas en motsvarande sekretessreglering som den som finns i Schengenavtalet. Detsamma gäller det personuppgiftsbiträdesavtal som Migrationsverket ska ingå med tjänsteleverantören. För det fall tjänsteleverantören eller dess anställda inte respekterar tystnadsplikten eller hanterar personuppgifter på ett felaktigt sätt bör samarbetsavtalet dessutom innehålla sanktioner för att komma till rätta med det. Till exempel bör Regeringskansliet ha möjlighet att kräva att personal som inte lever upp till kraven omplaceras eller byts ut. En annan tänkbar avtalsrättslig sanktion vid brott mot tystnadsplikten – utöver risken
156
| Ds 2026:8 | Det föreslagna regelverket |
att förlora arbetet – är att den anställda ska kunna bli skadeståndsskyldig gentemot den extern tjänsteleverantören.
Krav och villkor om motverkande av missbruk och korruption
Utredningens förslag
Samarbetsavtalet ska innehålla bestämmelser som syftar till att motverka missbruk och korruption. Dessa bestämmelser ska reglera en skyldighet för tjänsteleverantören att motverka all form av missbruk och korruption i sin verksamhet, personalens agerande och lön samt rutiner som ska gälla vid det faktiska utförandet av uppgiften. För att Regeringskansliet ska kunna uppfylla sitt tillsynsansvar finns det vidare behov av en reglering som ger tjänsteleverantören en skyldighet att informera Regeringskansliet om varje misstanke om oegentligheter, missbruk och korruption.
Ytterligare en aspekt som samarbetsavtalet behöver reglera är den externa tjänsteleverantörens ansvar för att motverka missbruk och korruption vid utförandet av uppgiften. Bestämmelser av detta slag finns i Schengenavtalet.
Enligt Schengenavtalet är tjänsteleverantörens anställda skyldiga att följa samtliga tillämpliga lagar och förordningar som är relevanta för utförandet av tjänsten. Vidare finns det avtalsvillkor som syftar till att motverka missbruk och korruption. Till exempel får tjänsteleverantörens anställda aldrig, varken direkt eller indirekt, erbjuda löfte om, föreslå, begära eller acceptera en muta eller annan otillbörlig förmån för att få eller behålla sitt arbete eller en uppgift. All form av utpressning, muta och otillbörliga erbjudanden om betalning till eller från anställda eller organisationer är alltså förbjuden. Detta ska tjänsteleverantören säkerställa. Tjänsteleverantören ska vidare – som ett sätt att motverka korruption enligt bilaga X till viseringskodexen – garantera att dess anställda har en lön som är tillräcklig för att täcka de anställdas grundläggande behov och som motsvarar de lagstadgade nivåerna. Därutöver finns det ytterligare villkor som innebär en skyldighet för tjänsteleverantören
157
| Det föreslagna regelverket | Ds 2026:8 |
att motverka korruption och missbruk i alla dess former. Till exempel ska tjänsteleverantören vidta åtgärder i den praktiska handläggningen genom att använda sig av rotation och tvåmansregeln, bland annat vid hantering av viseringsavgiften från det att sökanden betalar till dess avgiften överförts till avropande myndighet. Vid misstanke om korruption i samband med utförandet av tjänsten ska tjänsteleverantören omedelbart informera avropande myndighet.
Samarbetsavtalet bör dels innehålla allmänt hållna bestämmelser, dels mer detaljfokuserade bestämmelser. Det bör alltså finnas en bestämmelse som ger tjänsteleverantören en skyldighet att motverka all form av missbruk och korruption i sin verksamhet. Det bör vidare finnas bestämmelser likt de som redovisats ovan i fråga om personalens agerande och deras lön samt om vissa regler som ska gälla vid det faktiska utförandet av uppgiften. För att Regeringskansliet ska kunna uppfylla sitt tillsynsansvar krävs det vidare en reglering som ger tjänsteleverantören en skyldighet att informera Regeringskansliet om varje misstanke om oegentligheter, missbruk och korruption.
För det fall tjänsteleverantören eller dess anställda agerar olagligt eller på ett korrupt sätt finns det i Schengenavtalet en sanktionsklausul som ger Justitiedepartementet rätt att säga upp avtalet med omedelbar verkan. Justitiedepartementet har därtill rätt att begära omplacering av personal som saknar rätt kompetens eller utför tjänsten på ett otillfredsställande sätt. Liknande bestämmelser bör införas i samarbetsavtalet, vilka behandlas mer ingående nedan.
Krav och villkor om tillsyn och övervakning samt andra medel för kontroll
Utredningens förslag
Samarbetsavtalet ska innehålla bestämmelser som förtydligar vad Regeringskansliets tillsynsansvar innebär i praktiken samt vad tjänsteleverantören är skyldig att göra för att tillsynen ska kunna utövas.
158
| Ds 2026:8 | Det föreslagna regelverket |
Avtalet ska också innehålla bestämmelser som reglerar tjänsteleverantörens hantering av en begäran från allmänheten om att få ta del av handlingar. Det ska även införas avtalsvillkor som innebär att den externa tjänsteleverantören ska hålla Regeringskansliet fri från skadeståndsansvar vid fel och försummelser i samband med utförandet av uppgiften.
En viktig del av samarbetsavtalet är krav och villkor som reglerar Regeringskansliets och den externa tjänsteleverantörens ansvar i fråga om tillsyn och övervakning av utförandet av uppgiften. Regeringskansliets övergripande tillsynsansvar regleras i den föreslagna förordningen. Detta tillsynsansvar går i stort ut på att säkerställa att tjänsteleverantören lever upp till de krav och villkor som följer av samarbetsavtalet. Det som hittills lyfts fram som tjänsteleverantörens ansvar och skyldigheter är alltså i förlängningen även Regeringskansliets ansvar. Vad detta tillsynsansvar innebär i praktiken bör förtydligas i samarbetsavtalet, som dessutom bör reglera tjänsteleverantörens skyldigheter i förhållande till tillsynsutövningen.
Schengenavtalet innehåller flertalet klausuler och bestämmelser som rör tillsyn, kontroll och övervakning. Till att börja med ska tjänsteleverantören och Justitiedepartementet åtminstone två gånger per år ha uppföljningsmöten angående samarbetet och avtalet. Tjänsteleverantören är vidare skyldig att omedelbart meddela Justitiedepartementet om betydelsefulla ändringar i tjänsten. Alla ändringar och tillägg ska vara skriftliga och undertecknade av båda avtalsparterna. I fråga om fysisk övervakning är tjänsteleverantören skyldig att använda lämpliga övervakningsmetoder, till exempel övervakningskameror som möjliggör för livesändning hos utlandsmyndigheten. I syfte att ha kontroll över personalens kompetens finns bestämmelser om att anställda hos utlandsmyndigheten eller Migrationsverket ska delta och komma med förslag i relevanta delar av den utbildning som personalen erhåller. När det gäller behandling av personuppgifter finns särskilda bestämmelser om tillsyn och övervakning i personuppgiftsbiträdesavtalet. I fråga om intern kontroll ska tjänsteleverantören bland annat kunna visa rapporter om att det genomförts granskningar av företaget, ha ett kontrollsystem för kvalitetskontroll samt systematiskt vidta riskanalyser för sin affärs-
159
| Det föreslagna regelverket | Ds 2026:8 |
verksamhet. Utlandsmyndigheten eller Migrationsverket ska kontrollera utförandet och säkerheten av tjänsteleverantörens tjänster genom bland annat regelbundna statusmöten och inspektioner, oanmälda inspektioner samt oanmälda besök och telefonsamtal till tjänsteleverantörens ansökningscentrum för att stämma av kundservice och personalens kunskapsnivå om viseringsprocessen. Tjänsteleverantören är skyldig att bereda tillgång till sina lokaler när inspektioner ska genomföras.
I samarbetsavtalet bör det införas bestämmelser med liknande innehåll. Det bör således finnas bestämmelser som innebär att Regeringskansliet ska se till att det sker regelbundna uppföljningsmöten om hur samarbetet fungerar, att relevant övervakningsutrustning används, att tjänsteleverantören kan redovisa intern kontroll och att det regelbundet genomförs oanmälda inspektioner av tjänsteleverantörens verksamhet vad gäller utförandet och säkerheten av tjänsten. Därtill behöver det finnas bestämmelser som medför ett ansvar för tjänsteleverantören att möjliggöra för denna typ av övervakning och kontroll.
Utöver Regeringskansliets tillsynsansvar finns det anledning att införa bestämmelser om andra medel för kontroll i samarbetsavtalet. Ett sådant medel för kontroll rör offentlighetsprincipen. Rätten att ta del av allmänna handlingar är en garanti för rättssäkerhet och för effektivitet i förvaltningen. Utan särskild reglering i frågan är det tjänsteleverantören själv som tar emot och hanterar en begäran från allmänheten om att få ta del av en allmän handling. I Schengenavtalet är detta emellertid reglerat. Varje begäran som tjänsteleverantören tar emot om att lämna ut information som tjänsteleverantören fått tillgång till vid utförandet av tjänsterna ska omedelbart vidarebefordras till avropande myndighet. Det framgår också att tjänsteleverantören inte får lämna ut informationen utan ett skriftligt medgivande från avropande myndighet. Det gäller även information som tjänsteleverantören samlar in åt den som avropat tjänsten. Även om tjänsteleverantörens hantering av den insamlade biometrin (som får anses utgöra en allmän handling) är kortvarig finns det anledning att föra in liknande bestämmelser i samarbetsavtalet. Det bör vara Regeringskansliet, eller den som Regeringskansliet anser lämpad, som ska ta emot en sådan vidarebefordrad begäran.
Ett annat medel för kontroll är straffrättsligt ansvar för till exempel tjänstefel, mutbrott och brott mot tystnadsplikten. Någon
160
| Ds 2026:8 | Det föreslagna regelverket |
sådan reglering finns av förklarliga skäl inte med i regelverket för Schengenviseringar. I Schengenavtalet finns det emellertid, som tidigare nämnts, en avtalsreglerad tystnadsplikt för såväl tjänsteleverantören som dess anställda. Tystnadsplikten gäller även efter att avtalet löpt ut. En liknande bestämmelse om tystnadsplikt finns också i personuppgiftsbiträdesavtalet och avser samtliga personuppgifter som tjänsteleverantörens anställda kommer i kontakt med. Den här typen av avtalsreglerad tystnadsplikt bör finnas med även i samarbetsavtalet. Om tjänsteleverantörens personal saknar rätt kompetens eller utför tjänsten på ett otillfredsställande sätt har Justitiedepartementet enligt Schengenavtalet rätt att kräva att denna ska ersättas av personal som uppfyller kraven, till exempel kravet om tystnadsplikt. Denna relativt långtgående rätt att bestämma över tjänsteleverantörens personal garanterar även att ageranden som skulle kunna innebära tjänstefel och mutbrott inte accepteras och att en anställd som agerar på det sättet inte längre får utföra tjänsten. Då straffrättsligt ansvar inte kan komma i fråga bör denna typ av kontroll eller bestämmanderätt över tjänsteleverantörens personal regleras i samarbetsavtalet.
I avsnitt 6.4 konstaterade utredningen att fel och försummelser i samband med upptagning av biometri hos den externa tjänsteleverantören kan medföra en skadeståndsskyldighet för staten. Full kontroll över denna risk går inte att uppnå, men det finns möjlighet att i samarbetsavtalet införa en bestämmelse om att Regeringskansliet ska hållas skadelöst, eller fri från skadeståndsansvar, vid sådana händelser. I Schengenavtalet finns det bestämmelser som i fråga om skadeståndsansvar stadgar att tjänsteleverantören ska hålla den avropande myndigheten – i detta fall utlandsmyndigheten eller Migrationsverket – fri från skadeståndsansvar för det fall tjänsteleverantören orsakar en sökande eller tredje part skada eller förlust. Liknande avtalsreglering bör som ett medel för kontroll föras in i samarbetsavtalet. Det kan till exempel handla om att den externa tjänsteleverantören ska hålla Regeringskansliet skadelöst, eller fri från skadeståndsansvar, om tjänsteleverantören orsakar sökanden skada. Om sökanden likväl vänder sig till svenska staten för att kräva skadestånd bör denna bestämmelse om skadelöshet även innebära en skyldighet för tjänsteleverantören att ersätta denna kostnad.
161
| Det föreslagna regelverket | Ds 2026:8 |
Krav och villkor vid användande av underleverantör
Utredningens förslag
Samarbetsavtalet ska innehålla en tydlig reglering av de krav och villkor som gäller när den externa tjänsteleverantören använder sig av en underleverantör. Denna reglering ska i huvudsak innebära att samma krav och villkor gäller för underleverantören som för tjänsteleverantören, och att tjänsteleverantören är skyldig att säkerställa att detta efterlevs.
För det fall den externa tjänsteleverantören behöver använda sig av en underleverantör för att utföra uppgiften ska som huvudregel alla de krav och villkor som ställs upp för tjänsteleverantören även gälla för underleverantören.
I Schengenavtalet regleras användandet av underleverantörer noggrant. Tjänsteleverantören är skyldig att tillhandhålla en lista över de underleverantörer som kan komma att utföra uppgiften. Den avropande myndigheten har rätt att kontrollera underleverantörerna på listan och neka användande av aktörer som bedöms olämpliga. Därtill måste all användning av en underleverantör skriftligen godkännas av den avropande myndigheten. Det finns vidare bestämmelser som förpliktigar tjänsteleverantören att säkerställa att underleverantören uppfyller alla de krav som gäller för tjänsteleverantören när underleverantören utför uppgiften. Det förtydligas alltså att användandet av en underleverantör inte förändrar de skyldigheter som åläggs tjänsteleverantören genom avtalet. Tjänsteleverantören är vidare skyldig att fullt ut ansvara för underleverantörens tjänsteutförande som om det vore dess eget. Slutligen finns det även villkor som tydliggör att tjänsteleverantörens underleverantör aldrig kan kräva något från den avropande myndigheten eller Justitiedepartementet.
En motsvarande reglering bör införas i samarbetsavtalet. Det är viktigt att poängtera att en underleverantör måste uppfylla de krav och villkor som gäller för tjänsteleverantören och att det är tjänsteleverantören som bär ansvaret för att säkerställa detta. Det är också nödvändigt att förtydliga att underleverantören är i avtalsförhållande med tjänsteleverantören, inte den svenska
162
| Ds 2026:8 | Det föreslagna regelverket |
avtalsparten. Det ska alltså inte vara någon skillnad för vare sig sökanden eller den svenska avtalsparten om tjänsteleverantören väljer att använda en underleverantör.
Avtalsreglerade sanktioner
Utredningens förslag
Samarbetsavtalet ska innehålla tydliga avtalsvillkor om sanktioner vid avtalsbrott. Dessa bestämmelser ska innebära att tjänsteleverantören riskerar rättelse, böter, skadestånd samt hävning och uppsägning av avtalet för det fall den inte uppfyller de krav som följer av samarbetsavtalet.
För att de aspekter som behöver garanteras vid ett överlämnande ska kunna upprätthållas är det viktigt att sanktioner kan inträda om den externa tjänsteleverantören inte uppfyller de krav och villkor som följer av samarbetsavtalet. Dessa sanktioner ska därför regleras tydligt i samarbetsavtalet och blir därmed ytterligare ett medel för kontroll, och ett centralt sådant.
I Schengenavtalet kan avtalsreglerade sanktioner inträda om tjänsten är att bedöma som bristfällig eller felaktigt utförd. Så kan vara fallet om tjänsten eller resultatet av den inte uppfyller kraven som anges i avtalet, det lokala avtalet, personuppgiftsbiträdesavtalet eller senare tillkomna specifikationer. Tjänsten kan också bedömas bristfällig om resultatet av den inte uppfyller vad tjänsteleverantören åtagit sig att leverera eller om tjänsteleverantören före avtalsingåendet medvetet undanhållit information av betydelse för Justitiedepartementet. Om tjänsten bedöms bristfällig eller felaktig ska avropande myndighet meddela tjänsteleverantören och begära rättelse. Avropande myndighet kan också kräva tjänsteleverantören på böter. Ytterligare en sanktion är möjligheten att kräva skadestånd i enlighet med svensk rätt.
För det fall Justitiedepartementet under avtalsperioden finner att kraven i avtalet eller kraven i personuppgiftsbiträdesavtalet inte upprätthålls har departementet rätt att utan förhandsbesked häva avtalet med omedelbar verkan. Det gäller även om det på objektiva
163
| Det föreslagna regelverket | Ds 2026:8 |
grunder kan misstänkas att kraven inte följs eller om sökandens personuppgifter äventyras. Justitiedepartementet har vidare rätt att säga upp avtalet med omedelbar verkan om tjänsteleverantören eller dess personal agerar olagligt eller korrupt, om tjänsteleverantören annars agerar på sådant sätt att det ur allmänhetens synvinkel vore stötande eller förkastligt om Justitiedepartementet fortsatte med samarbetet eller om tjänsteleverantören blir insolvent, likvideras, försätts i konkurs eller på annat sätt upphör. Detsamma gäller om tjänsteleverantören till exempel underlåter att följa krav av betydelse såsom kraven i personuppgiftsbiträdesavtalet, bryter mot villkoren i avtalet eller om det föreligger grund för uteslutning enligt lagen (2016:1147) om upphandling av koncessioner.
Dessa avtalsreglerade sanktioner utgör en viktig funktion i samarbetsavtalet. Det är främst genom dessa sanktioner som Regeringskansliet kan komma till bukt med ageranden som står i strid med de krav som ställs på tjänsteleverantören. Det finns därför behov av att ta in en motsvarande avtalsreglering i regelverket för ärenden om uppehållstillstånd och nationell visering. Ledning kan med fördel tas i hur de avtalsreglerade sanktionerna är utformade i Schengenavtalet eftersom denna är tydlig och uttömmande.
10.3.4Finansiering av förslaget
Utredningens förslag
Tjänsteleverantörens uppgift att ta upp biometri i ärenden om uppehållstillstånd och nationell visering ska finansieras genom att sökanden åläggs att betala en serviceavgift.
För att möjliggöra det ska en bestämmelse införas i utlänningslagen som ger regeringen möjlighet att meddela föreskrifter om att den externa tjänsteleverantören har rätt att ta ut en serviceavgift av dem som i samband med ansökan om uppehållstillstånd eller nationell visering nyttjar möjligheten att komplettera ansökan med biometriuppgifter hos den externa tjänsteleverantören. Serviceavgiften ska vara skälig och återspegla de tjänster som den externa tjänsteleverantören tillhandahåller. Avgiften ska också stå i proportion till den externa tjänste-
164
| Ds 2026:8 | Det föreslagna regelverket |
leverantörens kostnader för skötseln av de uppgifter som överlämnats till den. Detta ska framgå av den förordning som utredningen föreslår. Därutöver ska samarbetsavtalet innehålla bestämmelser som binder tjänsteleverantören i fråga om att ta ut en serviceavgift och dess storlek.
I utredningens uppdrag ligger att föreslå hur det kan säkerställas att tjänsteleverantörens tjänster bedrivs på ett så kostnadseffektivt sätt som möjligt och hur verksamheten ska finansieras. Som utgångspunkter anges att tjänsteleverantörens tjänster ska bedrivas så kostnadseffektivt som möjligt och att statens kostnader inte får öka. Tjänsteleverantörsutredningen hade motsvarande utgångspunkter för den bedömning som gjordes i betänkandet Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36). Där angavs följande
De alternativ som utredningen har att överväga är om tjänsteleverantören ska få betalt för sina tjänster från den svenska staten eller om denne i stället helt eller delvis ska erhålla ersättning för sina tjänster från de sökande som nyttjar dem. Eftersom en utläggning av uppgifter i ärenden om uppehålls- och arbetstillstånd inte får innebära att statens kostnader ökar torde staten – vid en finansieringsmetod där tjänsteleverantören erhåller ersättning för sina tjänster från den svenska staten
–vara tvungen att höja ansökningsavgiften för uppehålls- och arbetstillstånd generellt. Härigenom skulle alla de som ansöker om uppehålls- och arbetstillstånd i Sverige bekosta tjänsteleverantörens tjänster – under förutsättning att han eller hon är skyldiga att betala en ansökningsavgift – alldeles oavsett om han eller hon utnyttjar dem eller inte. Ett annat alternativ är att endast de som utnyttjar tjänsteleverantörens tjänster får betala för den service som han eller hon får genom att betala en avgift, en s.k. serviceavgift, till tjänsteleverantören.
[…]Enligt utredningens mening bör tjänsteleverantörens service bekostas av de som använder tjänsterna.
Utredningen ansluter sig till Tjänsteleverantörsutredningens överväganden. Enligt vår bedömning bör således tjänsteleverantörens service bekostas av de som använder tjänsten. Som konstateras i Tjänsteleverantörsutredningen kan det – trots denna extra avgift – bli billigare för den sökande att vända sig till en extern tjänsteleverantör eftersom han eller hon därigenom kan erbjudas en högre grad av service och tillgänglighet, minskad tidsåtgång och minskade kostnader för resor.
165
| Det föreslagna regelverket | Ds 2026:8 |
Enligt utredningens bedömning utgör en bestämmelse som ger den externa tjänsteleverantören rätt att ta ut en serviceavgift från enskilda en sådan föreskrift som enligt 8 kap. 2 § RF ska meddelas genom lag men där delegering enligt 8 kap. 3 § RF är möjlig. Utredningen föreslår därför att det i utlänningslagen införs en bestämmelse som ger regeringen rätt att meddela föreskrifter om rätt för den externa tjänsteleverantören att ta ut serviceavgift. Serviceavgiftens storlek ska regleras i avtalet med den externa tjänsteleverantören. Avgiften bör vara skälig och återspegla de tjänster som den externa tjänsteleverantören tillhandahåller. Avgiften bör också stå i proportion till den externa tjänsteleverantörens kostnader för den uppgift som lagts ut på den. Detta bör framgå av en bestämmelse i den förordning som utredningen föreslår. En liknanden bestämmelse finns i viseringskodexen.
I samarbetsavtalet behöver det införas villkor som binder den externa tjänsteleverantören i fråga om att ta ut en serviceavgift och dess storlek. Sådana bestämmelser finns i Schengenavtalet. Samarbetsavtalet ska alltså innehålla en grundläggande bestämmelse om serviceavgiften som reglerar att tjänsteleverantören har rätt att ta ut en serviceavgift från sökanden, att storleken på serviceavgiften ska motsvara och stå i proportion till kostnaderna för utförandet av tjänsten och att serviceavgiften måste täcka alla kostnader för tjänsten i förhållande till sökanden. Bestämmelsen bör även reglera att serviceavgiften ska vara densamma inom ett land och att serviceavgifter så långt möjligt motsvarar varandra i jämförbara länder.
Det bör därtill finnas villkor som innebär att tjänsteleverantören måste erbjuda en hög nivå av service för att rättfärdiga att en serviceavgift tas ut av sökanden utöver viseringsavgiften. Denna typ av villkor innebär bland annat att ärenden måste handläggas effektivt, vilket ger uttryck för principen om kostnadseffektivitet och syftar till att stärka den enskilde sökandens ställning i ärendehandläggningen. Avtalet bör slutligen även innehålla bestämmelse om att serviceavgiften ska vara föremål för granskning och revidering efter ett visst tidsintervall samt att höjning av avgiften endast får ske efter skriftligt godkännande från den avropande myndigheten. Samarbetsavtalet kan med fördel också reglera på vilka grunder en höjning av serviceavgiften får ske, till exempel att höjning
166
| Ds 2026:8 | Det föreslagna regelverket |
endast får baseras på en ökning av kostnader som tjänsteleverantören inte kan styra över.
Utredningens förslag innebär alltså att en förvaltningsuppgift anförtros tjänsteleverantören och att ersättningen för utförande av uppgiften består i en rätt för tjänsteleverantören att ta ut en avgift från den som utnyttjar tjänsten. Den föreslagna finansieringen innebär således att upplägget utgör en tjänstekoncession, vilket innebär att lagen om upphandling av koncessioner ska tillämpas då svenska myndigheter upphandlar utläggningen av uppgiften.
167
11Lämpligheten i ett överlämnande enligt förslaget
11.1Inledning
I utredningens uppdrag ingår att belysa för- och nackdelar med ett överlämnande av uppgiften att ta upp biometri i ärenden om uppehållstillstånd och nationell viseringen. Det ingår också att ta ställning till lämpligheten i ett överlämnande. De delarna av uppdraget redovisas i detta kapitel. I nästkommande avsnitt belyser
viför- och nackdelar med överlämnandet. Därefter bedöms förslagets lämplighet i relation till var och en av de aspekter som i uppdragsbeskrivningen identifierats som grundläggande för bedömningen av förslagets lämplighet, det vill säga enskildas rättssäkerhet samt regelverken om sekretess, personuppgiftsbehandling och säkerhetsskydd. Risken för missbruk och korruption kommenteras också särskilt. Slutligen följer vår sammantagna bedömning i fråga om förslagets lämplighet.
11.1.1För- och nackdelar med ett överlämnande
För att bedöma fördelarna med förslaget är det nödvändigt att först identifiera behovet av ett överlämnande. Svenska utlandsmyndigheter bistår regelbundet Migrationsverket i ärenden om uppehållstillstånd. Enligt statistik från Migrationsverket begär Migrationsverket bistånd från svenska utlandsmyndigheter i ärenden om uppehållstillstånd i omkring 50 000 ärenden per år. Begäran om bistånd avser inte uteslutande upptagning av biometri utan kan också avse till exempel begäran om passkontroll och intervjuer. Det är dock ett rimligt antagande att en stor andel av fallen avser en begäran om upptagning av biometri. Utifrån de
169
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
beräkningar som redogörs för i kapitel 13 framstår detta antagande som välgrundat. Redan idag utförs alltså biometriupptagning av utlandsmyndigheterna i ett stort antal ärenden.
Det genomförs dessutom förändringar som kommer att påverka både Migrationsverkets och utlandsmyndigheternas biometriupptagning på sikt. Förändringarna innebär dels att biometri måste tas upp i nära anslutning till ansökan, dels att upptagning av biometri kommer behöva ske i fler fall än idag. En av förändringarna som påverkar handläggningen av ärenden om uppehållstillstånd är den del av Etias-förordningen som förväntas träda i kraft under sista kvartalet i år. Genom Etias-förordningen ska tredjelandsmedborgare som är undantagna från kravet på visering ansöka och få ett beslut om resetillstånd, innan de reser till Schengenområdet. Det innebär att upptagning av biometri för viseringsfria personer som beviljats uppehållstillstånd inte fortsättningsvis kan anstå tills personen anlänt till Sverige. En annan förändring är att det genom nationella lagändringar kommer att införas krav på upptagning av biometri även i ärenden om nationell visering. Svenska utlandsmyndigheter handlägger omkring 1 500 ärenden om nationell visering per år.
Allt detta kommer öka besöksbelastningen, medföra ökade arbetsuppgifter och ökade behov av säkerhetsåtgärder vid utlandsmyndigheterna samt generera längre handläggningstider hos Migrationsverket. Utifrån vad utredningen har erfarit är det troligt att utlandsmyndigheterna med nuvarande kapacitet i fråga om resurser och lokaler inte har förutsättningar att hantera den ökning av handläggningsåtgärder som de ovan beskrivna förändringarna kommer att leda till. En stor fördel med utredningens förslag är alltså att ett överlämnande av biometriupptagningen innebär betydligt bättre förutsättningar för myndigheterna att anpassa verksamheten utifrån de förändrade kraven. Mot denna bakgrund har de handläggande myndigheterna efterfrågat förutsättningar att kunna använda en extern tjänsteleverantör i ärenden om uppehållstillstånd och arbetstillstånd. Utifrån vår bedömning förefaller det vara ett högst angeläget behov för de handläggande myndigheterna att kunna använda en extern tjänsteleverantör för upptagning av biometri.
Det är också utredningens bedömning att det finns många andra fördelar med ett överlämnande. Till exempel kan tillståndsprocessen påskyndas om en extern tjänsteleverantör kan användas för upptagning av biometri, vilket gynnar de som ansöker om
170
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
uppehållstillstånd eller nationell visering. Det möjliggör även ansökan från länder där Sverige saknar en utlandsmyndighet med ansvar för migrationsärenden samt från flera platser i ytmässigt stora länder. Vidare är en snabb och lättillgänglig process av stor betydelse för att attrahera internationell spetskompetens till Sverige. Ur säkerhetsaspekt kan användandet av en extern tjänsteleverantör dessutom minska antalet sökanden hos utlandsmyndigheterna, som på vissa orter inte är dimensionerade för att hantera ett stort antal sökanden.
Inom Schengensamarbetet är det vanligt att samma tjänsteleverantör utför förvaltningsuppgifter åt flera EU-länder. I en sådan situation har tjänsteleverantören ofta bättre möjligheter att organisera sitt arbete på ett effektivt och ändamålsenligt sätt än en utlandsmyndighet. Tjänsteleverantörens verksamhet blir mindre sårbar för tillfälliga verksamhetsförändringar. Tjänsteleverantören har också bättre förutsättningar att snabbt anpassa sin verksamhet efter förändrade behov. På så sätt har en extern tjänsteleverantör till exempel möjlighet att erbjuda flexiblare öppettider. Det är också troligt att en tjänsteleverantör kan hålla öppet då en utlandsmyndighet behöver prioritera sina resurser på sitt konsulära uppdrag, till exempel vid oförutsedda händelser i landet.
Den huvudsakliga nackdelen med att överlämna biometriupptagning till en extern tjänsteleverantör är att svenska myndigheter förlorar kontrollen över hur uppgiften utförs. Detta medför en kontrollförlust av de aspekter som redovisats i kapitel 6– 8, det vill säga frågan om huruvida enskildas rättssäkerhet efterlevs vid utförande av uppgiften, om missbruk och korruption förekommer i tjänsteleverantörens verksamhet, om personuppgifter skyddas och om sekretessreglerade uppgifter röjs. Det är en betydande nackdel.
Ytterligare en, om än mindre central, nackdel med ett överlämnande är att den lokala förankringen för svenska utlandsmyndigheter riskerar att försämras. Det kan leda till informationsförlust av lokala trender och förändringar som kan påverka beslutsfattandet, till exempel kan det ta längre tid för utlandsmyndigheten att uppfatta om det blir vanligt förekommande med förfalskade pass i ett visst land. Denna risk tas inte om hand genom utredningens förslag. Det framstår snarare som en fråga som får hanteras av utlandsmyndigheterna.
171
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
Utredningens förslag syftar däremot till att i så stor utsträckning som möjligt hantera den kontrollförlust av uppgiftens utförande som ett överlämnande medför genom att minimera och effektivt reglera de riskområden som identifierats. I nästkommande avsnitt bedömer vi lämpligheten av förslaget utifrån hur väl det hanterar dessa riskområden.
11.1.2Grundläggande utgångspunkter för lämplighetsbedömningen
Inför den kommande lämplighetsbedömningen finns det anledning att lyfta några generella utgångspunkter som har betydelse för bedömningen av förslaget i sin helhet. Dessa argument genomsyrar alltså lämplighetsbedömningens alla delar, även om de inte särskilt lyfts nedan under de olika avsnitten.
En första viktig utgångspunkt är att lämplighetsbedömningen avser förslaget i sin helhet. Detta innebär att vår bedömning utgår från att den avtalsreglering som kommer att användas i praktiken faktiskt motsvarar det som vi föreslår under avsnitt 10.3.3. Den i förordningen föreslagna bestämmelsen om samarbetsavtalet binder Regeringskansliet till en miniminivå i fråga om vilka aspekter som särskilt måste regleras. Det föreslagna innehållet i samarbetsavtalet utgör en förutsättning för att samarbetet ska anses vara tillräckligt reglerat och för att ett överlämnande av uppgiften ska kunna bedömas lämpligt. Lämplighetsbedömningen grundar sig alltså på ett användande av hela det föreslagna regelverket.
En annan central utgångspunkt i utredningens förslag är att den uppgift som är möjlig att överlämna till en extern tjänsteleverantör är relativt begränsad och av handläggande karaktär. Den externa tjänsteleverantören får inte utreda eller fatta beslut i de ärenden som den hanterar. Biometriupptagningen och de uppgifter som enligt utredningens bedömning får anses ingå däri utgör en förhållandevis liten del av ärendets handläggning. Detta innebär att den svenska myndigheten som handlägger ärendet i grunden har kvar kontrollen över handläggningen i stort. Den kontroll som går förlorad avser alltså endast en mindre del av ärendets totala handläggning. Detta i sig begränsar effekten av de nackdelar som ett överlämnande medför.
172
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
Ytterligare en viktig utgångspunkt är att möjligheten för enskilda att lämna biometri hos en svensk utlandsmyndighet inte försvinner genom förslaget. Tjänsteleverantörens utförande av uppgiften ska ses som en valbar service eller tjänst för den enskilde sökande. Det är alltså möjligt för en enskild att låta handläggningen av ett ärende uteslutande ske vid svenska myndigheter.
Oavsett vilken aktör som utför uppgiften finns det risk för att fel och försummelser förekommer i handläggningen. Sådant kan förekomma när såväl en svensk myndighet som en extern tjänsteleverantör utför uppgiften. Vårt förslag syftar till att utforma ett nästintill likvärdigt regelsystem för när en extern tjänsteleverantör utför uppgiften, som det som gäller för en svensk myndighet. Den huvudsakliga skillnaden är att den teoretiska möjligheten att använda straffrättsligt ansvar som ett medel för kontroll av den externa tjänsteleverantörens verksamhet mycket sällan kommer att kunna användas i praktiken.
11.2Enskildas rättssäkerhet
Utredningens bedömning
Utredningens förslag säkerställer enskildas rättssäkerhet på ett tillräckligt betryggande sätt. Detta uppnås genom en tydlig reglering av grundläggande rättssäkerhetsprinciper, tillsyn och kontroll samt avtalsrättsliga sanktioner.
Utredningens förslag innebär att rättssäkerhetsaspekter kan och ska skyddas genom reglering dels i förordning, dels i samarbetsavtal. Den föreslagna förordningen innehåller en allmän bestämmelse som innebär att Regeringskansliet efter ett överlämnande är ansvarigt för att tjänsteleverantören utför uppgiften med respekt för grundläggande principer och rättigheter till skydd för enskildas rättssäkerhet. Det finns också en särskild och tydlig reglering i fråga om barns rättigheter i samband med biometriupptagningen. Ett sådant förtydligande säkerställer den enskildes rättssäkerhet vid ett överlämnande, och medför ett behov av att utöva tillsyn och kontroll över utförandet av uppgiften. Vidare kan svenska staten i förhållande
173
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
till sökanden inte avsäga sig skadeståndsansvar för fel och försummelser i tjänsteleverantörens verksamhet. Även detta är ett incitament för den svenska myndigheten att utöva kontroll över att uppgiften utförs på ett sätt som säkerställer den enskildas rättssäkerhet.
Den externa tjänsteleverantörens ansvar för att enskildas rättssäkerhet respekteras vid utförandet av tjänsten regleras enligt utredningens förslag genom förpliktelser i samarbetsavtalet. I avtalet förtydligas även vad Regeringskansliets övergripande ansvar innebär i praktiken. Samarbetsavtalet kommer således att mer i detalj reglera vilka åtgärder de båda parterna är skyldiga att vidta för att enskildas rättssäkerhet ska skyddas vid ett överlämnande. Denna detaljreglering omfattar allt från grundläggande krav om allas lika värde och förbud mot diskriminering till tydliga handlingsdirektiv i fråga om förvaltningsrättsliga principer och krav. Till exempel kan krav om god service regleras på ett tillfredsställande och ingående sätt i samarbetsavtalet. Avtalsfriheten möjliggör för att civilrättsligt binda den externa tjänsteleverantören att följa villkor om regelefterlevnad och annan detaljreglering som avser att skydda enskildas rättssäkerhet. Så länge parterna är överens kan i princip samtliga rättssäkerhetsaspekter (med undantag för vissa kontrollmedel) regleras i samarbetsavtalet. Ett sådant godtagbart skydd för enskildas rättssäkerhet finns redan i Schengenavtalet och det är rimligt att anta att samma tjänsteleverantör kan komma att användas i ärenden om uppehållstillstånd och nationell visering. Det bör alltså finnas goda förutsättningar att hitta en tjänsteleverantör som både är villig och har förutsättningarna för att uppfylla de krav och villkor som ställs i samarbetsavtalet. Den föreslagna förordningen innehåller en bestämmelse som innebär att endast en aktör som uppfyller dessa krav får väljas som tjänsteleverantör.
Att uppnå ett skydd för enskildas rättssäkerhet identiskt med det som finns när en svensk myndighet utför uppgiften är inte möjligt. Även om det är fullt möjligt att säkerställa att tjänsteleverantören är skyldig att följa samma grundläggande principer om enskildas rättssäkerhet som en svensk myndighet, går det inte att använda alla de medel för kontroll som är tillämpliga vid svensk myndighetsutövning. Det går till exempel inte att använda sig av straffrättsligt ansvar eller låta JO eller JK utöva tillsyn. Vid överlåtelser enligt 10 kap. 8 § RF har emellertid självständiga eller utländska tillsyns-
174
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
system vanligen ansetts vara tillräckliga. Ett exempel på ett sådant tillsynssystem är att EU:s institutioner underordnas inom EU interna tillsynsorgan, inte svensk tillsyn (se Persson, a.a., s. 422).
Vid ett beaktande av de medel för kontroll som går förlorade vid ett överlämnande är det den mycket begränsade möjligheten att använda straffrättsligt ansvar som är särskilt framträdande. Likt tidigare konstaterat kommer tjänsteleverantören sannolikt att vara ett utländskt rättssubjekt beläget i utlandet med anställda som varken är svenska medborgare eller som har sin hemvist i Sverige. Regelverket om svensk domstols behörighet i 2 kap. brottsbalken medför alltså att det är i mycket få fall som straffrättsligt ansvar skulle kunna aktualiseras vid fel och försummelser i tjänsteleverantörens verksamhet. Avsaknaden av territoriell anknytning medför också begränsningar i fråga om vilken typ av straffbestämmelse som skulle kunna införas, till exempel tjänstefel. Straffrättsligt ansvar utgör därför ett tämligen ineffektivt medel för kontroll av tjänsteleverantörens utförande av uppgiften. Detta kontrollmedel är dessutom lika begränsat i ärenden om Schengenviseringar. Det är vår bedömning att denna brist på ett godtagbart sätt kan vägas upp av ett effektivt självständigt tillsynssystem och avtalsrättsliga sanktioner.
För att civilrättsligt binda den externa tjänsteleverantören på ett effektivt sätt krävs alltså att det i övrigt så långt som möjligt finns andra likvärdiga och tillräckliga medel för kontroll av tjänsteleverantörens verksamhet. Av denna anledning föreslår vi bestämmelser i såväl förordningen som i samarbetsavtalet som reglerar respektive parts ansvar för tillsyn och övervakning av tjänsteleverantörens verksamhet samt andra medel för kontroll. Utredningens förslag i denna del motsvarar i stort de tillsynsbestämmelser som finns och används i Schengensamarbetet. Utifrån vad utredningen erfarit är detta samarbete välfungerande och eventuella klagomål från enskilda sökanden följs upp och hanteras. Det finns dessutom ett utvecklat samarbete mellan de nordiska länderna i fråga om tillsyn och övervakning. Såvitt känt har inga beaktansvärda kränkningar av enskildas rättssäkerhet inträffat.
Ett effektivt medel för kontroll är avtalsrättsliga sanktioner. Den externa tjänsteleverantörens affärsidé bygger på att den andra avtalsparten, i detta fall Regeringskansliet, har ett starkt förtroende för tjänsteleverantören – ett förtroende som behöver underhållas
175
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
och upprätthållas. Tjänsteleverantören har alltså ett starkt eget intresse av att leverera tjänsten i enlighet med de krav som ställs på den. Om det skulle förekomma fel och försummelser i tjänsteleverantörens verksamhet riskerar tjänsteleverantören att samarbetet upphör och att affärsidén omkullkastas. Sanktionerna innebär också att det kan bli tämligen kostsamt för tjänsteleverantören om tjänsten inte utförs på korrekt sätt. Den tjänsteleverantör som Sverige samarbetar med i ärenden om Schengenviseringar används även av flera andra länder. Denna aktör är givetvis beroende av att samtliga länder fortsatt har ett starkt förtroende för den. Detta förhållande utgör i sig ett skydd för att avtalet följs och därmed även för att enskildas rättssäkerhet respekteras vid utförandet av uppgiften.
Mot denna bakgrund är det vår bedömning att enskildas rättssäkerhet kan säkerställas vid ett överlämnande av upptagning av biometri till en extern tjänsteleverantör i enlighet med förslaget. Förslagets tydliga reglering om vilka grundläggande rättssäkerhetsprinciper som tjänsteleverantören måste respektera förenat med ett effektivt tillsyns- och sanktionssystem utgör en tillräcklig garanti för enskildas rättssäkerhet och barns rättigheter vid ett överlämnande.
11.3Personuppgiftsbehandling
Utredningens bedömning
Utredningens förslag säkerställer att personuppgifter behandlas på ett sätt som innebär ett godtagbart skydd för enskildas personliga integritet.
11.3.1Inledande anmärkningar
I utredningens uppdragsbeskrivning räknas en rad frågor upp som särskilt ska beaktas när det gäller personuppgiftsbehandlingen. Vi avser i det följande att särskilt belysa de frågorna, även om utredningens överväganden i denna del i stor utsträckning framgår
176
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
av föregående kapitel. Föregående kapitel innehåller även ett klargörande av vem som är personuppgiftsansvarig och utredningens övervägande i fråga om det behövs författningsförslag som förtydligar ansvarsförhållandet. Utredningens bedömning i den delen kommer inte återupprepas i detta avsnitt.
Utredningens förslag innebär att en extern aktör kommer att behandla personuppgifter å Migrationsverket och utlandsmyndigheternas vägnar i ärenden om uppehållstillstånd och nationell visering. Personuppgiftsbehandlingen kommer att avse såväl alfanumeriska som känsliga personuppgifter. Förslaget innebär också att uppgifterna kommer att överföras från den externa tjänsteleverantören till Migrationsverket eller utlandsmyndigheten. Behandlingen kommer att vara automatiserad. Förslaget innebär inte att den nuvarande ordningen att lämna biometri hos en utlandsmyndighet försvinner utan enbart att ett alternativt sätt för sökanden att lämna biometri införs. Den externa tjänsteleverantören kommer i många fall vara ett privat bolag med säte utanför EU. Utredningens förslag innebär dock att personuppgifter inte kommer att överföras från svenska myndigheter till tjänsteleverantören. Någon överföring av personuppgifter från svenska myndigheter till den externa tjänsteleverantören i tredjeland kommer således inte att ske.
Personuppgiftsbehandlingen kommer ske på uppdrag av Migrationsverket eller en utlandsmyndighet i dess verksamhet enligt utlänningslagen som rör visering och uppehållstillstånd. Det regelverk för personuppgiftsbehandling som är tillämpligt är alltså fortsatt dataskyddsförordningen, dataskyddslagen och utlänningsdatalagen. Migrationsverket är, i egenskap av personuppgiftsansvarigt, ansvarig för efterlevnaden av de regelverken.
Behandling av personuppgifter regleras i utlänningsdatalagen. Personuppgifter får behandlas bland annat om det behövs för handläggningen av ärenden om utlänningars inresa i Sverige eller för fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift. Behandlingen av känsliga personuppgifter får dock endast ske om uppgifterna är absolut nödvändiga för syftet med behandlingen. Vårt förslag innebär ingen förändring av Migrationsverket och utlandsmyndigheternas hantering av personuppgifter. Den behandling av personuppgifter som förslaget innebär kommer alltså fortsatt att omfattas av Migrationsverket och
177
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
utlandsmyndigheternas handläggning av ärenden om uppehållstillstånd och nationell visering.
Det överlämnande av uppgifter som utredningens förslag möjliggör innebär att den externa tjänsteleverantören ur dataskyddssynpunkt kommer att vara personuppgiftsbiträde till Migrationsverket. I dataskyddsförordningen finns bestämmelser som dels anger skyldigheter för Migrationsverket vid val av personuppgiftsbiträde, dels anger skyldigheter för tjänsteleverantören i egenskap av personuppgiftsbiträde. Bland annat regleras förutsättningarna för ett personuppgiftsbiträde att anlita en underleverantör i dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig för Migrationsverket vid val av personuppgiftsbiträde men sannolikt inte för den externa tjänsteleverantören. I syfte att garantera personuppgifter det skydd som följer av dataskyddsförordningen föreslår vi en skyldighet för Regeringskansliet och Migrationsverket att genom avtal binda tjänsteleverantören att följa bestämmelserna i bland annat dataskyddsförordningen. Förutsättningarna för den externa tjänsteleverantören att anlita en underleverantör kommer alltså vara de som följer av dataskyddsförordningen.
På motsvarande sätt innebär artikel 28.3 i dataskyddsförordningen en skyldighet för Migrationsverket, i egenskap av personuppgiftsansvarig, att reglera hanteringen av personuppgifter av ett personuppgiftsbiträde genom ett personuppgiftsbiträdesavtal. Genom utredningens förslag åläggs Regeringskansliet en skyldighet, i egenskap av central avtalspart, att möjliggöra för Migrationsverket att fullgöra de skyldigheter som följer av dataskyddsförordningen, vilket bland annat inkluderar skyldigheten att ingå ett personuppgiftsbiträdesavtal med den externa tjänsteleverantören.
11.3.2Integritetsanalys
Enligt vår uppdragsbeskrivning ska betänkandet innehålla en sammanhållen analys av konsekvenserna för den personliga integriteten vid den personuppgiftsbehandling som föreslås. Analysen bör enligt uppdragsbeskrivningen beakta Integritetsskyddsmyndighetens skrivelse Vägledning för integritetsanalys i lagstiftningsarbete (IMY-2024-15399). En viktig del i integritetsanalysen vid lagstiftningsarbete är bedömningen av om konsekvenserna för den per-
178
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
sonliga integriteten är nödvändiga och proportionerliga i förhållande till vad lagstiftningsförslaget avser att uppnå. I avsnitt 11.1 och kapitel 13 redogörs för behovet av utredningens förslag. Ytterligare en förutsättning för att kunna göra en proportionalitetsbedömning är att kartlägga integritetsriskerna med förslaget.
Utredningens förslag medför inte behandling av några ytterligare kategorier av personuppgifter än vad som redan i dag förekommer i ärenden om uppehållstillstånd och nationell visering. Förslaget innebär inte heller någon förändring av hur personuppgifter tas upp i länder utanför EU och vidarebefordras till Migrationsverket och utlandsmyndigheterna. Förslaget innebär emellertid en utökad personuppgiftsbehandling genom att ytterligare aktörer ges tillgång till personuppgifter och ansvarar för vidarebefordringen av uppgifterna.
Den integritetsrisk som utredningens förslag innebär består alltså inte av någon ny eller förändrad behandling av personuppgifter utan av att en extern aktör får tillgång till personuppgifterna. Att den externa tjänsteleverantören av territoriella skäl troligtvis inte kommer omfattas av vare sig svenska eller EU-rättsliga regelverk utgör ytterligare en risk med förslaget. Ytterligare en aspekt av den risken är att tjänsteleverantören kommer att verka i flera olika länder med inhemska regelverk. Som konstaterats i avsnittet ovan kan tjänsteleverantören komma att hantera känsliga personuppgifter, inbegripet biometriska uppgifter, och uppgifter som normalt omfattas av sekretess hos svenska myndigheter. Den personuppgiftsbehandling som förslaget medför omfattar också ett stort antal personer. Även detta utgör integritetsrisker.
Behandling av känsliga personuppgifter innebär särskilda risker för intrång i den personliga integriteten. Enligt 2 kap. 6 § RF är var och en skyddad mot påtvingat kroppsligt ingrepp gentemot det allmänna. Vidare är var och en skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Upptagning av fingeravtryck utan den enskildes samtycke utgör ett påtvingat kroppsligt ingrepp i den mening som avses i bestämmelsen. Upptagning av fingeravtryck och fotografi kan också utgöra ett intrång i rätten till privat- och familjeliv som följer av artikel 7 i EU:s rättighetsstadga samt artikel 8 i Europakonventionen. För att dessa rättigheter ska få inskränkas krävs lagstöd.
179
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
Begränsningar av enskildas rättigheter får endast göras för vissa ändamål som särskilt anges i de respektive regelverken. I Europakonventionen och EU:s stadga ställs också krav på att begränsningarna av rättigheter ska vara nödvändiga i förhållande till det eftersträvade syftet. Därutöver ställer dataskyddsförordningen särskilda krav för behandling av känsliga personuppgifter.
Överväganden i dessa delar har gjorts i samband med de lagstiftningsprocesser som ligger till grund för de bestämmelser i utlänningslagen som reglerar skyldigheten att lämna biometri i samband med ansökan om uppehållstillstånd och nationell visering. Lagstiftaren har då bedömt att behandlingen att ta upp och lagra biometriska uppgifter är nödvändig av hänsyn till ett allmänt intresse och att bestämmelserna är nödvändiga och proportionerliga (se t.ex. prop. 2024/25:176 s. 38–40, prop. 2010/11:123 s. 12–13 och prop. 1996/97:25 s. 189). Detsamma gäller behandlingens förenlighet med regelverken om dataskydd. Bedömningen har därvid gjorts att behandlingen av fingeravtryck och fotografier i Migrationsverkets verksamhet är nödvändig av hänsyn till ett viktigt allmänt intresse och att förutsättningarna även i övrigt för att tillämpa undantaget i dataskyddsförordningen att behandla känsliga personuppgifter är uppfyllda (se prop. 2017/18:254 s. 35, prop. 2020/21:159 s. 22 och prop. 2021/22:81 s. 52).
Syftet med att ta upp biometriska uppgifter i ärenden om uppehållstillstånd och nationell visering är att möjliggöra kontroll av innehavarens identitet och viseringens äkthet. Ytterligare skäl för att behandla biometriska uppgifter är att möjliggöra en kontroll av om sökanden utgör ett hot mot säkerheten i någon av Schengenmedlemsstaterna samt att minska risken för att en och samma person söker och beviljas tillstånd för inresa och vistelse under olika identiteter (se bl.a. prop. 2024/25:176 s. 38). De syften för vilka personuppgifterna får behandlas förändras inte av utredningens förslag. Den rättsliga grunden för att behandla personuppgifterna är vidare fortsatt densamma som följer av dataskyddsförordningen och utlänningsdatalagen.
Utredningen lämnar förslag som syftar till att minimera integritetsriskerna. I förslaget finns därför bestämmelser som är ägnade att värna den enskildes personliga integritet. Det finns dels bestämmelser som på ett generellt plan syftar till att garantera personuppgiftsbehandlingens förenlighet med regelverken om
180
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
dataskydd, dels bestämmelser som ställer krav på detaljreglering i det samarbetsavtal som ska ingås med tjänsteleverantören. Förslaget förutsätter att tjänsteleverantören civilrättsligt förbinder sig att utföra personuppgiftsbehandlingen i enlighet med regelverken om dataskydd. Förslaget förutsätter också att tjänsteleverantörens hantering av personuppgifterna noggrant preciseras genom samarbetsavtalet vilket bland annat ställer krav på att all elektronisk överföring av personuppgifter sker krypterat samt att lagring av personuppgifter inte sker hos tjänsteleverantören längre än nödvändigt. Förslaget innehåller vidare kontrollmedel i syfte att säkerställa att avtalet följs samt avtalsrättsliga sanktioner om så inte är fallet. Genom förslaget möjliggörs också att tjänsteleverantören är föremål för tillsyn enligt dataskyddsförordningen.
Detta till trots går det inte att helt eliminera integritetsriskerna. Utredningens bedömning är dock att de handläggande myndigheterna har ett angeläget behov av att kunna använda en extern tjänsteleverantör och att förslaget medför betydande fördelar för enskilda i fråga om service och tillgänglighet. Den reglering som föreslås innebär dessutom långtgående skyldigheter för såväl Regeringskansliet som Migrationsverket att organisera samarbetet med tjänsteleverantören så att personuppgiftsbehandlingen sker på ett säkert sätt. Förslaget innehåller också kontrollmedel som syftar till att säkerställa att personuppgiftsbehandlingen svarar mot samtliga krav för att uppnå ett fullgott personuppgiftsskydd. Genom möjligheten för bland annat Integritetsskyddsmyndigheten att utöva tillsyn kan det till exempel säkerställas att personuppgiftsbiträdesavtalet med tjänsteleverantören omfattar samtliga de krav som följer av dataskyddsförordningen och att avtalet efterlevs.
Sammanfattningsvis svarar vårt förslag om möjligheten att överlämna åt en extern tjänsteleverantör att ta upp biometri mot angelägna intressen. Förslaget har utformats på ett sätt som innebär att risken för integritetsintrång minimeras. Det är således utredningens bedömning att det föreslagna regelverket garanterar ett tillräckligt skydd för den personliga integriteten.
181
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
11.4Sekretessreglerade uppgifter
Utredningens bedömning
Förslagets utgångspunkt innebär att Migrationsverket inte delar uppgifter med den externa tjänsteleverantören. Avsaknaden av sekretessbrytande bestämmelser utgör därför inget hinder för utredningens föreslagna regelverk. I de fall tjänsteleverantören samlar in uppgifter som omfattas av sekretess skyddas dessa genom villkor om regelefterlevnad av offentlighets- och sekretesslagen samt en avtalsreglerad tystnadsplikt.
Utredningens förslag utgår från en ordning som innebär att Migrationsverket inte delar några uppgifter, det vill säga inte heller sekretessbelagda sådana, med den externa tjänsteleverantören. Skälen för detta har redogjorts för i avsnitt 10.2.1. En fördel med en sådan ordning är att avsaknaden av sekretessbrytande bestämmelser inte utgör ett hinder för utredningens förslag. Som tidigare konstaterats finns det nämligen inget rättsligt stöd för Migrationsverket att dela sekretessbelagda uppgifter med en extern tjänsteleverantör. En ordning som innebär att sekretessbelagda uppgifter delas med tjänsteleverantören skulle alltså kräva en grundlig utredning i fråga om förutsättningarna för att införa en sekretessbrytande bestämmelse. Det är vidare inte helt självklart att rättsligt stöd för att dela sekretessbelagda uppgifter med tjänsteleverantören är nödvändigt eller lämpligt att införa. Ur integritets- och sekretessynpunkt är det angeläget att tjänsteleverantören hanterar så få uppgifter om sökanden som möjligt.
Vid ett överlämnande av biometriupptagning kan tjänsteleverantören emellertid komma att samla in och hantera uppgifter som normalt omfattas av sekretess, till exempel fingeravtryck. Genom avtalsvillkor om regelefterlevnad blir tjänsteleverantören skyldig att följa den svenska sekretessregleringen i offentlighets- och sekretesslagen. Därtill kommer samarbetsavtalet innehålla en avtalsreglerad tystnadsplikt som utgör ett förbud för tjänsteleverantörens anställda att yppa information som de får del av vid utförandet av uppgiften. Följderna av att bryta mot en avtalsreglerad tystnadsplikt är naturligtvis inte lika allvarliga som det straffrättsliga
182
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
ansvar som kan inträda vid brott mot tystnadsplikten. Hotet om straffrättsligt ansvar innebär emellertid inte ett fullständigt skydd för sekretessbelagda uppgifter – röjande av uppgifter förekommer även i fall där detta hot kan realiseras. Det bör vidare beaktas att den typ av uppgifter som tjänsteleverantörens anställda i huvudsak kommer att hantera – fotografi och fingeravtryck – är svårare att muntligen röja för obehöriga. Fysisk delning kan och ska regleras genom bestämmelser i samarbetsavtalet som innebär bland annat en mycket kort lagringstid hos tjänsteleverantören och förbud mot delning av information med obehöriga. Dessutom innehåller utredningens förslag ett sanktionssystem som träder in om tjänsteleverantören brister i sekretesshänseende samt en långtgående möjlighet för Regeringskansliet att byta ut personal som inte uppfyller kraven.
I ett beslut den 9 september 2014 fann JO att en avtalsreglerad tystnadsplikt inte var tillräcklig för att det skulle stå klart att ett utlämnande av patientuppgifter till ett privat företag kunde ske utan men för den som skyddas av sekretessen när samtycke inte inhämtats från den enskilde (se JO 2015/16 s. 606). Mot bakgrund av detta uttalande skulle det kunna ifrågasättas om en avtalsreglerad tystnadsplikt i enlighet med förslaget utgör ett godtagbart skydd för sekretessbelagda uppgifter. I förarbeten har det dock uttalats att en sådan problematik oftast kan avhjälpas genom att det företag som myndigheten anlitat har sekretessavtal med sina anställda (se prop. 1981/82:186 s. 41–42). JO:s beslut – som avsåg en situation där en myndighet lämnade ut uppgifter till ett privat företag – handlade emellertid om patientuppgifter som ofta är av mycket integritetskänsligt slag. De uppgifter som den externa tjänsteleverantören kommer att samla in är inte av samma känslighet, varför det är mer godtagbart med ett något svagare skydd i form av en avtalsreglerad tystnadsplikt i detta fall. En annan viktig skillnad är att användandet av en extern tjänsteleverantör är en valbar tjänst för sökanden, det är fortsatt möjligt för sökanden att vända sig till en utlandsmyndighet vars personal arbetar under en straffsanktionerad tystnadsplikt. När sökanden väljer att vända sig till en tjänsteleverantör är denne medveten om att det är ett privat företag som kommer att hantera dennes uppgifter. Sökanden har också full insyn i vilka uppgifter som tjänsteleverantören hanterar, eftersom det är denne själv som lämnar över samtliga uppgifter till tjänsteleverantören. Tjänsteleverantörens
183
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
hantering av eventuellt sekretessbelagda uppgifter är därför enligt vår bedömning godtagbart skyddad genom regelefterlevnad av offentlighets- och sekretesslagen, särskilda villkor i avtalet samt den avtalsreglerade tystnadsplikten och de sanktioner som kan följa om den bryts.
Vid en sammantagen bedömning anser vi att ett överlämnande av biometriupptagning i enlighet med den ordning och reglering som förslaget bygger på utgör ett tillräckligt skydd för hanteringen av sekretessreglerade uppgifter.
11.5Missbruk och korruption
Utredningens bedömning
Eventuell förekomst av missbruk och korruption i den externa tjänsteleverantörens verksamhet kan kontrolleras och regleras på ett tillräckligt tillfredsställande sätt genom utredningens förslag.
Korruption är ett globalt problem och det pågår ständigt ett internationellt korruptionsbekämpande arbete inom FN. FN:s konvention mot korruption är det enda universella instrumentet mot korruption som är rättsligt bindande. Sverige har tillträtt konventionen och är således skyldigt att aktivt motverka och förebygga korruption. I syfte att uppfylla denna skyldighet och kontrollera tjänsteleverantörens agerande innehåller utredningens förslag dels övergripande ansvarsbestämmelser om korruption, dels detaljerade bestämmelser om den praktiska hanteringen vid utförandet av uppgiften. Exempel på det senare är bestämmelser i samarbetsavtalet om tvåmansregel och övervakning.
Det är nödvändigt att både Regeringskansliet och den externa tjänsteleverantören har ett ansvar för att motverka missbruk och korruption. En tydlig reglering i samarbetsavtalet i enlighet med utredningens förslag innebär att risken för missbruk och korruption hanteras och regleras på ett tillfredsställande sätt. Eftersom straffrättsligt ansvar inte kan komma i fråga för tjänsteleverantörens anställda är det emellertid av vikt att tillsyn utövas även i fråga om missbruk och korruption samt att sanktioner kan inträda om
184
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
tjänsteleverantören brister i detta hänseende. Sådan tillsyn föreskrivs i 8 § i den föreslagna förordningen, av vilken det följer att Regeringskansliet ska kontrollera att tjänsteleverantören uppfyller samtliga krav och villkor i avtalet vilket naturligtvis även omfattar frågan om missbruk och korruption. Samarbetsavtalet ska vidare innehålla bestämmelser som innebär att avtalet kan sägas upp med omedelbar verkan vid korrupt och olagligt agerande å tjänsteleverantörens sida. Därutöver kommer tjänsteleverantören ha ett starkt eget intresse av att förebygga och motverka korruption, eftersom grunden för verksamheten likt tidigare nämnt vilar på och är beroende av motpartens förtroende.
Hur stor risken för missbruk och korruption är kan variera mellan olika länder och platser. Risken för korruption i ett visst land kan därför få betydelse vid ett övervägande om att överlämna uppgiften till en tjänsteleverantör som är verksam i det landet. Den tjänsteleverantör som Sverige idag samarbetar med i ärenden om Schengenviseringar har mottagningslokaler i ett stort antal länder. Schengenavtalet innehåller en tydlig reglering om tjänsteleverantörens ansvar för att motverka korruption samt vilka sanktioner som kan inträda om tjänsteleverantören brister i detta avseende. Överlämnandet sker till tjänsteleverantören som alltså är bunden av avtalsinnehållet, oavsett förutsättningarna i länderna där mottagningslokalerna är belägna. Detta betyder att även om Regeringskansliet i samband med upphandlingen bör ta hänsyn till vilka länder som tjänsteleverantören är verksam i, bör samarbetsavtalet utgöra en tillräcklig garanti för att risken för missbruk och korruption är under kontroll. Skulle tjänsteleverantören vara verksam i ett land som ändå inte kan accepteras återstår alternativet att utesluta just den orten ur avtalet och i stället hänvisa till utlandsmyndigheten i det fallet.
Vid en sammantagen bedömning är det vår uppfattning att risken för missbruk och korruption kan hanteras och regleras på ett tillfredsställande sätt genom vårt förslag. Risken för missbruk och korruption kan oavsett vilken aktör som utför uppgiften aldrig helt elimineras, men den kan enligt vår bedömning kontrolleras i tillräcklig grad genom samarbetsavtalet.
185
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
11.6Säkerhetsskydd
Utredningens bedömning
Förslaget är förenligt med regelverket om säkerhetsskydd.
De uppgifter som den externa tjänsteleverantören får tillgång till genom utredningens förslag är i huvudsak personuppgifter från de som söker uppehållstillstånd eller nationell visering. Sådana uppgifter utgör enligt utredningens bedömning inte säkerhetsskyddsklassificerade uppgifter (jfr utredningens bedömning avseende sekretess i kapitel 8). Inte heller i övrigt anser utredningen att förslaget utgör en sådan verksamhet som omfattas av krav på säkerhetsskydd då det inte bedöms vara säkerhetskänslig verksamhet. Det innebär alltså att det saknas behov av att ingå ett säkerhetsskyddsavtal med den externa tjänsteleverantören. Som angetts i avsnitt 9.3 har Migrationsverket gjort motsvarande bedömning när det utrett förutsättningarna för användande av en extern tjänsteleverantör i ärenden om uppehålls- och arbetstillstånd samt vid bedömning av det samarbete som idag sker i ärenden om Schengenviseringar. Utredningens förslag bedöms således vara förenligt med regelverket om säkerhetsskydd.
Trots att utredningen har bedömt att verksamheten inte omfattas av säkerhetsskyddslagens bestämmelser finns det anledning för Migrationsverket att återkommande ompröva den bedömningen. Över tid kan givetvis förändringar ske av det säkerhetspolitiska läget som kan påverka bedömningen. Det finns därför anledning för verksamhetsutövaren att ur säkerhetsskyddssynpunkt följa hur samarbetet med tjänsteleverantören utvecklas över tid. Att verksamhetsutövare har en skyldighet att utreda behovet av säkerhetsskydd och kontinuerligt följa upp de bedömningar som gjorts följer av bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen.
186
| Ds 2026:8 | Lämpligheten i ett överlämnande enligt förslaget |
11.7Sammanfattande slutsats
Utredningens bedömning
Ett överlämnande enligt utredningens förslag av upptagning av biometri i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör är lämpligt.
Vi har i ovanstående avsnitt bedömt att vårt förslag på ett tillräckligt tillfredsställande sätt hanterar riskerna med att överlämna upptagning av biometri till en extern tjänsteleverantör. Utredningens förslag utgör en detaljerad reglering av samarbetet mellan svenska myndigheter och den externa tjänsteleverantören. Förslaget är vidare utformat med regelverket för Schengenviseringar som förlaga. Schengensamarbetet är väl beprövat och tillämpas brett av EU:s medlemsstater. Erfarenheterna från Schengensamarbetet talar tydligt för att frågor om rättssäkerhet, sekretess och personuppgiftsbehandling kan hanteras på ett tillfredsställande sätt även när förvaltningsuppgifter utförs av en extern tjänsteleverantör.
Det är alltså utredningens bedömning att den enskildes rättssäkerhet kan säkerställas liksom att den hantering som vi föreslår är förenlig med regelverken om personuppgiftsbehandling, sekretess och säkerhetsskydd. Utredningens förslag innebär också att den grundläggande utgångspunkten om kostnadseffektivitet kan tillgodoses i samarbetet. Kostnadseffektivitet kommer inte bara till uttryck genom den föreslagna finansieringen utan även genom tydlig reglering i samarbetsavtalet. Den externa tjänsteleverantören ska dels upprätthålla en hög nivå av service för att säkerställa en effektiv handläggning för sökanden, dels sträva efter att de svenska myndigheterna över tid har en välfungerande och kostnadseffektiv tjänst. Därtill innebär förslaget en utförlig reglering av hur samarbetet ska följas upp samt vilken tillsyn och övervakning som krävs för att säkerställa att samtliga aspekter respekteras. Detta omfattar även en kontroll av risken för att missbruk och korruption förekommer i tjänsteleverantörens verksamhet. Att tjänsteleverantören kan komma att använda sig av underleverantörer innebär enligt utredningens bedömning inte någon beaktansvärd utvidgning av kontrollförlust, eftersom detta samarbete noggrant
187
| Lämpligheten i ett överlämnande enligt förslaget | Ds 2026:8 |
regleras i samarbetsavtalet. Samma krav och villkor ska gälla för dessa aktörer som för tjänsteleverantören. Därtill ligger det i tjänsteleverantörens intresse att efterleva sin skyldighet att säkerställa att underleverantören uppfyller kraven.
Vid en sammantagen bedömning anser vi att ett överlämnande i enlighet med vårt förslag är lämpligt.
188
12Ikraftträdande och övergångsbestämmelser
Utredningens förslag och bedömning
Författningsändringarna ska träda i kraft den 1 juli 2027. Några särskilda övergångsbestämmelser krävs inte.
Utredningen har bedömt att förslagen medför betydande fördelar för Migrationsverket och utlandsmyndigheterna samt för enskilda sökanden. Myndigheterna har också under en längre tid efterfrågat förutsättningar att använda en extern tjänsteleverantör i fler ärenden. De författningsförslag som utredningen föreslår bör mot denna bakgrund träda i kraft så snart som möjligt. Med hänsyn till den tid som krävs för remissförfarandet, beredningen inom Regeringskansliet, riksdagsbehandlingen och myndigheternas anpassning är det rimligt att anta att de nya bestämmelserna kan träda i kraft den 1 juli 2027. Utredningen föreslår därför detta datum för ikraftträdande.
Utredningen bedömer att det inte finns något behov av övergångsbestämmelser. Författningsförslaget ska därför tillämpas omedelbart efter ikraftträdandet.
189
13Konsekvenser av utredningens förslag
13.1Inledning
Av utredningens uppdragsbeskrivning följer att vi ska ange kostnadsberäkningar och konsekvensbeskrivningar av våra förslag i enlighet med kommittéförordningen (1998:1474) och förordningen (2024:183) om konsekvensutredningar. Det framgår vidare att vi ska redovisa förslagens betydelse för arbetet med att förebygga och i övrigt motverka brottslighet. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska en finansiering av förslagen föreslås. Analysen ska genomgående ha ett jämställdhets- och barnrättsperspektiv samt beakta och beskriva konsekvenserna av föreslagna åtgärder för barn, i enlighet med bland annat barnkonventionen.
I förordningen om konsekvensutredningar finns det närmare bestämmelser om vad en konsekvensutredning ska innehålla. Där anges att en konsekvensutredning ska innehålla en redogörelse för det aktuella problemet, vilken förändring som eftersträvas och vilka konsekvenser som bedöms uppstå om ingen åtgärd vidtas. Konsekvensutredningen ska också innehålla en redogörelse för de olika alternativ som finns för att uppnå förändringen och de fördelar respektive nackdelar som bedöms finnas med dessa. Slutligen ska det framgå vilket eller vilka alternativ som bedöms lämpligast och av vilka skäl.
En konsekvensutredning ska dessutom innehålla en analys av det förslag som lämnas. Analysen ska bland annat bestå av en beskrivning och beräkning av förslagets eller beslutets kostnader och intäkter för staten, kommuner, regioner, företag och andra enskilda samt en beskrivning och, om möjligt, en beräkning av andra relevanta konsekvenser.
191
| Konsekvenser av utredningens förslag | Ds 2026:8 |
I promemorian finns löpande beskrivningar av de problem vi har identifierat, förslag på åtgärder och i viss utsträckning förslag på alternativa lösningar. I relevanta delar innehåller våra överväganden även bedömningar av förslagens förenlighet med grundläggande fri- och rättigheter enligt bland annat regeringsformen, Europakonventionen och barnkonventionen. Ambitionen har genomgående varit att utforma förslagen utifrån ett barnrättsperspektiv och principen om allas lika värde. Användandet av en extern tjänsteleverantör för upptagning av biometri medför ur barnets perspektiv inga andra konsekvenser än att upptagningen utförs av en annan aktör. När det gäller barn har vi beaktat principen om barnets bästa såväl i stort genom att barn såklart också omfattas av skyddet för enskildas rättssäkerhet, som på detaljnivå när det gäller frågan om hur upptagning av biometri från barn får genomföras. Övervägandena innehåller också en analys av förslagens konsekvenser för den personliga integriteten. Vår ambition är att inte återupprepa dessa bedömningar i detta kapitel.
13.2Problematiken och den förändring som eftersträvas
Inom Schengensamarbetet har det under en längre tid funnits förutsättningar att med stöd av viseringskodexen använda en extern tjänsteleverantör för att till exempel ta upp biometri i ärenden om Schengenviseringar. I ärenden om uppehållstillstånd är det i dagsläget utlandsmyndigheterna som tar upp biometri när det görs utanför Sverige, vilket framför allt gäller i ärenden som har sin grund i besök, arbete och studier. Utlandsmyndigheternas organisation är i grunden inte dimensionerad för att hantera ett stort antal ärenden som innefattar biometriupptagning. Till exempel finns det begränsningar i fråga om byggnader och lokaler som utlandsmyndigheterna disponerar. Utlandsmyndigheternas kapacitet att hantera dessa ärenden är alltså redan idag begränsad och arbetssituationen är ansträngd. En ansträngd arbetssituation för med sig längre handläggningstider, inte bara för sökanden utan även för Migrationsverket som är beroende av att få in biometriska uppgifter i sina ärenden. Utlandsmyndigheternas lokalisering, särskilt i ytmässigt stora länder, kan för sökandens del medföra att en ansökan
192
| Ds 2026:8 | Konsekvenser av utredningens förslag |
om uppehållstillstånd innebär långa, tidskrävande och kostsamma resor. Detta i sig påverkar också handläggningstiden. Den beskrivna situationen är anledningen till att denna utredning tillsattes och utgör det problem som vi har för avsikt att lösa genom vårt förslag.
Situationen som sådan utgör ett problem för Migrationsverket och utlandsmyndigheterna dels för att det i dagsläget saknas rättsliga förutsättningar för en svensk myndighet att lämna över biometriupptagning till en extern tjänsteleverantör i ärenden om uppehållstillstånd och nationell visering, dels för att kommande ändringar inom EU-rätten och svensk rätt kommer att påverka myndigheternas biometriupptagning på sikt. Ändringarna innebär dels att biometri måste tas upp i nära anslutning till ansökan, dels att upptagning av biometri kommer behöva ske i fler fall än idag. Kommande införande av Etias-förordningen innebär vidare att biometriupptagning för viseringsfria personer som beviljats uppehållstillstånd inte längre kan, såsom sker idag, göras när personen anlänt till Sverige. En annan förändring är att det genom ändringar i svensk lag kommer att införas krav på upptagning av biometri även i ärenden om nationell visering.
Ändringarna inom EU-rätten och svensk rätt kommer för utlandsmyndigheternas del medföra en ökning i fråga om arbetsuppgifter, arbetsbelastning, besöksbelastning och behov av säkerhetsåtgärder och för Migrationsverkets del generera längre handläggningstider. För sökandens del kommer införandet av Etiasförordningen innebära en ökad tidsåtgång för ansökningsprocessen och för dennes möjligheter att resa till Sverige i nära anslutning till att ett uppehållstillstånd beviljats. Utlandsmyndigheternas redan begränsade kapacitet i fråga om resurser och lokaler är inte tillräcklig för att hantera denna markanta ökning av ärenden i vilka biometriupptagning ska göras.
Under år 2025 inkom 86 659 ansökningar i ärenden om uppehållstillstånd från sökanden utanför Sverige. Som framgått i kapitel 11 begär Migrationsverket bistånd från svenska utlandsmyndigheter i omkring 50 000 ärenden om uppehållstillstånd per år. Att Migrationsverket inte begär bistånd av utlandsmyndigheterna i samtliga ärenden beror bland annat på att det i dag förekommer situationer då biometriupptagning inte sker innan beslut om uppehållstillstånd meddelas. Som angetts ovan tas biometri för viseringsfria personer som beviljats uppehållstillstånd först när
193
| Konsekvenser av utredningens förslag | Ds 2026:8 |
personen anlänt till Sverige. Av den totala mängden ansökningar om uppehållstillstånd har Migrationsverket uppskattat att 20 procent utgör ansökningar från sådana viseringsfria personer. När Etiasförordningen träder i kraft kommer alltså antalet biometriupptagningar som utlandsmyndigheterna måste hantera att öka med drygt 17 000 ärenden årligen. Kommande ändringar i VIS-systemet medför också att antalet biometriupptagningar som utlandsmyndigheterna måste utföra kommer att öka. Därutöver handlägger utlandsmyndigheterna årligen ungefär 1 500 ärenden om nationell visering, i vilka det alltså framöver också ska tas upp biometri. Att det saknas förutsättningar att använda en extern tjänsteleverantör i ärenden om uppehållstillstånd och nationell visering kommer således att utgöra ett ständigt återkommande, om inte konstant, problem för de svenska myndigheterna.
Migrationsverket och utlandsmyndigheterna har alltså ett tydligt intresse i att det införs rättsliga förutsättningar för att kunna använda en extern tjänsteleverantör för biometriupptagning även i ärenden om uppehållstillstånd och nationell visering. Utöver den grundläggande problematiken om att tillgodose den enskilde sökandens intressen vid ett överlämnande av uppgiften, har det under arbetets gång inte framkommit några motstående intressen från andra aktörer. I sin hemställan har Migrationsverket förutom att lyfta fram problematiken och behovet av en förändring såsom det beskrivits ovan, även redogjort för andra skäl för att använda en extern tjänsteleverantör. Ett sådant skäl är att kunna vara närvarande i länder där man inte har en utlandsmyndighet med ansvar för migrationsärenden samt på fler platser i ytmässigt stora länder. Ett annat skäl är att tillgängligheten som ett användande medför innebär bättre förutsättningar för Sverige att attrahera kvalificerad arbetskraft och internationell spetskompetens. Att minska statens kostnader för att säkra biometriska uppgifter till ansökan är ytterligare ett skäl, som också kan få till följd att egna resurser frigörs och kan användas till mer kvalificerade delar av ärendehandläggningen. Ett ytterligare skäl är att användandet av en extern tjänsteleverantör på sikt kan förenkla lokalförsörjningen för ambassaderna och minska kostnaderna för utlandsmyndigheterna, för vilka mottagande av besökare utgör såväl en kostnadsfråga som en säkerhetsrisk.
194
| Ds 2026:8 | Konsekvenser av utredningens förslag |
Behovet av att finna en lösning på den belysta problematiken är konkret och verklighetsförankrat. Att ändringarna inom EU-rätten och svensk rätt kommer att genomföras är ett faktum, till exempel förväntas Etias-förordningen börja tillämpas redan i slutet av år 2026. Att fler sökanden kommer att behöva resa till en utlandsmyndighet för att lämna biometri utgör en naturlig följd av dessa ändringar. Migrationsverkets och utlandsmyndigheternas uppgifter om den ökade arbetsbelastningen, det ökade behovet av resurser och nuvarande förutsättningar att hantera detta är baserade på rimliga antaganden. Ett närmare exempel på detta redovisas i nästa avsnitt där konsekvenserna för utlandsmyndigheten i Washington D.C. i USA belyses. Problematikens omfattning är påtaglig för de handläggande myndigheterna. Utan en förändring finns det i nuläget inte förutsättningar att möta de krav som ändringarna inom EU- rätten och svensk rätt för med sig.
Mot ovanstående bakgrund är det alltså nödvändigt att införa rättsliga förutsättningar att överlämna biometriupptagning till en tjänsteleverantör i ärenden om uppehållstillstånd och nationell visering. Målen med en sådan förändring är att kunna möta de krav som ändringarna inom EU-rätten och svensk rätt medför, att underlätta för utlandsmyndigheterna i fråga om arbetsbelastning, besöksbelastning och säkerhetsaspekter samt att åstadkomma ett effektivare och mer lättillgängligt system för sökanden. En potentiell konflikt mellan dessa mål är att ett lyftande av arbetsuppgifter bort från utlandsmyndigheterna skulle kunna stå i kontradiktion till ett effektivare och mer lättillgängligt system för sökanden. Det är emellertid viktigt att komma ihåg att sökanden fortfarande ska kunna vända sig till en utlandsmyndighet och att möjligheten att använda sig av en extern tjänsteleverantör utgör en valbar tjänst för sökanden. Dessa mål kommer således att korrelera och samverka, inte stå i konflikt med varandra. Det är vidare viktigt att beakta att ett förverkligande av dessa mål inte får göras på bekostnad av den enskildes intressen i fråga om rättssäkerhet och skyddet för personuppgifter och sekretessbelagda uppgifter.
Det underlag som tagits fram genom denna promemoria är enligt vår uppfattning tillräckligt för att bedöma hur denna problematik på lämpligast sätt får en lösning och hur de nämnda målen kan uppnås. Underlaget är vidare tillräckligt för att bedöma om det är lämpligt att lämna över uppgiften att ta upp biometri i ärenden om
195
| Konsekvenser av utredningens förslag | Ds 2026:8 |
uppehållstillstånd och nationell visering till en extern tjänsteleverantör. Migrationsverket har, såsom vi redogjort för i avsnitt 2.4, lyft fram behovet av att även andra förvaltningsuppgifter ska kunna överlämnas till en extern tjänsteleverantör för att ytterligare effektivisera och fullt ut dra nytta av fördelarna med ett överlämnande. En tillräckligt grundlig analys av denna fråga har dock inte rymts inom utredningens tidsram. Vi delar emellertid Migrationsverkets bedömning och anser att det finns ett angeläget behov av att utreda dessa frågor vidare, lämpligen inom ramen för en annan utredning.
13.3Bedömning av nollalternativet
I detta avsnitt kommer vi att redogöra för det så kallade nollalternativet, det vill säga vilka konsekvenserna blir om ingen åtgärd vidtas. Nollalternativet är inte detsamma som den nuvarande situationen, utan den situation som uppstår i framtiden om inga åtgärder vidtas för att lösa problemet.
Som ovan konstaterats är situationen för utlandsmyndigheternas hantering av biometriupptagning redan ansträngd. Genom de ändringar inom EU-rätten och svensk rätt som ovan beskrivits kommer antalet ärenden i vilka biometriupptagning ska utföras av utlandsmyndigheterna att öka avsevärt. Den beskrivna problematiken kommer alltså att öka i omfattning. Behovet av att använda sig av en extern tjänsteleverantör för upptagning av biometri i dessa ärenden kommer följaktligen också att öka i omfattning. För att illustrera problemets omfattning och hur denna kommer att öka ges i det följande ett konkret exempel av hur ändringarna kommer att påverka utlandsmyndigheten i Washington D.C. i praktiken.
13.3.1Ett exempel: konsekvenser för utlandsmyndigheten i Washington D.C.
För att i siffror och statistik åskådliggöra den förväntade ökningen av problemets omfattning har utlandsmyndigheten i Washington D.C. bistått utredningen med en analys av vilka konsekvenser införandet av Etias-förordningen kommer att få för deras verksam-
196
| Ds 2026:8 | Konsekvenser av utredningens förslag |
het och upptagningsområdet i Amerikaregionen. Införandet av Etias-förordningen bedöms även medföra liknande konsekvenser för utlandsmyndigheter och viseringsfria sökanden i Asien, till exempel Australien, Japan, Malaysia, Singapore och Taiwan.
I nuläget behöver merparten av viseringsfria personer som ansöker om uppehållstillstånd för forskning, studier eller arbete aldrig besöka en utlandsmyndighet under handläggningen av ansökan. Införandet av Etias-förordningen kommer enligt utlandsmyndighetens analys medföra en ökning av antalet besök från viseringsfria sökanden i Amerikaregionen från i dagsläget cirka 1 800 till potentiellt närmare 8 000 per år. Utlandsmyndigheten bedömer att den inte har kapacitet i regionen att resurs- och lokalmässigt hantera en ökning av antalet besökare. Enligt analysen är det ett rimligt antagande att cirka 85 procent av de sökande kommer att behöva besöka en utlandsmyndighet efter införandet av Etias-förordningen. Antagandet bygger på att bifallsfrekvensen i regionen var cirka 85 procent för ansökningar från viseringsfria personer under 2025. Troligt antal besök till utlandsmyndigheterna i regionen uppgår utifrån antagandet till cirka 7 000, vilket är fyra gånger så många besök som i nuläget. Till exempel har utlandsmyndigheten i Washington D.C. cirka 13–20 besökare i veckan i dagsläget. Genom införandet av Etias-förordningen tillkommer cirka 31–110 sökanden per vecka, vilket ger ett totalt potentiellt antal besökare per vecka om cirka 44–129.
Utlandsmyndighetens analys avhandlar även andra konsekvenser. En sådan konsekvens är ett ökat behov av långa resor för viseringsfria sökanden. Migrationsverket har i Amerikaregionen migrationsverksamhet i varierande omfattning i sex länder vars medborgare är viseringsfria, nämligen Argentina, Brasilien, Chile, Kanada, Mexiko och USA. Det ökade behovet av långa resor avser såväl långa resor inom de länder där det finns utlandsmyndigheter som över landsgränser. Enligt analysen är cirka 90 procent av ansökningarna från viseringsfria sökanden i upptagningsområdet inlämnade av medborgare i ett land där det finns en ambassad med migrationshantering. För övriga 10 procent, cirka 800 sökande, kommer det krävas en resa över landsgräns. I Brasilien, Kanada och USA, vars medborgare utgör cirka 70 procent av alla sökande i upptagningsområdet, kommer en stor majoritet av de sökande att
197
| Konsekvenser av utredningens förslag | Ds 2026:8 |
hänvisas till långa resor till respektive ambassad eftersom få sökanden i dessa länder är bosatta i eller i närheten av huvudstaden.
Ytterligare en konsekvens av införandet av Etias-förordningen är, enligt analysen, ett ökat resursbehov vid utlandsmyndigheterna på grund av det ökade antalet biometriupptagningar. I dagsläget är det mycket ovanligt att biometri tas upp i ärenden som avser viseringsfria sökanden – under år 2025 genomfördes drygt 235 biometriupptagningar av ambassaden i Washington D.C. Utifrån antagandet att antalet beviljade ansökningar skulle uppgå till cirka 85 procent av det totala antalet ansökningar beräknas antalet biometriupptagningar efter införandet av Etias-förordningen kunna uppgå till cirka 3 200. Utifrån Migrationsverkets produktivitetstal för biometriupptagningar bör en upptagning ta cirka fem minuter i anspråk. Tids- och resursåtgången för biometriupptagningar skulle därmed öka avsevärt om antalet biometriupptagningar gick från 235 till 3 200 om året.
Denna ökning skulle även få betydelse för utlandsmyndighetens hantering och utlämnande av uppehållstillståndskort. Vid utlandsmyndigheten i Washington D.C. lämnades totalt 235 uppehållstillståndskort ut under år 2025. Merparten av uppehållstillståndskorten skickades till sökandens hemadresser med kurirförsändelser. Uppskattningsvis tar det cirka tio minuter att hantera, administrera och skicka i väg ett uppehållstillståndskort. En ökad hantering av antalet uppehållstillståndskort från dagens 235 till närmare 3 200 innebär naturligtvis även en påtaglig ökning av ambassadens resursåtgång och arbetsinsats för denna arbetsuppgift. Därtill kommer även bland annat en avsevärd ökad administrering av besöksbokningar samt kontakt med och service till sökanden. Som konstaterats i avsnitt 2.4 så omfattar utredningens förslag emellertid inte ett överlämnande av dessa förvaltningsuppgifter till en extern tjänsteleverantör.
En betydande konsekvens för viseringsfria sökanden är att tidsåtgången för ansökningsprocessen ökar och att sökanden inte längre kan resa till Sverige i nära anslutning till att ett uppehållstillstånd beviljats. I nuläget kan en sökande resa till Sverige i samma stund som sökanden erhåller besked om att en ansökan om uppehållstillstånd beviljats. Efter Etias-förordningens införande kommer sökanden i många fall behöva resa till en utlandsmyndighet för att lämna biometriska uppgifter efter att denne fått besked om
198
| Ds 2026:8 | Konsekvenser av utredningens förslag |
ett beviljat uppehållstillstånd. Efter besöket skickas en beställning till den svenska producenten av uppehållstillståndskortet. Efter att kortet producerats skickas det via Migrationsverket och Utrikesdepartementet till berörd utlandsmyndighet och därefter vidare till sökanden. Sammanlagt tar denna process uppskattningsvis mellan 3– 5 veckor, vilket innebär att processen för sökandens del i praktiken ökar i motsvarande mån.
En annan konsekvens som pekas ut i utlandsmyndighetens analys är att Sverige i konkurrenshänseende kan få sämre förutsättningar att attrahera kvalificerad arbetskraft och internationell spetskompetens om inga åtgärder vidtas med anledning av införandet av Etias-förordningen. Till exempel är det troligt att införandet av förordningen inte kommer att påverka andra EU medlemsstater på samma sätt som Sverige eftersom de flesta av dessa länder, inklusive Danmark, Finland, Island och Norge, i dagsläget redan samarbetar med en extern tjänsteleverantör i ärenden om uppehållstillstånd.
13.3.2Slutsats om nollalternativet
Den förväntade ökade omfattningen av problematiken kommer att inträffa oavsett om åtgärder vidtas eller inte. Om det inte vidtas någon åtgärd för att möta ökningen av biometriupptagning och tillströmning av sökanden till utlandsmyndigheterna kommer emellertid Sverige att få svårt att hantera alla ärenden om uppehållstillstånd och nationell visering. Detta kommer som minst att leda till mycket långa handläggningstider, men även ökade kostnader för staten i fråga om utlandsmyndigheternas beredskap och förmåga att hantera ärendetillströmningen. Det finns därtill risk för att Sveriges möjligheter att attrahera kvalificerad arbetskraft och internationell spetskompetens påtagligt försämras. Om ingen åtgärd vidtas påverkas alltså Sveriges konkurrenskraft i förhållande till övriga nordiska länder och andra EU medlemsstater.
13.4Alternativ för att uppnå en förändring
Enligt vår bedömning finns det två alternativa lösningar för att komma till rätta med den växande problematiken. Det ena alternativet är att Sverige rustar upp nuvarande system, det vill säga
199
| Konsekvenser av utredningens förslag | Ds 2026:8 |
utökar resurserna och förbättrar kapaciteten hos utlandsmyndigheterna för att möta nuvarande och kommande tillströmning av ärenden. Det andra alternativet är att Sverige, liksom sina grannländer, inför rättsliga förutsättningar att lämna över biometriupptagning till en extern tjänsteleverantör.
13.4.1Alternativ ett – rusta upp nuvarande system
Det första alternativet – att höja beredskapen och kapaciteten hos utlandsmyndigheterna – har en fördel i att ärendehandläggningen kvarblir i svensk myndighetshantering. Det behöver då inte skapas och införas ett motsvarande system av skydd och rättigheter, eftersom svenska och internationella regelverk såklart gäller för utlandsmyndigheterna. En nackdel med detta alternativ är att det onekligen kommer att innebära en betydande kostnad för staten att höja beredskapen hos utlandsmyndigheterna. Utifrån vad utredningen erfarit finns det dessutom utlandsmyndigheter vars lokaler inte kommer att kunna användas om antalet besökare ökar. Det kan medföra att Sverige måste säkra nya lokaler för sin utlandsmyndighet i vissa länder. I vissa fall är det alltså inte möjligt att utöka nuvarande fysiska verksamhet, utan det behöver skapas en ny sådan. En annan nackdel är att målet om att göra ansökningsprocessen effektivare och mer lättillgänglig för sökanden blir svårare att förverkliga. Ett förverkligande av detta mål innebär att Sverige skulle behöva utöka utlandsmyndigheternas geografiska fysiska täckning. Om detta ens är möjligt att genomföra skulle även det innebära en ökad kostnad för staten.
13.4.2Alternativ två – använd en extern tjänsteleverantör
Det andra alternativet – att använda sig av en extern tjänsteleverantör för biometriupptagning – har en klar fördel i att ansökningsförfarandet blir effektivare och mer lättillgängligt för sökanden. Förslagens finansiering går dessutom ut på att den externa tjänsteleverantören tillåts ta ut en serviceavgift av sökanden i utbyte mot en effektiv och rättssäker process med en hög nivå av service, vilket säkerställs om ett överlämnande sker i enlighet med vårt förslag. Detta alternativ är därför inte lika kostsamt för Sverige att
200
| Ds 2026:8 | Konsekvenser av utredningens förslag |
genomföra. En annan fördel med detta alternativ är att ansökningsprocessen inte blir lika sårbar för att något oväntat inträffar, till exempel en naturkatastrof som utlandsmyndigheten måste hantera. I en sådan situation kan den externa tjänsteleverantören fortsätta sitt arbete. Ytterligare en fördel är att användandet av en extern tjänsteleverantör kan stärka Sveriges konkurrenskraft i fråga om att attrahera kvalificerad arbetskraft. Den huvudsakliga nackdelen med detta alternativ är det som denna utredning bland annat har haft till syfte att utreda – att säkerställa att den enskildes rättssäkerhet, personuppgifter eller sekretessbelagda uppgifter skyddas. Detta beror som bekant på att svenska och internationella regelverk inte per automatik gäller för en extern tjänsteleverantör. En annan nackdel är att svenska myndigheter i viss grad förlorar den lokala förankringen och kontakten med sökanden.
13.4.3Det lämpligaste alternativet
Mot bakgrund av det stora intresse som såväl Migrationsverket som utlandsmyndigheterna visat för alternativ två, framstår det första alternativet inte som en reell valmöjlighet. Det kan ifrågasättas om det ens är möjligt att rusta upp och utvidga utlandsmyndigheternas kapacitet och tillgänglighet. De berörda intressenterna har alla uttryckt att det finns ett betydande behov av att använda sig av en utomstående aktör för att åtminstone ta upp biometri i ärenden om uppehållstillstånd och nationell visering. De berörda intressenterna ser egentligen inget annat alternativ. Det finns därtill flera fördelar med alternativet som innebär ett användande av en extern tjänsteleverantör. En sådan är att det inte innebär en lika stor kostnad för svenska staten. En annan fördel är att ansökningsprocessen för sökandens del blir enklare, effektivare och mer lättillgänglig om en extern tjänsteleverantör kan användas. De nackdelar som lyfts fram kan genom utredningens förslag kan lösas på ett godtagbart sätt. Det är vår bedömning att fördelarna med alternativ två väger upp nackdelarna för detsamma om det införs ett system i enlighet med vårt förslag. Det är vidare vår bedömning att det andra alternativet är en faktisk och genomförbar valmöjlighet. Vår bedömning är därför att det andra alternativet – att införa
201
| Konsekvenser av utredningens förslag | Ds 2026:8 |
förutsättningar att lämna över biometriupptagning till en extern tjänsteleverantör – framstår som det lämpligaste valet.
13.5Analys av förslagens konsekvenser
13.5.1Ekonomiska konsekvenser
Utredningens förslag innebär en möjlighet för myndigheterna att samarbeta med en extern tjänsteleverantör i ärenden om uppehållstillstånd och nationell visering. Något krav på att ett samarbete upprättas följer emellertid inte av förslagen. För det fall möjligheten att samarbeta med en extern tjänsteleverantör nyttjas kommer det leda till vissa ekonomiska konsekvenser.
Förslagen föreslås finansieras genom att den externa tjänsteleverantören ges rätt att ta ut en serviceavgift av dem som i samband med ansökan om uppehållstillstånd eller nationell visering nyttjar möjligheten att komplettera ansökan med biometriuppgifter hos den externa tjänsteleverantören. Förslagen antas därmed inte ha några direkta eller omedelbara effekter på statens kostnader. Förslagen kan inte heller förväntas innebära några ekonomiska konsekvenser för kommuner eller regioner.
Arbetet med att upprätta och följa upp samarbetet med tjänsteleverantören kommer emellertid kräva arbetsresurser och därmed påverka Regeringskansliet, Migrationsverket och utlandsmyndigheternas kostnader. Uppgifter som kan förväntas tillkomma genom förslagen är till exempel arbetet med upphandling av tjänsteleverantör och avtalsingående samt uppföljning och kontroll av samarbetet. Eftersom förslagen syftar till att införa ett motsvarande system som det för Schengenviseringar är det emellertid troligt att redan upparbetad kunskap på myndigheterna kan leda till att processerna effektiviseras. Dessutom möjliggör utredningens förslag för att delvis använda den tillsyn som redan bekostas och genomförs inom Schengensamarbetet för det fall samma externa tjänsteleverantör används i ärenden om uppehållstillstånd och nationell visering. Migrationsverket har enligt uppgift till utredningen bedömt att förslagen inte kommer att påverka resursåtgången nämnvärt. Detta eftersom det endast är fråga om nya arbetsuppgifter för tjänsteleverantörer på platser där ett samarbete redan är etablerat. Att så är fallet medför också att det
202
| Ds 2026:8 | Konsekvenser av utredningens förslag |
initiala arbetet med att utöka samarbetet endast kommer att innebära en mindre arbetsinsats. Det initiala arbetet utgör dessutom endast en engångsåtgärd. Migrationsverket har också bedömt att arbetsresurserna för tillsyn av tjänsteleverantören endast påverkas marginellt eftersom tillsyn redan utövas.
Utredningens förslag syftar också till att minska ärendemängden hos utlandsmyndigheterna. Enligt uppgift från Migrationsverket hanterade utlandsmyndigheter utanför Europa totalt åtminstone 37 600 biometriupptagningar under år 2025. Uppgiften om ärendemängden är dels baserad på uppskattningar, dels ofullständig eftersom underlag från samtliga utlandsmyndigheter inte har funnits tillgängliga under utredningstiden. Det är alltså troligt att den faktiska ärendemängden är högre än den angivna. Förslagen kommer under alla omständigheter innebära att utlandsmyndigheterna får färre arbetsuppgifter och att resurser frigörs hos dem. Vid en beräkning med utgångspunkt i att biometriupptagning tar cirka fem minuter i anspråk så innebär förslagen en besparing om totalt cirka 1,2 miljoner kronor enbart för den arbetskraft som biometriupptagningen kräver. Siffran är framräknad utifrån ärendemängden år 2025, andelen årsarbetskraft som uppgiften kräver och kostnaden för den genomsnittliga årsarbetskraften för utlandsmyndigheterna i de respektive regionerna Afrika, Amerika, Asien och Mellanöstern och Nordafrika. Migrationsverkets bedömning är att de resurser som frigörs hos utlandsmyndigheterna kommer att kunna nyttjas till annat än samarbetet med tjänsteleverantören.
Förslagen kan också förväntas bidra till att Migrationsverket snabbare får ett fullständigt beslutsunderlag i ärenden om uppehållstillstånd eftersom tjänsteleverantören kan förväntas erbjuda generösare öppettider och större kapacitet än utlandsmyndigheten. Det kan förväntas leda till kortare handläggningstiderna vilket givetvis är kostnadsbesparande. Migrationsverket har emellertid angett att konsekvenserna för handläggningstiderna är svårbedömda men att de kan förväntas minska något av förslagen.
Vid en sammantagen bedömning är det utredningens uppfattning att statens kostnader inte kommer att öka utan att förslagen snarare innebär en mindre kostnadsbesparing.
För den tjänsteleverantör som upphandlas kommer förslagen innebära intäkter, men också investeringskostnader för att kunna
203
| Konsekvenser av utredningens förslag | Ds 2026:8 |
leverera tjänsten och administrativa kostnader för att fullgöra sin tillsynsplikt.
För enskilda sökanden innebär förslagen en möjlighet att, mot en avgift, lämna biometri hos en extern tjänsteleverantör. Möjligheten att lämna biometri kostnadsfritt hos en utlandsmyndighet kommer att kvarstå. Det är dock inte självklart att kostnaden för den enskilde blir högre om alternativet att lämna biometri hos tjänsteleverantören väljs eftersom den enskilde via tjänsteleverantören kan erbjudas en högre grad av service och tillgänglighet, minskad tidsåtgång och minskade kostnader för resor. Någon ekonomisk konsekvens för andra än de som ansöker om uppehållstillstånd och nationell visering från utlandet kan inte förväntas uppstå.
13.5.2Andra relevanta konsekvenser
I avsnitt 13.3.1 redogörs för den bedömning som utlandsmyndigheten i Washington D.C. gör i fråga om vilka konsekvenser införandet av Etias-förordningen kommer medföra för deras verksamhet i Amerikaregionen. Enligt vår uppfattning framstår bedömningarna som väl underbyggda och rimliga. En effekt av utredningens förslag är att dessa konsekvenser kan förekommas.
I dag finns ett fåtal aktörer på marknaden som erbjuder tjänster inom visering och uppehållstillstånd. Dessa aktörer är vanligen stora bolag med flera olika uppdragsgivare. Det är alltså troligt att tjänsteleverantören kommer att ha stordriftsfördelar som svenska utlandsmyndigheter saknar. En trolig effekt av förslagen är därför att tjänsteleverantören kan utföra uppgiften mer kostnadseffektivt än svenska myndigheter. Det är också troligt att tjänsteleverantören kommer att ha bättre förutsättningar att erbjuda en mer kvalitativ tjänst. Detta genom att ha mottagningslokaler på fler orter, kunna erbjuda flexiblare öppettider och kortare väntetider. För enskilda innebär det att en effekt av förslagen är ökad tillgänglighet och servicegrad i ansökningsförfarandet. Att ärendenas handläggningstid förkortas utgör även en positiv effekt för de enskilda.
En ökad tillgänglighet och servicegrad kan förväntas öka Sveriges attraktionskraft för internationell spetskompetens och för internationella studenter och forskare. Det i sin tur kan förväntas
204
| Ds 2026:8 | Konsekvenser av utredningens förslag |
underlätta för företag att rekrytera utländsk arbetskraft och för universitet och högskolor att attrahera internationella studenter.
En möjlig effekt av förslagen är att de riskerar att leda till viss kompetensförlust för utlandsmyndigheterna. Genom att överlämna vissa uppgifter till en extern tjänsteleverantör finns en risk för att utlandsmyndigheternas lokala förankring försämras, vilket påverkar utlandsmyndigheternas möjlighet att uppfatta lokala trender.
Förslagen bedöms ha viss betydelse för arbetet med att förebygga och i övrigt motverka brottslighet. En effekt av förslagen är nämligen att Migrationsverkets beslutsunderlag i ärenden om uppehållstillstånd i ett tidigare skede kommer att innehålla sökandens biometriuppgifter. Genom förslagen utökas alltså möjligheten att i ett tidigt skede göra de registerkontroller som bland annat följer av den reviderade VIS-förordningen. De förändringar som den reviderade VIS-förordningen medför har bedömts innebära positiva effekter för brottsbekämpningen (se prop. 2024/25:176 s. 68).
13.5.3Åtgärder för proportionerliga förslag
Av utredningens uppdragsbeskrivning följer att förslagen ska innehålla ett finansieringsförslag. En utgångspunkt för finansieringsförslaget är att tjänsteleverantörens tjänster ska bedrivas så kostnadseffektivt som möjligt och att statens kostnader inte får öka. Förslagen föreslås finansieras genom att sökanden åläggs att betala en serviceavgift till tjänsteleverantören om den väljer att nyttja tjänsteleverantörens tjänster. För att tjänsteleverantörens tjänster ska bedrivas kostnadseffektivt och inte medföra mer långtgående kostnader för enskilda föreslås bestämmelser i förordning och avtal som anger villkor för serviceavgiftens bestämmande. Av förordningen ska framgå att serviceavgiften ska vara skälig och återspegla de tjänster som den externa tjänsteleverantören tillhandahåller. Avgiften ska också stå i proportion till den externa tjänsteleverantörens kostnader för skötseln av de uppgifter som överlämnats till den. Därutöver ska samarbetsavtalet mellan Regeringskansliet och tjänsteleverantören innehålla bestämmelser som binder tjänsteleverantören i fråga om avgiften och dess storlek. Detta bedöms utgöra en begränsning av förslagens kostnader för enskilda.
205
| Konsekvenser av utredningens förslag | Ds 2026:8 |
Förslagen innehåller också bestämmelser som syftar till att möjliggöra att samarbete med den externa tjänsteleverantören kan omfatta såväl Schengensamarbetet som samarbetet för uppehållstillstånd och nationell visering. Till exempel föreslås tillsynsbestämmelser som möjliggör för en samordnad tillsyn av tjänsteleverantören. Det kan också förväntas bidra till en begränsning av förslagens kostnader för staten.
Utredningens förslag bedöms inte medföra begränsningar av människors rörelsefrihet, tillgång till samhällsfunktioner eller liknande.
13.6Planering för utvärdering av konsekvenserna
Konsekvensutredningen bygger på uppskattningar och bedömningar av framtida konsekvenser och är därmed förenade med osäkerhet. Det finns därför anledning att kort beröra frågan om utvärdering av förslagen. Det är utredningens bedömning att samarbetet med den externa tjänsteleverantören återkommande bör utvärderas av myndigheterna. Att så sker garanteras till exempel genom att förslagen innehåller bestämmelser om kontinuerlig tillsyn av tjänsteleverantörens verksamhet. En utvärdering av hur väl förslagen löser problematiken som beskrivits ovan framstår inte som lika angelägen som en utvärdering av systemet som föreslås lösa problematiken. En central fråga vid en utvärdering av samarbetet med tjänsteleverantören är därför hur väl förslagen hanterar och säkerställer frågorna om enskildas rättssäkerhet och integritet. En utvärdering kan lämpligen genomföras av Regeringskansliet som har det allmänna tillsynsansvaret enligt förslagen.
13.7Övrigt
En bedömning av om särskild hänsyn behöver tas när det gäller tidpunkt för ikraftträdande finns i kapitel 12. Förslagen bedöms inte medföra något behov av speciella informationsinsatser. Förslagen bedöms inte heller beröra kommuner eller regioner och därmed inte påverka den kommunala självstyrelsen eller innebära förändringar av kommunala befogenheter. Förslagen bedöms överensstämma med de skyldigheter som följer av Sveriges anslutning till EU. I övrigt
206
| Ds 2026:8 | Konsekvenser av utredningens förslag |
bedöms förslagen inte innebära några ytterligare konsekvenser av det slag som anges i förordningen om konsekvensutredningar.
207
14 Författningskommentar
14.1Förslaget till lag om ändring i utlänningslagen (2005:716)
3 kap.
6 §
Regeringen eller, efter regeringens bemyndigande, Migrationsverket får meddela föreskrifter om att andra myndigheter har rätt att besluta om visering.
Regeringen får meddela föreskrifter om att ett organ som är knutet till Sveriges exportråd har rätt att bevilja visering.
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får ingå överenskommelse med en Schengenstat om att den statens behöriga myndigheter får besluta om Schengenvisering.
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör eller med en kommersiell mellanhand i enlighet med viseringskodexen.
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometriska uppgifter i ärenden om nationell visering.
Paragrafen, som innehåller bemyndiganden om viseringar, om överenskommelser med andra Schengenstater och om samarbete med extern tjänsteleverantör och kommersiella mellanhänder, ändras genom att ett nytt femte stycke införs. Övervägandena finns i kapitel 5 och 10. I övrigt är paragrafen oförändrad.
Enligt femte stycket får regeringen eller, efter regeringens bemyndigande, Regeringskansliet besluta om samarbete med en extern tjänsteleverantör för upptagning av biometriska uppgifter i ärenden om nationell visering. Med biometriska uppgifter avses sådana uppgifter som får tas upp med stöd av bestämmelsen i 9 kap.
209
| Författningskommentar | Ds 2026:8 |
8 j § utlänningslagen, det vill säga för närvarande fotografi och fingeravtryck. Bestämmelsen möjliggör alltså för att överlämna uppgiften att ta upp fotografi och fingeravtryck i ärenden om nationell visering till en extern tjänsteleverantör. Ytterligare villkor för samarbetet följer av förordning om överlämnande av biometriupptagning i ärenden om uppehållstillstånd och nationell visering.
7 §
Regeringen får meddela ytterligare föreskrifter om visering.
Regeringen får meddela föreskrifter om rätt för en extern tjänsteleverantör att ta ut serviceavgift för sådan uppgift som överlåts enligt 3 kap. 6 § femte stycket och om tillsyn av en extern tjänsteleverantörs verksamhet.
Paragrafen, som innehåller bemyndiganden, ändras genom att ett nytt andra stycke införs. Övervägandena finns i kapitel 10. I övrigt är paragrafen oförändrad.
I andra stycket bemyndigar riksdagen regeringen att meddela föreskrifter om serviceavgift och tillsyn av en extern tjänsteleverantörs verksamhet.
5 kap.
28 §
Regeringen eller, efter regeringens bestämmande, Regeringskansliet får besluta om samarbete med en extern tjänsteleverantör för upptagning av biometriska uppgifter i ärenden om uppehållstillstånd.
Paragrafen, som är ny, gör det möjligt att överlämna uppgiften att ta upp biometriska uppgifter i ärenden om uppehållstillstånd till en extern tjänsteleverantör. Övervägandena finns i kapitel 5 och 10.
Enligt bestämmelsen får regeringen eller, efter regeringens bemyndigande, Regeringskansliet besluta om samarbete med en extern tjänsteleverantör för upptagning av biometriska uppgifter i ärenden om uppehållstillstånd. Med biometriska uppgifter avses sådana uppgifter som får tas upp med stöd av bestämmelserna i 9 kap. 8 och 8 a §§ utlänningslagen, det vill säga för närvarande
210
| Ds 2026:8 | Författningskommentar |
fotografi och fingeravtryck. Bestämmelsen motsvarar den som gäller för överlämnanden av biometriupptagning i ärenden om nationell visering. Ytterligare villkor för samarbetet följer av förordning om överlämnande av biometriupptagning i ärenden om uppehållstillstånd och nationell visering.
29 §
Regeringen får meddela föreskrifter om rätt för en extern tjänsteleverantör att ta ut serviceavgift för sådan uppgift som överlåts enligt 5 kap. 28 § och om tillsyn av en extern tjänsteleverantörs verksamhet.
Paragrafen, som är ny, innehåller bemyndiganden för regeringen att meddela föreskrifter om serviceavgift och tillsyn av en extern tjänsteleverantörs verksamhet. Övervägandena finns i kapitel 10.
211
Bilaga
Uppdraget (Ju 2025:E)
Extern tjänsteleverantör i migrationsverksamheten
Sammanfattning
En utredare ska utreda förutsättningarna för att överlämna vissa förvaltningsuppgifter som rör bl.a. upptagning av biometri (fotografi och fingeravtryck), till en extern tjänsteleverantör i ärenden om uppehållstillstånd och visering för längre vistelse (s.k. nationell visering). Syftet är att minska arbetsbelastningen vid utlandsmyndigheterna, korta handläggningstiderna och underlätta för de sökande, vilket gynnar Sveriges förutsättningar för att attrahera internationell spetskompetens.
Utredaren ska bl.a.
•utreda de rättsliga förutsättningarna för att överlämna vissa förvaltningsuppgifter i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör, analysera konsekvenserna och belysa för- och nackdelar med ett sådant överlämnade och ta ställning till lämpligheten i överlämnandet,
•oavsett ställningstagande lämna förslag på hur en sådan ordning kan se ut, och
•lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 15 april 2026.
213
| Bilaga | Ds 2026:8 |
Uppdraget att utreda överlämnande av biometriupptagning i ärenden om uppehållstillstånd om nationell visering till en extern tjänsteleverantör
Utlänningar som vill resa in i och vistas i Sverige ska som huvudregel ha antingen visering eller uppehållstillstånd, om de inte är medborgare i ett EES-land. För arbete i Sverige krävs som huvudregel arbetstillstånd.
Ärenden om visering och om uppehålls- och arbetstillstånd är förvaltningsärenden hos statliga myndigheter, och utgångspunkten är därmed att handläggningen ska äga rum hos myndigheterna. Enligt 12 kap. 4 § andra stycket regeringsformen kan förvaltningsuppgifter dock överlämnas till juridiska personer och enskilda individer. Om uppgiften innefattar myndighetsutövning får ett överlämnande göras endast med stöd av lag.
Enligt 10 kap. 8 § första stycket regeringsformen kan riksdagen besluta om, eller i lag bemyndiga regeringen eller annan myndighet att i särskilda fall besluta om, överlåtelse av förvaltningsuppgifter som inte direkt grundar sig på regeringsformen. Överlåtelse kan ske till annan stat, mellanfolklig organisation eller utländsk eller internationell inrättning eller samfällighet. Om uppgiften innefattar myndighetsutövning krävs det att riksdagens beslut stöds av minst tre fjärdedelar av de röstande och mer än hälften av riksdagens ledamöter eller att ordningen för stiftande av grundlag följs.
I ärenden om visering för kortare vistelse (Schengenvisering) överlämnas i dag regelmässigt förvaltningsuppgifter, bl.a. upptagning av biometri, mottagande av ansökningar och tillhandahållande av information, till ett av Regeringskansliet upphandlat privat företag (extern tjänsteleverantör). Samarbetet innebär möjlighet till ökad kostnadseffektivitet samt högre grad av service till sökande och ökad fysisk säkerhet för utlandsmyndigheternas personal genom att anlita en extern tjänsteleverantör. Den EU-förordning som reglerar handläggningen av ärenden om visering, Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar
214
| Ds 2026:8 | Bilaga |
(viseringskodexen), ger beslutsmyndigheterna möjlighet att ta hjälp av en sådan tjänsteleverantör. Som komplettering regleras i 3 kap. 6 § fjärde stycket utlänningslagen (2005:716) att det är regeringen, eller efter regeringens bestämmande Regeringskansliet, som får besluta om samarbetet med en tjänsteleverantör. För ett motsvarande samarbete i ärenden om uppehållstillstånd och nationell visering saknas det i dag stöd i lag.
Under 2016 lämnade Tjänsteleverantörsutredningen betänkandet Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36). I betänkandet föreslogs lagändringar som skulle möjliggöra att vissa förvaltningsuppgifter i dessa ärenden skulle kunna hanteras av externa tjänsteleverantörer. Utredningens bedömning var att det kan få flera positiva konsekvenser, t.ex. i form av ökad service till och bättre tillgänglighet för sökande samt en effektivare ärendehantering.
Vid remittering av betänkandet instämde flera remissinstanser i utredningens bedömning. Förslagen fick samtidigt kritik i vissa delar.
Datainspektionen (numera Integritetsskyddsmyndigheten) framförde att myndigheten inte kunde tillstyrka utredningens förslag och lämnade följande synpunkter. Utredningens förslag säkerställer inte ett godtagbart skydd för de registrerades personuppgifter. Utredningen har inte redogjort närmare för vilka regler som kommer att gälla för den personuppgiftsbehandling som följer av förslagen och det saknas ett ställningstagande till om skyddet för den enskildas personliga integritet är tillräckligt. Det är en avsevärd skillnad mellan den föreslagna regleringen och det som gäller för viseringsärenden eftersom viseringskodexen innehåller en noggrann precisering av hur samarbetet med en extern tjänsteleverantör ska gå till. Det är fråga om behandling av integritetskänsliga personuppgifter. Frågan om innehållet i det avtal som enligt utredningen ska reglera förhållandet till en tjänsteleverantör behöver också analyseras vidare. Om utredningens avsikt är att alla nödvändiga krav vad gäller dataskydd endast ska regleras i ett personuppgiftsbiträdesavtal uppkommer frågor om det är möjlighet att åstadkomma ett adekvat skydd
215
| Bilaga | Ds 2026:8 |
genom avtal samt hur man ska säkerställa att avtalet verkligen omfattar samtliga krav för att uppnå ett fullgott personuppgiftsskydd och att avtalet följs. Datainspektionen anförde att myndigheten inte har någon befogenhet att göra inspektioner hos en extern tjänsteleverantör. Vidare ifrågasatte Datainspektionen om Migrationsverket och utlandsmyndigheterna har rättsligt stöd för att låta en extern tjänsteleverantör hantera personuppgifter som kan vara sekretessbelagda. Riksdagens ombudsmän (JO) har i ett beslut (dnr 3032-2011) riktat allvarlig kritik mot vårdgivare för att de ingått avtal som innebär utlämnande av patientuppgifter för journalföring av ett företag, trots att detta inte är förenligt med regelverket om sekretess. Slutligen förde Datainspektionen fram att EU:s dataskyddsförordning måste beaktas och analyseras som helhet, till exempel artikel 9 enligt vilken biometriska uppgifter utgör en särskild kategori av personuppgifter liksom artiklarna 28 och 29 om personuppgiftsbiträden.
Lunds universitet ansåg att utredningens förslag innebär avsevärda problem ur rättssäkerhetssynpunkt. Universitetet förde fram att ett överlåtande enligt 10 kap. regeringsformen medför att missbruk och korruption inte kan beivras enligt svensk rätt. Lunds universitet ansåg att förslaget inte är tillräckligt tydligt vad gäller hur frågor om rättssäkerhet ska lösas och att det är lämpligt att direkt i lagen slå fast vissa grundläggande rättssäkerhetsprinciper och tillsynsmöjligheter som måste ställas upp vid ett överlämnande.
Sedan Tjänsteleverantörsutredningen lämnade sitt betänkande har en mer detaljerad generell reglering för behandling av personuppgifter inom EU trätt i kraft genom EU:s dataskyddsförordning (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den har kompletterats på nationell nivå med bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och utlänningsdatalagen (2016:27).
216
| Ds 2026:8 | Bilaga |
Migrationsverket har den 30 maj 2023 lämnat in en hemställan till regeringen om att få använda en extern tjänsteleverantör i ärenden om uppehålls- och arbetstillstånd (Ju2023/01314).
Inom EU finns det gemensamma Informationssystemet för viseringar (VIS-systemet) för utbyte av information mellan medlemsstaterna om viseringar för kortare vistelse, som också brukar benämnas Schengenviseringar. Systemet regleras av förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). I juli 2021 antogs en EU-förordning i syfte att reformera VIS-systemet (Europaparlamentets och rådets förordning (EU) 2021/1134 av den 7 juli 2021 om ändring av Europaparlamentets och rådets förordningar (EG) nr 767/2008, (EG) nr 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 och (EU) 2019/1896 och om upphävande av rådets beslut 2004/512/EG och 2008/633/RIF, i syfte att reformera Informationssystemet för viseringar).
En av de större förändringarna i den reviderade förordningen innebär att uppgifter om uppehållstillstånd och om nationella viseringar, bl.a. fotografi och fingeravtryck (härefter biometriska uppgifter eller biometri), ska läggas in och lagras i VIS-systemet. Idag innehåller systemet endast uppgifter om Schengenviseringar. Förordningen är direkt tillämplig och gäller som lag i Sverige. De ändringar som görs i den reviderade VIS-förordningen ska börja tillämpas vid ett datum som kommissionen ska fastställa. Den reviderade VIS-förordningens bestämmelser om registrering av uppgifterna innebär i praktiken att biometri måste upptas i nära anslutning till ansökan om uppehållstillstånd och nationell visering. Det betyder att fler sökande från utlandet kommer att behöva resa till en utlandsmyndighet för att lämna biometri innan de kan få beslut om uppehållstillstånd som ger dem rätt att resa in i Sverige. Den största påverkan sker för viseringsfria personer, exempelvis från USA, Japan, Kanada och Australien, som i nuläget kan lämna biometri efter att de beviljats sökt uppehållstillstånd och rest in i Sverige.
217
| Bilaga | Ds 2026:8 |
I propositionen Anpassning av svensk rätt till den reviderade VIS- förordningen (prop. 2024/25:176) föreslår regeringen de lagändringar som behövs för att anpassa svensk rätt till EU:s reviderade regelverk om VIS-systemet. Lagändringarna föreslås träda i kraft den dag regeringen bestämmer. Propositionen behandlar inte frågor om extern tjänsteleverantör.
De nya bestämmelserna i VIS-förordningen om registrering av uppgifter om uppehållstillstånd förväntas öka besöksbelastningen för utlandsmyndigheterna, medföra ökade arbetsuppgifter och ökade behov av säkerhetsåtgärder vid utlandsmyndigheterna samt längre handläggningstider hos Migrationsverket. De personer som söker uppehållstillstånd kan också behöva resa långt för att lämna sina biometriska uppgifter. Detta kan bl.a. innebära att det tar längre tid för företag i Sverige att få utländsk arbetskraft på plats och att Sverige blir en mindre attraktiv nation att söka sig till för internationell spetskompetens då många andra medlemsstater använder extern tjänsteleverantör i ärenden om bl.a. uppehållstillstånd. Universitet och högskolor kan även riskera att gå miste om internationella studenter och forskare. Möjligheten att uppta biometri hos en extern tjänsteleverantör kan påskynda tillståndsprocessen markant, vilket är centralt för att attrahera internationell spetskompetens till Sverige.
Det är därför viktigt att utreda förutsättningarna för ett samarbete med en tjänsteleverantör om upptagning av biometri i ärenden om uppehållstillstånd på grund av bl.a. arbete, anknytning, studier och besök. I detta ligger även att bedöma om det är lämpligt att överlämna sådana uppgifter till en privat tjänsteleverantör i tredjeland.
Mycket höga krav måste ställas på verksamheten med hänsyn till att den omfattar förvaltningsuppgifter och hantering av känsliga uppgifter för ett stort antal sökande. En förutsättning för att anlita en extern tjänsteleverantör är att den enskildes rättssäkerhet kan säkerställas liksom att hanteringen är förenlig med regelverken om personuppgiftsbehandling, sekretess och säkerhetsskydd. Dessutom är god service och kostnadseffektivitet grundläggande utgångspunkter. Även säkerhetskrav samt säkerhetsläget i
218
| Ds 2026:8 | Bilaga |
omvärlden som påverkar utrikesrepresentations närvaro och tillgänglighet behöver beaktas. Utredningen ska också beakta risken för missbruk och korruption vid användning av en extern tjänsteleverantör. Behovet av uppföljning och tillsyn över verksamheten hos leverantören ska analyseras, inklusive frågan om ansvarig myndighet för det. Utredningens analys bör vidare omfatta situationer då en extern tjänsteleverantör använder underleverantörer för hanteringen.
Utöver att utreda förutsättningarna för att överlåta förvaltningsuppgifter, personuppgiftsbehandling och sekretess bör även andra rättsliga aspekter belysas, däribland regelverken för myndigheters handläggning och service.
Regelverket för och erfarenheterna från samarbetet på viseringsområdet ska användas som utgångspunkt, med beaktande av skillnader i ärendeslagen. Utredaren bör beakta att viseringskodexen innehåller en detaljerad reglering av hur samarbetet med en extern tjänsteleverantör ska gå till, samt en förteckning över krav som ska uppfyllas av de rättsliga instrument som tecknas vid sådana samarbeten. Utredaren bör överväga om en motsvarande reglering bör införas för ärenden om uppehållstillstånd. Om förhållandet till tjänsteleverantören föreslås regleras genom avtal bör innehållet i de avtalen belysas noggrant. Utredaren ska också beakta EU-reglerna om VIS-systemet om bl.a. upptagning av biometri och förslagen i propositionen Anpassning av svensk rätt till den reviderade VIS-förordningen (prop. 2024/25:176).
Utredaren ska därför
•utreda förutsättningarna för att överlämna upptagning av biometri i ärenden om uppehållstillstånd och nationell visering till en extern tjänsteleverantör samt analysera övriga rättsliga aspekter i sammanhanget,
•analysera konsekvenserna och belysa för- och nackdelar med ett sådant överlämnande och ta ställning till lämpligheten i överlämnandet,
219
| Bilaga | Ds 2026:8 |
•oavsett ställningstagande lämna förslag på hur en sådan ordning kan se ut, och
•lämna förslag på nödvändiga författningsändringar.
Personuppgiftsbehandling och sekretess
När det gäller personuppgiftsbehandling och sekretess finns det ett antal frågor som särskilt bör uppmärksammas av utredaren. I det följande lämnas exempel på sådana frågor. Uppräkningen är inte uttömmande.
Utredaren ska redogöra för hur användning av en extern tjänsteleverantör förhåller sig till såväl det EU-rättsliga som det svenska regelverket om personuppgiftsbehandling, med beaktande av att biometriska uppgifter utgör s.k. känsliga personuppgifter jämlikt 3 kap. 1 § dataskyddslagen, jämfört med art. 9.1 i EU:s dataskyddsförordning. Analysen ska även innehålla en redogörelse för förutsättningarna ur dataskyddshänseende för en extern tjänsteleverantörs användande av underleverantörer för hanteringen.
Betänkandet ska innehålla en sammanhållen analys av konsekvenserna för den personliga integriteten vid den personuppgiftsbehandling som föreslås, inklusive integritetsriskerna med att lämna över hanteringen till en tjänsteleverantör i tredjeland och ett ställningstagande till om de behandlade personuppgifterna kommer att kunna skyddas på ett godtagbart sätt. Analysen ska ske i ljuset av relevanta delar av de dataskyddsrättsliga regelverken, bl.a. bestämmelserna i kapitel V i EU:s dataskyddsförordning. Analysen bör beakta Integritetsskyddsmyndighetens Vägledning för integritetsanalys i lagstiftningsarbete (IMY-2024-15399) och ska innehålla en proportionalitets- och nödvändighetsbedömning av förslagen, bl.a. utifrån bestämmelserna i EU:s dataskyddsförordning samt 2 kap.
6 § regeringsformen.
Det ska vidare klarläggas var ansvaret som personuppgiftsansvarig kommer att ligga för den personuppgiftsbehandling som föreslås ske hos en extern tjänsteleverantör och övervägas om det behövs författningsförslag som förtydligar ansvarsförhållandet.
220
| Ds 2026:8 | Bilaga |
Utredaren ska också belysa vad regleringen i artikel 28.3 i EU:s dataskyddsförordning om frågor som ska regleras när uppgifter behandlas av ett personuppgiftsbiträde innebär vid användning av en extern tjänsteleverantör.
Frågor om sekretess behöver också analyseras, med beaktande av att de biometriska uppgifter som blir aktuella att hantera skulle ha varit sekretessreglerade hos Migrationsverket och att offentlighets- och sekretesslagen (2009:400) som utgångspunkt inte är tillämplig för en extern tjänsteleverantör. Det bör också belysas om användandet av en extern tjänsteleverantör innebär att Migrationsverket skickar information till leverantören som är sekretessreglerad hos myndigheten. Om det är fallet bör frågan om rättsligt stöd för Migrationsverket att lämna eventuella sekretessbelagda uppgifter till tjänsteleverantören utredas.
Närliggande förvaltningsuppgifter
Om utredaren bedömer att uppgiften att ta upp biometri kan överlåtas till en extern tjänsteleverantör, behöver det klarläggas om ytterligare förvaltningsuppgifter behöver kunna överlåtas till en sådan leverantör som en följd av det.
Utredaren ska därför
•analysera om ytterligare förvaltningsuppgifter behöver överlåtas för att det ska vara möjligt eller ändamålsenligt för en extern tjänsteleverantör att ta upp biometri,
•utreda förutsättningarna för att överlåta sådana närliggande förvaltningsuppgifter till en extern tjänsteleverantör samt övriga rättsliga aspekter i sammanhanget, och
•lämna förslag på nödvändiga författningsändringar.
221
| Bilaga | Ds 2026:8 |
Ekonomisk ersättning till en tjänsteleverantör
Vid ansökningar om Schengenvisering får en tjänsteleverantör ersättning genom en serviceavgift från den sökande. Hur finansieringen vid upptagning av biometri och eventuella närliggande förvaltningsuppgifter i ärenden om uppehållstillstånd och nationell visering ska ske måste bedömas ur flera perspektiv. Viktiga utgångspunkter ska vara att leverantörens tjänster ska bedrivas så kostnadseffektivt som möjligt och att statens kostnader inte får öka. Vad gäller avgifterna för den sökande ska utgångspunkten vara att i så stor utsträckning som möjligt uppnå full kostnadstäckning. Till detta kommer att EU-rättsliga regler måste beaktas i fråga om avgiftsuttaget. Vidare kan valet få konsekvenser för upphandlingen och kontraktet med leverantören.
Utredaren ska därför
•föreslå hur det kan säkerställas att leverantörens tjänster bedrivs på ett så kostnadseffektivt sätt som möjligt och hur verksamheten ska finansieras.
Närliggande frågor
Utredaren får i mån av tid också överväga sådana närliggande frågor som har samband med de frågeställningar som ska utredas och som avser attraktion av internationell spetskompetens, exempelvis frågor om överlåtelse av andra förvaltningsuppgifter i ärenden om uppehållstillstånd, arbetstillstånd och nationell visering än de som har samband med upptagning av biometri.
Liksom för upptagning av biometriska uppgifter behöver alla förslag som utredningen eventuellt lämnar om att överlåta andra förvaltningsuppgifter åtföljas av en noggrann analys av hur hanteringen förhåller sig till regelverken om överlåtelse av förvaltningsuppgifter, det EU-rättsliga såväl som det svenska regelverket om personuppgiftsbehandling och det svenska regelverket om offentlighet och sekretess.
222
| Ds 2026:8 | Bilaga |
Konsekvensbeskrivningar
Utredaren ska i enlighet med kommittéförordningen (1998:1474) och förordningen (2024:183) om konsekvensutredningar ange kostnadsberäkningar och andra konsekvensbeskrivningar för sina förslag. Utredaren ska också redovisa förslagens betydelse för arbetet med att förebygga och i övrigt motverka brottslighet. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska genomgående ha ett jämställdhets- och barnrättsperspektiv i den analys som görs samt beakta och beskriva konsekvenserna av föreslagna åtgärder för barn, i enlighet med bl.a. FN:s konvention om barnets rättigheter (barnkonventionen).
Kontakter och redovisning av uppdraget
Utredaren ska föra dialog med och skaffa upplysningar från andra relevanta utredningar samt beakta relevant arbete som pågår i Regeringskansliet, däribland beträffande förslagen i slutbetänkandet Vissa åtgärder för stärkt återvändandeverksamhet och utlänningskontroll (SOU 2024:80). Utredaren ska även beakta relevant arbete som pågår i EU, bl.a. kommande beslut från kommissionen om när bestämmelserna i den reviderade VIS- förordningen om registrering av uppgifter om uppehållstillstånd ska börja gälla. Utredaren ska också föra dialog med och skaffa upplysningar från myndigheter och organisationer som berörs av frågorna, exempelvis Migrationsverket, utlandsmyndigheterna, Integritetsskyddsmyndigheten, Polismyndigheten och näringsliv, i den utsträckning det behövs.
Uppdraget ska redovisas senast den 15 april 2026.
223
Departementsserien 2026
Kronologisk förteckning
1.Nya möjligheter att bekämpa onlinerekrytering. Ju.
2.Granskning av Lantmäteriets informationssäkerhet. LI.
3.Utökat skydd för vissa civila vapentransporter. Fö.
4.En brottsbekämpande verksamhet hos Försäkringskassan. S.
5.Samling runt barnet. En likvärdig och kvalitativ vård inom den sociala barn- och ungdomsvården. S.
6.En översyn av det konsulära regelverket. UD.
7.Elektroniska meddelanden vid försäkringsavtal. Ju.
8.En extern tjänsteleverantör för biometriupptagning i migrationsverksamheten. Ju.
Departementsserien 2026
Systematisk förteckning
Försvarsdepartementet
Utökat skydd för vissa civila vapentransporter. [3]
Justitiedepartementet
Nya möjligheter att bekämpa onlinerekrytering. [1]
Elektroniska meddelanden vid försäkringsavtal. [7]
En extern tjänsteleverantör för biometriupptagning i migrationsverksamheten. [8]
Landsbygds- och infrastrukturdepartementet
Granskning av Lantmäteriets informationssäkerhet. [2]
Socialdepartementet
En brottsbekämpande verksamhet
hos Försäkringskassan. [4]
Samling runt barnet. En likvärdig och kvalitativ vård inom den sociala barn- och ungdomsvården. [5]
Utrikesdepartementet
En översyn av det konsulära regelverket. [6]